Stephan Hadinger (AWS France) : "La sécurité cloud, c'est une responsabilité partagée"
« La responsabilité partagée établit une distinction claire entre la sécurité du cloud et la sécurité dans le cloud ». C'est en tout cas le modèle appliqué par Amazon Web Services (AWS). Les explications de Stephan Hadinger, directeur de la technologie chez AWS France.
Silicon.fr : Selon vous, une infrastructure cloud est-elle plus sécurisée qu'une infrastructure sur site (on-premise) ?
Stephan Hadinger : Le cloud offre de nombreux avantages aux entreprises en matière de cybersécurité, notamment le contrôle et la visibilité. Les organisations contrôlent à tout moment l'endroit où sont stockées leurs données, les personnes qui peuvent y avoir accès et les ressources consommées. Les contrôles d'accès et d'identité sophistiqués associés à la surveillance continue fournissent des informations de sécurité quasiment en temps réel, et garantissent que les bonnes ressources bénéficient des bons accès à tout moment, quel que soit l'endroit où les informations sont stockées.
Un autre avantage d'une infrastructure cloud réside dans l'automatisation des tâches de sécurité. En réduisant le risque d'erreurs de configuration humaines, l'automatisation des tâches de sécurité permet une meilleure sécurisation des données et libère les équipes, qui peuvent se concentrer sur l'innovation ou sur d'autres tâches essentielles à l'activité de l'entreprise. Grâce aux nombreuses solutions intégrées disponibles qui peuvent être associées pour automatiser des tâches de manière innovante, l'équipe de sécurité et les équipes de développement coopèrent facilement pour créer et déployer du code plus rapidement et de façon plus sécurisée. D'un point de vue financier, le cloud est par ailleurs très avantageux puisque les entreprises ne paient que pour les services qu'elles utilisent.
Dans le cas du cloud AWS, nos clients bénéficient de nos centres de données, d'une large gamme de fonctionnalités et de services, et d'un réseau conçu pour protéger leurs informations, leurs identités, leurs applications et leurs appareils. En termes de conformité, nous répondons aux principales exigences des entreprises telles que la confidentialité, la protection et l'emplacement des données.
Le chiffrement, l'automatisation et l'IA réduisent le risque, mais ne l'annulent pas. Que propose AWS à ses clients pour prévenir l'incident et y répondre ?
S.H. : Pour prévenir les cyber-incidents et y réagir, les entreprises doivent mettre en place des stratégies complètes de sécurité : créer une application sécurisée et segmenter leur réseau d'une part ; détecter l'existence d'une menace dès le début d'autre part ; et bien sûr sauvegarder et chiffrer leurs données.
Il est important de déployer une infrastructure sécurisée et conforme sur le cloud. Concrètement, il s'agit de mettre en place une stratégie basée sur un accès contrôlé, des systèmes mis à jour et cloisonnés, la détection précoce des menaces, des sauvegardes régulières, ainsi que des plans de continuité et de reprise d'activité pré-définis et testés. Le cour du modèle de l'utilisation d'AWS est construit sur un modèle « zero trust », plaçant l'authentification de l'accès au centre de toutes les actions sur la plateforme. Ce modèle, qui utilise le service AWS Identity and Access Management (AWS IAM), facilite la mise en ouvre de la politique de privilèges en assurant la traçabilité des actions effectuées sur un compte client.
En bref, chaque action est systématiquement enregistrée et refusée si elle n'est pas explicitement déclarée dans les droits de l'administrateur du client ou de l'application, protégeant ainsi les ressources les plus critiques de nos clients « by-design ». La segmentation du réseau améliore la protection contre les ransomwares. Elle permet de n'autoriser que le trafic nécessaire au bon fonctionnement des systèmes, assure un cloisonnement fort des applications entre elles et évite qu'un malware puisse se propager de machine en machine. Il s'agit du fonctionnement par défaut du cloud AWS et de l'environnement de cloud privé virtuel (VPC), disponible immédiatement pour tous les clients sans surcoût, sans matériel ou logiciel supplémentaire à gérer.
Qu'en est-il concrétement de la réponse à incident ?
S.H. : Pour réagir à un cyber-incident, il faut être capable de détecter l'existence d'une menace dès le début. Si un ransomware est détecté quand la demande de rançon apparait sur l'écran de l'ordinateur, cela signifie que le hacker s'est déjà infiltré dans le réseau. La détection précoce des comportements anormaux des utilisateurs ou de l'activité du réseau est primordiale pour déjouer les menaces de logiciels malveillants et lancer les processus de contre-attaque. En comprenant ce à quoi ressemble le comportement « normal » dans l'environnement AWS, les alertes de sécurité peuvent être automatiquement configurées pour envoyer des notifications ou pour exécuter des mesures préventives complémentaires (par exemple, l'exécution de sauvegardes d'instantanés des systèmes) lorsque des comportements malveillants ou anormaux sont détectés.
Chez AWS, nous fournissons des services permettant d'identifier de telles menaces, comme Amazon GuardDuty. La prévention d'une intrusion dans le système par un ransomware nécessite des vérifications régulières des correctifs de sécurité. Il est moins risqué d'automatiser les mises à jour dans le cloud car les entreprises peuvent facilement cloner les environnements pour tester les correctifs, et faire machine-arrière en seulement quelques minutes si elles le souhaitent.
Enfin, il est essentiel de mettre en place une stratégie de chiffrement et de sauvegarde efficace. La première protégera contre la divulgation des données lors d'un incident de sécurité, tandis que la seconde permettra de les récupérer sans avoir à payer de rançon. Les entreprises qui peuvent efficacement sauvegarder les données quotidiennement, voire plusieurs fois par jour, et les restaurer rapidement dans les environnements de production réduisent considérablement l'impact des ransomwares. Certaines variantes plus récentes et plus intelligentes de ransomware sont conçues pour rechercher les sauvegardes stockées et les chiffrer ou les supprimer, afin de perturber les efforts de récupération. Il est donc crucial de créer des copies de sauvegarde en plusieurs exemplaires et de les stocker dans des endroits cloisonnés.
Pour aider nos clients dans cette tâche, tous les services de base de données et de stockage AWS disposent de capacités de chiffrement (dans une approche défensive/de protection) et de sauvegarde. Facile d'utilisation et très peu coûteuse, cette approche permet à nos clients de mettre en place des stratégies de sauvegarde plus robustes et de les exécuter plusieurs fois par jour. La sécurisation de la destination est facilitée par Amazon Simple Storage Service (Amazon S3), qui offre la possibilité d'enregistrer toutes les sauvegardes et de les rendre indestructibles par un malware. À l'échelle, l'utilisation du service de sauvegarde AWS permet d'établir une vue consolidée et d'isoler fortement une application de ces sauvegardes grâce à des privilèges et des clés de chiffrement distincts.
Dernier point important : il est généralement recommandé de tester les plans de sauvegarde et de reprise d'activité. Le cloud facilite ces tests : juste pour le temps du test, il est facile et peu coûteux de créer des environnements semblables à la production et de vérifier que la restauration des systèmes à partir des sauvegardes fonctionne, voire de l'automatiser pour la tester régulièrement.
Comment distinguer les tâches de sécurité qui dépendent du fournisseur cloud de celles dont la responsabilité incombe au client ?
S.H. : Chez AWS, nous fonctionnons sur le modèle de responsabilité partagée, c'est-à-dire que nous partageons avec nos clients la responsabilité d'assurer la sécurité et la conformité. La responsabilité partagée établit une distinction claire entre la sécurité du cloud et la sécurité dans le cloud. Chez AWS, nous gardons le cloud en sécurité (sécurité du cloud). Et nos clients gardent leurs données dans le cloud en sécurité (sécurité dans le cloud).
Ce modèle partagé permet d'alléger la charge opérationnelle du client étant donné qu'AWS exécute, gère et contrôle les composants depuis le système d'exploitation hôte jusqu'à la couche de virtualisation en passant par la sécurité physique des installations dans lesquelles le service s'exécute. Le client est responsable de la gestion du système d'exploitation invité (et notamment de l'installation des mises à jour et correctifs de sécurité), de tout autre logiciel d'application associé, ainsi que de la configuration du pare-feu du groupe de sécurité fourni par AWS.
Les avantages pour nos clients sont multiples : ils gardent un contrôle étroit sur la sécurité qu'ils doivent gérer ; ils peuvent cesser de se préoccuper de la sécurité des services fondamentaux sur lesquels repose leur infrastructure informatique ; ils bénéficient des avantages d'une infrastructure cloud robuste avec un service sécurisé, évolutif, réactif et efficace ; et enfin, ils renforcent leur contrôle et leur conformité, tout en gagnant du temps et en économisant leurs ressources.
Pour résumer, nous sécurisons le cloud lui-même, et nos clients sécurisent les données qu'il contient. À nous deux, nous formons un cadre ferme auquel les entreprises, les banques, les établissements de santé, les gouvernements et même les organisations militaires du monde entier font confiance.
Sur le même thème
Voir tous les articles Cloud