La sécurisation des environnements sur site appelle des mesures très différentes de ce qu'implique l'utilisation complémentaire de solutions sur le cloud. Vous ne voulez pas amortir immédiatement vos investissements actuels, mais vous vous rendez compte que des mesures supplémentaires sont nécessaires.
Quand tous vos environnements fonctionnaient encore sur le site, vous disposiez d'un périmètre clairement délimité. Il vous suffisait de défendre efficacement les murs extérieurs et les points finaux pour protéger vos applications et vos données. À présent que les entreprises utilisent de plus en plus de solutions sur le cloud, la situation est radicalement différente. Toutes sortes d'applications et de données se trouvent soudainement à l'extérieur. La défense du seul périmètre local ne suffit donc plus.
Il existe bien entendu d'innombrables solutions de sécurisation que vous pouvez acheter, mais il faut bien étudier celle qui correspond à votre situation. Mohamed El Haddouchi, Director Solutions & Innovation chez Infradata, présente ici différentes références utiles à prendre en compte.
1. Architecture et évaluation de la sécurité
Avant toute chose, il est essentiel de définir avec précision votre architecture de réseau pour l'environnement multicloud. "Car la sécurité réside toujours à un niveau au-dessus de ce réseau", souligne Mohamed El Haddouchi. "Idéalement, vous concevez un réseau dans lequel tous vos environnements sur site et sur le cloud sont réunis dans une architecture de réseau intégrale et unique. C'est ce que nous nommons l'architecture cloud-LAN."
Vous effectuez ensuite un inventaire et une évaluation de la sécurité, afin de déterminer la nature et l'emplacement de vos données, les risques qui existent et, en fonction de cette analyse, les mesures de sécurité qui sont nécessaires. "Vous pouvez alors mettre en place un cadre de sécurité, en vous fondant sur des profils de risque. Analysez également les contrôles que vous utilisez déjà, ainsi que la situation actuelle de la politique de sécurité."
2. Protection des investissements
"Il importe également de protéger autant que possible vos investissements actuels, car il ne servirait à rien d'acheter immédiatement et d'amonceler toutes sortes de nouvelles technologies. Analysez plutôt ce que vous avez déjà et utilisez ces ressources aussi efficacement que possible. Procédez pour cela en trois étapes. Inventoriez ce que vous avez, regardez si tout est actuellement utilisé le plus intelligemment possible et enfin déterminez comment en tirer le meilleur parti."
Si vous avez un pare-feu, par exemple, et qu'il n'est pas efficacement géré ou n'a plus été patché depuis un certain temps. "Avant d'acheter une solution avancée, il vaut mieux organiser, gérer et contrôler correctement le pare-feu et organiser efficacement la gestion de politique."
3. Quelle est la meilleure solution et à quel moment
Lorsque la base est correcte et que vous connaissez les failles à combler dans l'architecture de sécurité, vous pouvez vous mettre à la recherche de solutions ciblées. "Il existe énormément de fournisseurs et d'outils disponibles. Nous n'avons pu effectuer de présélection qu'après une analyse approfondie du marché, par exemple", raconte Mohamed El Haddouchi. "Dans ce cadre, il faut étudier ce qui est disponible et les différences entre les solutions proposées, en analysant le marché en détail pour chaque solution, à partir de cas de réseaux réels de situations pratiques". Il est aussi judicieux de tenir compte des conclusions de bureaux d'études de marché d'avant-garde comme Gartner et de consulter différentes autres sources d'informations.
"En se fondant sur les exigences techniques et commerciales, on aboutit finalement à une présélection. Ce processus exige beaucoup de travail et une expérience et des connaissances spécifiques et spécialisées. Il importe surtout de définir ce qui est la meilleure solution ou la plus pratique, pour qui et à quel moment, par exemple pour une sécurité de point final ou une solution anti-DDoS, ou pour un pare-feu Web Application ou pare-feu NextGen. Il faut toujours tenir compte de la situation spécifique de l'entreprise."
4. La solution universelle n'existe pas
Imaginons que vous souhaitez acheter une sécurité de point final afin d'améliorer votre sécurité. Comment procédez-vous ? Le marché offre d'innombrables solutions, comment faites-vous le choix approprié pour votre entreprise ? "Il vous est impossible de les tester toutes", ajoute Mohamed El Haddouchi. "Les bureaux d'études comme Gartner ou NSS Labs fournissent certaines informations, mais il importe de vous demander ce que cela implique dans votre situation spécifique."
Il est très difficile à l'entreprise de faire le meilleur choix. Cela demande beaucoup de temps et d'énergie et, lorsque votre décision est prise, il peut vous arriver d'avoir des doutes et de vous demander si c'était bien la solution appropriée. La meilleure solution ou la plus chère d'un rapport d'études n'est en tout cas pas la meilleure pour tout le monde, parce que ce qui convient à un réseau ne convient pas nécessairement à un autre. Les solutions adéquates ne peuvent être trouvées qu'en étudiant vos propres exigences spécifiques.
5. Visibilité essentielle
"En matière de sécurité de l'entreprise, il est essentiel d'investir dans la visibilité, parce qu'il n'est pas possible de sécuriser ce que l'on ne voit pas. Il est donc crucial de veiller à la bonne visibilité de tous vos biens, réseaux et applications. J'ai visité des entreprises qui ne savaient pas toujours exactement quelles applications fonctionnaient dans leur réseau. Il n'y avait même pas d'inventaire des systèmes et logiciels. Comment assurer la protection dans ce cas ?"
"Il faut également analyser la nature des accès et les personnes ou entités autorisées et veiller à connaître les activités qui se déroulent au niveau des fichiers, des processus et des utilisateurs. La détection des anomalies est importante dans ce cadre, par exemple comment un utilisateur se comporte généralement dans certaines applications. Les anomalies notables qui sont détectées doivent faire l'objet d'une analyse."
6. Responsabilités partagées
Dans l'univers du multicloud, les responsabilités sont partagées, explique Mohamed El Haddouchi. "Vous traitez avec plusieurs fournisseurs. Vous devez donc chercher comment définir les domaines de responsabilités et les partager avec vos partenaires". Lorsque vous utilisez un environnement de cloud, vous devez étudier entre autres les mesures de sécurité qui sont prises pour vous de manière standard par le fournisseur du cloud et analyser ce qu'il vous reste à faire vous-même.
"Il est évident que vous êtes et restez le responsable final. En outre, le fournisseur ne peut pas tout solutionner pour vous. Vous devez donc définir clairement ces modèles de responsabilités partagées. Cela vous évite par ailleurs d'essayer de tout protéger par vous-même, alors que ce n'est peut-être pas nécessaire."
7. Automatisation
L'automatisation de la sécurité est devenue indispensable, pour réduire les coûts mais aussi et surtout pour être capable de réagir aux menaces de manière rapide et appropriée. Explications de Mohamed El Haddouchi : "Grâce à l'automatisation, dès qu'un logiciel malveillant pénètre par une extrémité du réseau, par exemple, la région concernée est automatiquement cloisonnée et placée en quarantaine si besoin est. Une application ou le réseau peut aussi être aussitôt analysé automatiquement, de manière à vous informer rapidement de la situation". Non seulement vous savez quelles régions sont infectées, mais c'est aussi une manière plus rapide et plus efficace pour vous aider à prendre les mesures qui s'imposent, ce qui est absolument nécessaire dans un environnement multicloud.
"Auparavant, il était possible d'utiliser localement l'ancienne technique de la fouille dans les fichiers d'historique, pour effectuer soi-même la recherche. Mais fouiller en profondeur dans trois ou quatre environnements de cloud supplémentaires est une tâche irréalisable. Un système d'automatisation global est devenu nécessaire, qui assiste dans la détection comme dans la réaction."