Mettre en place une démarche de sécurité autour d’un projet Cloud n’est pas une chose évidente. Nombreuses sont les questions que l’on peut se poser :
- par où commencer
- qu’est ce qui est différent
- quelles sont les clefs de la réussite…
Sur la base de l’expérience acquise durant ces deux dernières années dans le cadre de mes activités en tant que « Cloud Security Advisor » au sein d’Orange Business, je vais partager avec vous quelques éléments de réponse à ces questions.
Comme vous pourrez le voir par vous-même, l’organisationnel et l’humain sont au cœur du sujet. Car même si la composante technique est importante, elle n’en reste pas moins secondaire.
le Cloud, cet animal hybride
Tout d’abord, il faut intégrer que le Cloud Computing est un animal hybride à plusieurs têtes. Le Cloud peut être public, hybride, privé ou encore communautaire, les services rendus pouvant eux aussi être de différents types : IaaS, PaaS ou SaaS.
Sur le plan technique, une plateforme Cloud est elle aussi hybride. Différentes technologies sont mélangées entre elles tant sous leur forme classique que sous forme nouvelle : le réseau, le stockage, la puissance de calcul ainsi que la sécurité se retrouvent mélangés, mixés entre eux sous des formes virtuelles.
Cette « hybridation » se retrouve aussi dans l’organisation et dans les compétences des personnes impliquées. Le Cloud est un vrai « Silo Breaker » !
les métiers et les Hommes doivent aussi changer
Au même titre que les équipes réseau doivent appréhender la virtualisation des ressources, les équipes en charge de celle-ci doivent intégrer les enjeux liés à la sécurité d’un hyperviseur. Si cette « acculturation » mutuelle et réciproque n’a pas lieu, alors la sécurité restera un terme « bullshit » dans des slides ou une documentation.
Ne pas sous-estimer l’importance de la fusion des métiers et des savoir-faire : la nature humaine ayant horreur du changement, chacun aura tendance à « voir midi à sa porte ». Une organisation voulant mener un projet de Cloud devra accepter de « faire différemment » si elle veut vraiment faire du Cloud.
un réel engagement de la direction pour la sécurité
Je ne le répéterai pas assez : il est essentiel que la direction et le marketing produit soient réellement et effectivement impliqués dans la démarche sécurité. Par « effectivement impliqués », je veux dire qu’ils en comprennent l’importance et les opportunités et que cela soit suivi d’actions concrètes de leur part et non pas de « discours de façade » teintés de non-décisions.
Deux raisons à cela :
- la confiance : la sécurité permet de créer la confiance et de l’entretenir dans le temps
- la création de valeur : la sécurité permet de se différencier et de créer de la valeur supplémentaire
créer de la valeur grâce à la sécurité
La confiance créée par la sécurité d’un service Cloud est essentielle car elle permet de créer un environnement de confiance propice à l’adoption des services par de nouveaux clients. Une fois les clients installés, il est essentiel qu’ils y restent : cette confiance doit donc être entretenue.
En effet, qu’arriverait-il si un incident de sécurité grave survenait et, qu’à cette occasion, vos clients découvraient que les règles élémentaires de sécurité n’étaient pas en place ? Ils fuiraient et votre réputation serait clairement entachée. Le business du Cloud c’est un business de confiance. Voilà pourquoi la sécurité est essentielle dans le Cloud.
La sécurité est aussi une façon de se différencier vis-à-vis de la concurrence en proposant en standard des fonctions de sécurité que la concurrence propose en option (ou qu’elle ne propose pas). Et évidemment, la sécurité peut créer de la valeur via des options spécifiques comme un « antivirus virtualisé » (fonction antivirus intégrée au niveau de l’hyperviseur, donc ne demandant aucune installation d’un agent dans les VM) : les clients achèteront très surement !
positionnement hiérarchique des équipes sécurité
Le positionnement hiérarchique des équipes en charge de la sécurité doit être défini avec soin.
D’un côté, si les équipes sont uniquement rattachées à l’unité d’affaires Cloud, alors il y a un risque non négligeable de se retrouver dans un mode « Business First, Security After » : la pression de mettre rapidement le service sur le marché associée à celle de la rentabilité aura tendance à simplifier à outrance le sujet sécurité… et donc à lui allouer une importance de 10ième niveau (et donc un positionnement avec des arguments comme « on verra plus tard, dans un lot ultérieur »).
