Sécurité dans le cloud
un enjeu sous-estimé ?
L'une des raisons du succès des solutions cloud demeure dans la sûreté de la mise en œuvre de celles-ci. Travailler dans le Cloud expose cependant à certains risques en matière de sécurité. Parmi les défis auxquels les entreprises sont confrontées, on peut citer la confidentialité des données et la conformité de la sécurité lors de la mise en œuvre de projets cloud. Nous faisons le point sur ces questions avec Audric Lhoas, IT Product Management Team Leader, et Cédric Mauny, Strategic Advisor Cybersecurity, de Telindus.
Lorsque qu'une entreprise se lance dans un projet cloud, tient-elle suffisamment compte de la sécurité ?
A.L. "Les projets cloud soulèvent des préoccupations de sécurité qui ne sont pas toujours prises en compte de manière adéquate. Après la crise sanitaire, de nombreux projets cloud ont vu le jour au Luxembourg, mais la sécurité n'y a, souvent, été intégrée que trop tardivement. Certains projets, tiennent mieux compte de la sécurité, tandis que d'autres, comme les solutions de travail à distance par exemple, la négligent presque complètement".
C.M. "En incluant les départements risque, sécurité et conformité dès la conception du projet, on peut intégrer des exigences qui en découlent, y compris juridiques, ce qui permet d'éviter des blocages ultérieurs tout en réduisant les coûts. Cette approche by design garantit la conformité et génère de la confiance aux parties prenantes, y compris aux partenaires, aux investisseurs et aussi aux régulateurs. Négliger l’implication du département sécurité ou ne pas en écouter les exigences et recommandations peut entraîner de sérieuses conséquences pour le business. Les raisons souvent avancées pour un manque de sollicitation proactive sont celles liées à une perception de la sécurité comme un obstacle ou au mieux un manque de sensibilisation aux risques potentiels".
Lorsque vous êtes amenés à mettre sur pied un projet cloud pour le compte d'un client, quel type d'approche de la sécurité préconisez-vous ?
A.L. "Lorsque nous mettons en place un projet cloud pour un client, nous abordons l'aspect sécurité en fonction de deux scénarios distincts. Dans le premier cas, lorsque le client est encore au stade initial du projet, nous privilégions l’approche by design pour intégrer la sécurité dès le départ. Nous tenons compte des recommandations de sécurité, des risques réglementaires et des benchmarks de sécurité tels que les benchmarks CIS, qui sont des normes de bonnes pratiques mondia- lement reconnues".
"Dans le deuxième scénario, où le projet est déjà réalisé mais où le client n'a pas pris en compte la sécurité de manière adéquate, nous pouvons effectuer un audit pour corriger les lacunes. "
C.M. "Lorsque nous reprenons en main un projet cloud déjà mis en place par un client avec une tierce partie, nous devons d'abord évaluer ce qui a été réalisé. "
"Notre objectif est d'identifier les problèmes et de chercher à combler les lacunes en matière de conformité et de sécurité. La conformité peut être abordée en collaboration avec les équipes d'Audric. Cependant, la sécurité demeure une préoccupation primordiale, car il s'agit de protéger les données, garantir la confidentialité des informations et répondre aux besoins de sécurité tout au long du cycle de vie de la solution. "
"Il est également important de préserver la confiance avec les parties prenantes en démontrant que les besoins de sécurité sont pris en compte. Cependant, l'idéal est d'anticiper et d'intégrer la sécurité dès le début du projet pour éviter de tels rattrapages souvent synonymes de retard ou de coût supplémentaires pour le métier. "
Vous avez l'habitude d'aborder des projets ensemble. Comment articulez vous vos actions respectives ?
A.L. "Nos équipes travaillent en étroite collaboration sur les projets. L’une est responsable de la partie cloud et de la conformité réglementaire tandis que l’autre équipe s’occupe des risques et de la sécurité.
