L’adaptation informatique basée sur le cloud s’accélère tandis que les solutions en mode IaaS, PaaS et SaaS arrivent à maturité et que les entreprises cherchent à rendre leur infrastructure IT plus agile et plus rentable. Actuellement, les facteurs majeurs freinant l’adaptation au cloud sont la sécurité et la conformité. De récentes études ont révélé que 90 % des organisations qui passent au cloud, ou envisagent de le faire, sont soit préoccupées ou très préoccupées par la sécurité. Les préoccupations concernent surtout la sécurité générale, la perte et la fuite de données, et la perte de contrôle. Les réglementations telles que le GDPR imposent des restrictions quant à la localisation des données et applications et au niveau de protection requis.
Les architectures de sécurité traditionnelles reposent sur une séparation entre les réseaux publics et privés où il existe un seul ou un nombre limité de points de connexion. Ces points de connexion sont sécurisés par des solutions de défense de périmètre, et les données et applications internes ne sont pas accessibles depuis l’extérieur, sauf par une extension de ce périmètre, telle qu'une connexion VPN à un hôte ou emplacement sécurisé.
Les solutions cloud fournissent seulement une sécurité physique et des fonctions de sécurité visant la disponibilité du système, telles qu'une protection DDoS. La sécurité du système, des données et des applications est de la responsabilité de l’utilisateur de la solution cloud. Bien que des outils de sécurité soient fournis, ces derniers doivent être configurés et fournissent uniquement des niveaux de sécurité (réseau) de base.
Une nouvelle approche de la sécurité
Le vieil adage selon lequel « une chaîne n’est aussi forte que son maillon le plus faible » s’applique également à la sécurité. La plupart des déploiements cloud (71 %) sont de type hybride, signifiant que les données et les applications peuvent se trouver à tout moment à l'intérieur ou en dehors de votre périmètre d’entreprise. Quelle que soit leur localisation, le niveau de sécurité adéquat doit être assuré. Implémenter une solution de sécurité peut nécessiter différentes approches suivant les préoccupations sécuritaires. Ceci engendre également de nouveaux défis en termes de visibilité, gestion et reporting.
Bien qu'il soit possible de faire du cloud un élément virtuel de votre périmètre interne, comme illustré dans le schéma ci-dessus, cette approche contrecarre la plupart des avantages qu’offrent les solutions en cloud et s’applique donc uniquement aux solutions cloud IaaS. Implémenter ce type d’approche est relativement facile et peut s’effectuer à l’aide des fonctionnalités standard proposées par les fournisseurs de cloud.
Une approche plus scalable serait de créer des points d’accès direct au Cloud. Elle décharge l’accès à votre datacenter et est plus résiliente, mais génère des points d’entrée supplémentaires qui doivent être sécurisés. Il est aussi recommandé de créer une couche de protection entre les deux silos.
Le type et l’étendue des mesures de sécurité nécessaires dépendent de ce qui doit être sécurisé. L’accès aux applications et données s’effectue en dehors du périmètre avec des dispositifs qui ne sont pas toujours sous votre contrôle ; ce qui signifie que les décisions relatives à la sécurité ne se limitent plus à savoir qui a accès à quoi, mais aussi avec quoi, à partir d’où et à quelles fins pratiques.
Solutions de protection multicloud disponibles
De nos jours, il existe diverses solutions de sécurisation des architectures multi-cloud, allant de la simple sécurité réseau à la sécurité complète du contenu et tenant compte du contexte. Chacune a un prix en termes d’acquisition, mais surtout en termes de complexité (opérationnelle). Voici quelques-unes des solutions de sécurité les plus couramment employées :
Pare-feux Statefull
Les pare-feux stateful fournissent une sécurité réseau de base permettant les connexions entre endpoints selon des protocoles déterminés.
Pare-feux nouvelle génération (NGFW)
NGFW renforcent la sécurité réseau. En plus d’autoriser les protocoles déterminés, ils peuvent vérifier l’application en cours d’utilisation et le type de données transmises. Les pare-feux nouvelle génération facilitent la cartographie des utilisateurs jusqu’aux endpoints, permettant ainsi de mieux contrôler qui a accès à quoi et comment.
Prévention de perte de données (DLP)
DLP augmente le niveau de sécurité fourni par un pare-feu nouvelle génération car elle ne se limite pas à autoriser ou bloquer une application. Elle vérifie de manière active les données transmises et peut signaler celles qui sont interdites. Elle peut aussi renseigner sur le type de données et leur localisation précise, permettant d’appliquer des mesures de sécurité appropriées.
Content access security brokers (CASB)
Le CASB répond aux problèmes qui se posent lorsque les entreprises commencent à utiliser des applications basées sur le cloud et que les données ne sont plus contenues à l'intérieur des frontières de l'entreprise. Les solutions CASB, outre le fait de maîtriser les données entrantes et sortantes de votre organisation, peuvent aussi contrôler l’endroit où elles sont envoyées et dans quel format.
Sécurité endpoint
Traditionnellement, les solutions de sécurité endpoint se limitaient à s’assurer que tout contenu malveillant était bloqué au niveau du terminal. La génération actuelle contrôle également quelles données sont stockées sur le terminal et son usage possible. En cas de problème avec le dispositif (volé ou autrement compromis), il est possible de bloquer l’accès aux données et de limiter ainsi l’impact d’une telle situation.
Ces solutions offrent différents niveaux de sécurité au détriment possible de la performance et de la capacité d’utilisation des applications, et elles ont toutes différents niveaux de coût CAPEX et OPEX pour votre organisation. Elles doivent toutes être installées dans des emplacements stratégiques de votre infrastructure IT pour en maximiser l’efficacité. Installer des solutions multiples dans différents emplacements de l'infrastructure nécessite aussi une solution de gestion qui assure un niveau de sécurité uniforme, une visibilité précise des failles possibles et le reporting immédiat des anomalies. En outre, la plateforme de gestion de la sécurité peut servir à l’automatisation des audits de conformité.
Services et solutions de sécurité du cloud
![Firewall]()
NGFW Solutions de pare-feu nouvelle génération
Protégez votre périphérie de réseau, votre datacenter et vos applications cloud avec des pare-feu physiques, virtuels et conteneurisés de nouvelle génération.
![Network security]()
SD-WAN sécurisé
Les entreprises géographiquement distribuées adoptent le Software-Defined WAN.
![Secure cloud]()
SASE Secure Access Service Edge
Une architecture réseau évolutive nécessite une nouvelle approche en matière de sécurité.
Vous souhaitez en savoir plus sur ce sujet ?
Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.
