Il s’agit aussi d’un défi particulièrement délicat en termes de sécurité informatique. Cette dernière nécessite une centralisation et normalisation de ses processus, sans lesquelles le manque de cohérence offre une véritable porte ouverte aux acteurs malveillants.

En effet, l’enjeu principal de l’informatique hybride réside dans le fait que même en appliquant les mesures de sécurité les plus strictes et les plus onéreuses dans une partie de l’environnement hybride, il suffit d’une vulnérabilité dans une autre partie pour compromettre l’ensemble du système de l’entreprise.

Voici les trois vulnérabilités à surveiller et à gérer quand on utilise un environnement IT hybride.

1 –  Les tests de vulnérabilité

Dans les processus de développement classiques, en cascade, les tests de sécurité sont généralement effectués à la fin du cycle. S’il est possible d’accélérer ces tests en raison des inévitables retards au cours du développement, cette étape est souvent anticipée et traitée adéquatement. Il est donc acceptable de décaler le déploiement pour garantir la stabilité des applications, surtout si elles doivent générer des revenus importants.

Mais aujourd’hui, une grande partie du nouveau code déployé est développé dans le cadre de méthodologies Agile, à l’échelle d’un pipeline DevOps qui se termine dans le Cloud public.
Comme cette méthodologie priorise avant tout la rapidité, il est plus difficile de justifier les retards occasionnés par les tests de vulnérabilité à la fin du développement, voire parfois après le déploiement.

Au lieu d’attendre la fin du cycle (qu’il soit Agile ou en cascade) pour tester le code, il est judicieux d’effectuer ces vérifications plus en amont et avant le déploiement, par exemple au moment où le code est intégré à la base dans le pipeline DevOps. Cette approche appelée « shift-left » permet de réaliser des tests de sécurité pour identifier suffisamment tôt le code vulnérable utilisé dans les bibliothèques ou d’autres méthodes de programmation à risques, ce qui évite les opérations correctives onéreuses.

2 – La gestion des identités et des accès

Les entreprises réalisent des investissements conséquents dans les systèmes de gestion des identités et des accès pour permettre à leurs sous-traitants et à leurs salariés d’utiliser les ressources dont ils ont besoin, tout en étant capable de prouver aux auditeurs qu’ils appliquent bien les principes du moindre privilège. Cependant, ces investissements ciblent majoritairement les environnements traditionnels.

Le Cloud public est quant à lui un véritable patchwork de services SaaS acquis par les divisions métier, accompagnés d’infrastructures ou de plateformes (généralement AWS ou Azure) utilisées par les développeurs, sans tenir compte des politiques ou des contrôles de sécurité.
Parallèlement, de nombreuses entreprises ont tendance à gérer leurs systèmes sur site et Cloud séparément, en s’imaginant que la gestion des identités et des accès des applications Cloud doit se faire dans le Cloud.

Le défi réside dans le fait que dans le cas des configurations hybrides, les environnements Cloud et traditionnels sont intégrés : par conséquent, ces politiques et contrôles représentent le plus petit dénominateur commun.

Les cybercriminels sont toujours friands d’identifiants administrateur, surtout lorsque lesdits administrateurs ont à la fois accès au Cloud et au data center de l’entreprise.
Pour pouvoir appliquer les politiques de façon cohérente et obtenir une visibilité claire sur tous les droits d’accès et les utilisations inhabituelles, les entreprises doivent gérer leur système de gestion des identités et des accès de manière centralisée.

3 –  Les politiques de chiffrement

Aujourd’hui, des volumes de données considérables sont stockés dans le Cloud.
À l’heure où la sécurité des informations s’impose comme un enjeu clé pour les entreprises et les fournisseurs Cloud, il est désormais possible de chiffrer les données au repos dans les compartiments Amazon S3 ou dans Azure SQL Database. Les organisations peuvent (et devraient) également chiffrer les données en transit, en particulier dans les échanges entre l’entreprise et les environnements Cloud externes.

La principale difficulté réside dans l’application cohérente des politiques à l’échelle de l’environnement IT hybride, surtout dans le cas des données non structurées. La plupart des entreprises s’appuient quotidiennement sur le partage de fichiers et sur les répertoires de code, en interne et dans le Cloud, sans chiffrement systématique.

Quand les salariés ne disposent pas d’un système de partage des informations pratique, ils ont tendance à utiliser d’autres outils comme Dropbox ou Bitbucket non soumis aux politiques et aux contrôles de sécurité de l’entreprise.

Or, il est vital d’appliquer les politiques et contrôles de protection des données à l’échelle de l’ensemble de l’environnement hybride, tout au long du cycle de vie de ces informations. Il faut parallèlement s’assurer que les données restent accessibles pour les applications qui en ont besoin, tout en garantissant la transparence du chiffrement pour les utilisateurs finaux. Sans cela, les salariés contourneront les processus et génèreront des vulnérabilités supplémentaires dans l’entreprise.