Il y a deux aspects majeurs en matière de sécurité : la sécurité initiale, qui est prise en charge par les équipes Cloud, et en Managed Security, qui assure une approche continue et répétitive. "
"Nous ne nous contentons pas de mettre en place la sécurité une seule fois au début du projet. Nous propo- sons à nos clients des revues de sécurité périodiques – semestrielles ou annuelles - pour s'assurer que l'environnement reste sécurisé et en phase avec les évolutions. Les environnements évoluent et cela peut affecter la criticité des données. Ainsi, nos recommandations incluent également des ajustements au fil du temps pour prendre en compte ces évolutions et maintenir un niveau de sécurité adapté. "
C.M. " J'insiste sur l'importance de suivre en permanence l’évolution de son niveau de sécurité et de conformité par rapport à l’évolution de ses activités métiers et déploiement ICT. Une évaluation aussi bonne soit elle à un instant donné, que ce soit durant le projet ou à sa fin, ne suffit pas pour garantir la sécurité sur la durée. Une des plus grandes erreurs sinon la plus grande serait de supposer que ce qui est parfait au début le restera jusqu'à la fin du cycle de vie de la solution. "
Quels obstacles rencontrez-vous lorsque vous tentez de mettre en place les bonnes pratiques ou les règles de gouvernance liées à la sécurité ?
A.L. "Les grands acteurs du Cloud tels que Microsoft, Google et Amazon sont fami- liers avec la régulation au Luxembourg et opèrent dans un cadre bien défini. En revanche, lorsque nous travaillons avec des fournisseurs non luxembourgeois, même s'ils sont situés en Europe, ils trouvent souvent intrusif de devoir se soumettre à des procédures de due diligence ou des vérifications préalables. Parfois, ils refusent même de répondre en invoquant le secret. Ce problème concerne principalement les aspects régulatoires, mais il affecte également indirectement la sécurité, car nous ne pouvons pas explorer en profon- deur la situation. L'absence de réponse à nos questions complique notre approche de la sécurité car nous ne comprenons pas clairement leur posture vis-à-vis de ces matières et cela crée un véritable problème de confiance".
C.M. "La confiance est un aspect crucial en matière de sécurité. Il est essentiel que les parties prenantes, surtout dans le contexte d'un projet Cloud où les données sont hébergées à l'extérieur de nos frontières, aient confiance dans les fournisseurs de services. Cela implique de s'assurer que le prestataire tiers est et reste fiable dans la durée, qu'il gère efficacement la confidentialité et les droits d'accès en particulier et qu’il est capable de démontrer à tout instant la traçabilité des accès et des mouvements des données. En résumé, la sécurité est intrinsèquement liée à la confiance et joue un rôle essentiel pour garantir la protection et la gestion appropriée des données, en particulier dans un environnement Cloud".
C.M. "Toutes les études, y compris celles menées par le CLUSIL au Luxembourg, indiquent que sécurité et confidentialité sont les principales préoccupations des responsables IT et des CISO. Le RGPD, par exemple, est toujours un élément majeur à prendre en considération. Les évolutions de régulations comme NIS2 ou DORA pour n’en citer que deux, doivent être intégrées pour ce qui est de la continuité et de la résilience de ses activités métiers pour ses partenaires".
A.L. "Un autre aspect à considérer est le rapport entre le coût de la sécurité et la taille de l'entreprise. Pour certaines petites entreprises, il est difficile de justifier de gros investissements dans la sécurité. D'un côté, les grandes entreprises peuvent mettre en place des mesures étendues, de l'autre, les petites entreprises, parfois composées de seulement quelques employés, renâclent devant un coût qu'elles estiment élevé. Cela peut entraîner des compromis qui ne sont pas toujours les meilleurs."
En conclusion, le challenge consiste à positionner la "jauge sécurité et compliance" au bon endroit et à s’assurer que les risques soient connus et maîtrisés par les entreprises. Pour cela, il est recommandé de s’appuyer sur des partenaires disposant d’une vue plus large du domaine pour tirer profit de benchmarks et d’informations spécifiques par secteur d’activité. Cela permet de disposer des ressources nécessaires pour être soutenu dans l’implémentation de sa sécurité en toute conformité selon ses propres besoins et son profil de risque.