La révolution du Cloud IaaS

Depuis 2009, les dépenses en Cloud Computing sont 4,5 fois supérieures à celles de l’IT traditionnel et devraient passer à 6 fois plus d’ici 2020, d’après le rapport Rapid Growth of Cloud Computing 2015–2020 d’IDC. Le segment se développant le plus rapidement est celui des services d’infrastructures Cloud (Infrastructure as a service ?ou IaaS), qui devrait croître de 35.9% en 2018 pour atteindre 40.8 milliards de dollars de dépenses, d’après une récente étude de Gartner.

Même si les nouvelles technologies se développent de plus en plus, la sécurité est toujours le principal obstacle à l’adoption du Cloud. En effet, 66% des professionnels IT affirment que la sécurité est leur plus grande préoccupation dans l’adoption d’une stratégie Cloud, d’après une étude de LogicMonitor (basé sur l’interview de 300 professionnels en novembre 2017).

Certaines entreprises ne tentent pas l’aventure Cloud par manque d’effectif, de temps ou compétences technologiques. Notre étude menée à la RSA Conférence de San Francisco le confirme, 40% des professionnels de l’informatique interrogés reconnaissaient ignorer les problèmes de sécurité critiques lorsqu’ils ne savent pas comment les résoudre (16%) ou quand ils n’ont pas le temps de le faire (26%). De surcroît, avec plus de 50 nouvelles vulnérabilités détectées par jour (en 2017), de nombreux professionnels ne savent pas prioriser les remédiations.

Enfin, la réticence des entreprises à effectuer cette migration est également due aux investissements dans des solutions de sécurité qui ne sont aujourd’hui plus adaptés aux besoins spécifiques du Cloud et notamment la surveillance des Cloud Workloads.

Protéger ses Workloads dans AWS et Azure

Pour les entreprises souhaitant migrer vers une infrastructure Cloud, une réflexion en amont s’impose. Etant donné les nombreux processus à suivre et les outils de sécurité à migrer sur le Cloud et les environnements conteneurisés, il est nécessaire de prioriser et de planifier les actions.

A chaque étape sa solution

1 - "Lift and Shift" : Les entreprises migrent des machines virtuelles et des données sur le IaaS (pour AWS il s’agira de EC2 et S3) et essaient de répliquer les mêmes processus de sécurité. Dans ce cas, les équipes de sécurité ont besoin d’inventaires précis de leurs actifs. La technologie de découverte automatique des actifs est nécessaire pour avoir une vue détaillée de son parc informatique : réseaux, serveurs, applications ... Il est également conseillé de déployer des appliances virtuelles des scanners effectués pour évaluer les ressources privées (non visibles au public).

2 - Modifier et évaluer : Une fois que les Workloads ont été déplacés sur le IaaS et que les entreprises ont commencé à utiliser les services Cloud (AWS VPC et CloudWatch par exemple), les équipes de sécurité doivent ajouter des points de contrôle des configurations de sécurité comme les benchmarks CIS AWS, CIS Azure, CIS Docker (ECS sur AWS) et CIS Kubernetes (EKS sur AWS).

3 - Evaluer et automatiser : Lorsque les entreprises adoptent l’Infrastructure as Code (type d’infrastructure permise par le recours aux API, à l’élasticité et à l’automatisation) et des processus DevOps agiles, les équipes de sécurité ont besoin d’intégration continue et de continuité de services (CI/CD = continuous integration / continuous delivery) et d’appliquer les benchmarks CIS AWS et CIS Azure en continu grâce aux API. En fonction des charges de travail, il peut être judicieux de déployer des vérifications spécifiques, comme AWS EMR par exemple, si l’entreprise se concentre sur l’analyse de Big Data.

4 - Automatiser et étendre : Les fournisseurs de Cloud développent chaque jour de nouveaux services comme le "Serverless" dernièrement. Les entreprises les testent, les adoptent mais la question de la sécurité ne se pose qu’en dernier recourt une fois l’intégration complétement terminée. En tant que professionnels de sécurité, il est difficile de suivre le rythme des nouveaux services et des meilleures pratiques de centaines de services Cloud. Il est donc nécessaire de se faire accompagner et d’utiliser des solutions dédiées aux nouveaux besoins de sécurité du Cloud.

Si le Cloud s’impose toujours plus dans les entreprises, cette technologie nécessite des processus de sécurité spécifiques afin d’offrir le maximum de son potentiel. Les entreprises doivent être conscientes des responsabilités qu’elles partagent avec leurs fournisseurs de Cloud. Elles doivent garder le contrôle des données stockées sur le Cloud et des applications utilisées. Le Cloud est un formidable vecteur pour accéder à des ressources uniques mais il ne faut pas omettre la sécurité sous peine de tout de tout devoir recommencer.