De l’autre côté, il est essentiel que les personnes qui font la sécurité soient en proximité directe avec les équipes techniques et opérationnelles. Pourquoi cette proximité est-elle un facteur de succès selon moi ? Simplement du fait de la fusion des métiers et des technologies !
Selon moi, le bon « mix » est une approche hybride :
- d’un côté, les « têtes de pont » doivent être indépendantes et en mesure de définir et de mettre en œuvre la stratégie de façon indépendante (en définissant les limites à ne pas franchir)
- et les équipes en charge de la mise en œuvre doivent être intégrées dans les équipes techniques et opérationnelles (ce qui offrira une meilleure cohésion et une démarche plus homogène et intégrée)
des experts sécurité boulimiques et expérimentés
Je vais être direct : la sécurité du Cloud n’en est encore qu’à ses prémisses. Pour le moment, il n’existe pas de standard ou de règles à suivre pour créer un système, un environnement 100% « de confiance » et 100% clair quant à la répartition des responsabilités entre l’utilisateur d’un service et le fournisseur du service.
Il y a bien des guides et des recommandations : y trouver son chemin n’est pas chose simple et se perdre dans les détails est chose aisée. Pour autant, il faut utiliser ce qui est disponible et ne pas hésiter à lire tout ce qui est possible (en sécurité du Cloud, la boulimie informationnelle est de rigueur).
Mais au-delà de lire, je pense qu’il est essentiel que les personnes intervenant dans la définition et la mise en place de la stratégie de sécurité possèdent une forte expérience et des connaissances larges dans le domaine de la sécurité. Des profils trop « jeunes » auront peut-être tendance à se « noyer dans un verre d’eau » ou à ne considérer que la technique et à sous-estimer le volet organisationnel.
des experts sécurité sachant innover et avec une vision stratégique
Outre l’expérience, une vision stratégique de la sécurité est clef : comme la sécurité du Cloud est encore en phase de définition, il faut savoir « donner un cap » sans forcément avoir tous les éléments détaillés pour une prise de décision. C’est encore pour cette raison qu’il faut des personnes ayant de la bouteille dans le domaine de la sécurité.
Savoir innover et mettre en place l’innovation sécurité, tant sur le plan technique que sur les usages est aussi clef. Seule une équipe aguerrie saura évaluer de façon objective le potentiel de la sécurité intégrée au niveau d’un hyperviseur, comment positionner celle-ci vis-à-vis des approches historiques et convaincre de leur intérêt tant les équipes techniques que le marketing produit…
vision des menaces et capacité à les intégrer
Le domaine du Cloud Computing est un environnement qui évolue très vite… L’évolution des menaces va peut-être encore plus vite. Savoir suivre, comprendre et intégrer les menaces dans sa stratégie de sécurité d’un Cloud est nécessaire afin de « définir le cap » et de le tenir. Car si le Cloud est l’informatique de demain, il concentrera une très grande partie des risques et menaces.
On ne peut pas définir une stratégie de sécurité sans une connaissance fine des techniques d’attaques et des personnes les utilisant. Encore une fois, être capable de faire « bonne mesure » est important car il s’agit de savoir faire le tri entre le grain et l’ivraie : trop de consultants ou « experts » ont parfois des visions théoriques ou « ne sortent pas assez de leur bulle » et vont considérer toute menace comme « critique » et cela va générer de la « sur-sécurité », donc des surcoûts.
une aventure humaine
La sécurité du Cloud est un sujet passionnant et plein d’avenir. C’est aussi un sujet en pleine définition. Il est vrai que lorsqu’on débute, la sécurité du Cloud est quelque peu déconcertante mais une fois les idées fixées c’est à la fois un domaine nouveau sans l’être vraiment.
Sujet transverse par excellence, la sécurité du Cloud mettra à rude épreuve les personnes s’y plongeant et reste un terrain de jeu pour des personnes aguerries et ayant de la bouteille.
Ceux qui travaillent dans la sécurité du Cloud en retireront de la satisfaction et conserveront dans la bouche le gout « d’avoir fait quelque chose de nouveau ».
Jean-François Audenard (aka Jeff)
crédit photo : copyright carballo - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens