Site Logo

Les défis de sécurité du cloud restent en grande partie non résolus

Thèmes:
9 févr. 2021
|
Mike Vizard

Après plus de dix ans d'utilisation de ressources cloud à différents degrés, les entreprises informatiques rencontrent toujours des problèmes de sécurité. Aptum, un prestataire de services informatiques, a publié une enquête menée auprès de 400 professionnels de l'informatique seniors qui indique que 85 % d'entre eux ne disposent pas d'un mécanisme clair pour détecter et répondre aux menaces sur l'ensemble des environnements cloud.

Moins surprenant, 82 % des participants indiquent que la gestion des accès à différents environnements cloud représente un obstacle à la sécurité, la gouvernance et à la conformité, tandis que pour 81 %, c'est l'absence d'une vision unifiée via un seul et même portail qui pose problème.

Le paradoxe qui ressort de cette enquête c'est que plus de la moitié des participants (51 %) considère que la sécurité est un facteur clé dans la migration vers le cloud. Cela peut paraître contradictoire mais les faits sont ce qu'ils sont : la plupart des environnements n'offrent pas un niveau de sécurité suffisant. C'est un fait : une infrastructure gérée par un fournisseur de services cloud est généralement beaucoup plus sécurisée.Là où les choses se corsent, c'est que les fournisseurs de service cloud doivent faire en sorte que les entreprises adoptent un modèle de sécurité partagé. Pour faire simple, les entreprises sont responsables de la sécurité de leurs applications et doivent s'assurer que les services cloud utilisés sont correctement déployés. Le problème est que ce concept n'est pas très clair pour la plupart d'entre elles. Oracle et KPMG ont mené une enquête récemment auprès de 750 professionnels de l'informatique et 8 % d'entre eux avouent ne pas comprendre clairement le modèle de sécurité partagée.

Malheureusement, les choses risquent d'empirer avant de commencer à s'améliorer sensiblement. La migration des workloads des applications vers le cloud suivait un rythme bien soutenu avant la pandémie de COVID-19. La cadence s'est accélérée de façon spectaculaire car les entreprises apprécient de plus en plus la simplicité avec laquelle les applications cloud sont conçues, déployées et gérées à une époque où les équipes informatiques sont contraintes de télétravailler au maximum. Si le taux de migration ne cesse d'augmenter, il en est de même avec le nombre de plateformes cloud utilisées. La surface d'attaque devant être défendue ne cesse donc d'augmenter.Plus difficile encore, à l'heure actuelle, les plateformes cloud se complexifient de plus en plus. Les développeurs profitent d'un large éventail de technologies cloud-natives telles que les conteneurs, Kubernetes, les frameworks de calcul sans serveur pour concevoir des applications reposant sur des microservices. Ces applications sont théoriquement plus sécurisées dans la mesure où il est beaucoup plus simple d'extraire et remplacer un microservice contenant potentiellement une vulnérabilité. Dans les faits, il existe un niveau de dépendance entre les microservices obligeant les équipes informatiques à veiller à ce qu'un malware ne puisse se déplacer de façon latérale dans le cas où un de ces microservice serait compromis. Concrètement, les applications basées sur des microservices ne sont pas plus sécurisées ; elles présentent simplement des faiblesses différentes par rapport à une application monolithique traditionnelle.Bien sûr, il n'est nullement question de stopper la migration vers le cloud. Le défi auquel sont confrontées les équipes de cybersécurité est d'atteindre le niveau de compétence et d'expertise nécessaires à la sécurisation de ces environnements. Avec un peu de chance, elles pourront compter davantage sur le soutien des développeurs à mesure que les entreprises adoptent les bonnes pratiques DevSecOps. Mais à l'heure actuelle, ce sont ces mêmes développeurs qui sont responsables de la mauvaise configuration des services cloud à l'origine de la plupart des problèmes de sécurité cloud.Quel que soit le résultat, il est évident que le statu quo existant en matière de sécurité cloud ne peut plus durer. D'une manière ou d'une autre, il faudra bien que quelque chose change (en mieux, espérons-le) dans un avenir proche.

Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Billets associés :
Five Pillars for well-architected AWS security
Five Pillars for well-architected AWS security
Monetising mistakes: how to tackle cloud misconfiguration
Monetising mistakes: how to tackle cloud misconfiguration
L'ABCdaire de la protection du cloud
L'ABCdaire de la protection du cloud
 Managing an actionable cloud security framework
Managing an actionable cloud security framework