La sécurité multicloud est une solution de sécurité cloud qui assure la protection complète des données sur de nombreuses plateformes de cloud privé et public telles qu'AWS, Azure, Google Cloud Platform (GCP) et Oracle Cloud Infrastructure (OCI). Elle protège l'ensemble des plateformes cloud et des fonctionnalités associées.
Bien plus qu'une simple option, le multicloud s'est imposé comme un élément phare d'un environnement d'entreprise moderne et dynamique où l'agilité et la flexibilité jouent un rôle clé. Et malgré leurs bénéfices considérables, les environnements multicloud amènent également davantage de complexité pouvant occasionner des failles de sécurité et des inefficacités qui empêchent l'entreprise de tirer pleinement parti de la rentabilité du cloud.
Pour bénéficier de tous les avantages du cloud à moindre coût, les entreprises ont besoin d'une stratégie pour la sécurité multicloud. Cet article passe en revue l'architecture, la configuration requise, les problématiques et les bonnes pratiques de la sécurité multicloud pour aider les entreprises à optimiser leur stratégie multicloud à chaque étape du processus.
Le multicloud a connu un véritable essor ces dernières années. Dans le rapport 2022 sur les tendances du cloud hybride commandé par Cisco, 82 % des responsables IT avaient déjà adopté le cloud hybride et 58 % des entreprises utilisaient entre deux et trois clouds IaaS (Infrastructure en tant que service)1. Selon Gartner, 40 % de tous les workloads devraient être déployés via des plateformes cloud d'ici 2023, soit une hausse de 20 % par rapport à 20202. Il ne fait aucun doute que les entreprises ont adopté tous les avantages que les environnements multicloud ont à offrir. Et si la majorité d'entre elles ont déjà investi de manière significative dans plusieurs clouds pour soutenir la transformation numérique et d'autres initiatives, elles sont nombreuses à vouloir poursuivre ces investissements afin de devenir de véritables entreprises numériques.
Pour autant, de nombreuses entreprises peinent encore à profiter pleinement du multicloud. Prenons l'exemple des PME dont seule la moitié a pu tirer parti du multicloud pour atteindre ses objectifs métiers, selon une enquête menée en 2021 par HashiCorp3.
Si la gestion des coûts, la gouvernance et la visibilité sont souvent citées comme obstacles à l'adoption et au déploiement d'environnements multicloud, un autre facteur arrive systématiquement en tête de la liste : la sécurité. Dans une enquête Valtix de 2023, 51 % des responsables IT ont expliqué être plutôt d'accord ou tout à fait d'accord avec l'affirmation selon laquelle leur entreprise ne souhaitait pas s'étendre davantage dans le cloud en raison des difficultés sur le plan de la sécurité.
En effet, beaucoup pensent qu'il suffit de migrer son data center ou son cadre de sécurité sur site vers le cloud. Toutefois, pour relever les défis en matière de sécurité au sein des environnements multicloud, l'entreprise doit adapter sa stratégie aux spécificités de l'environnement dynamique du cloud.
Dans cet article, nous mettons en avant un modèle de sécurité qui vous permet d'accélérer votre transition vers le multicloud au rythme du cloud et de vos priorités.
Figure 1. Outils utilisés pour répondre aux impératifs de sécurité selon le fournisseur de services cloud
Les environnements multicloud impliquent de nouveaux risques pour l'entreprise qui peuvent se présenter sous différentes formes :
Certaines menaces ciblent les environnements on-premise, tandis que d'autres ciblent les environnements multicloud. La diversité des menaces pesant sur l'environnement cloud des entreprises est telle qu'il est peu surprenant que 73 % d'entre elles se disent très préoccupées ou extrêmement préoccupées par la sécurité du cloud. Les exemples de menaces ne manquent pas :
Les failles et les pertes de données constituent le risque le plus notoire. Selon le rapport 2023 d'IBM sur le coût d'une violation de données4, le coût moyen global d'une violation de données s'élève à 4,45 millions de dollars. Concernant les environnements cloud, le rapport révèle que 82 % des failles ciblent des données stockées dans le cloud et que 39 % s'étendent à plusieurs environnements. Les violations de données sur plusieurs environnements affichent un coût plus élevé que la moyenne qui s'élève à 4,75 millions de dollars. De ce fait, la prévention des pertes de données et la protection contre les mouvements latéraux doivent faire partie intégrante de toute stratégie multicloud.
Dans le paysage des menaces du cloud, les entreprises doivent faire face à de nombreux défis en matière de sécurité multicloud, notamment :
Nombre de ces aspects requièrent une expertise poussée en matière de réseau et de sécurité du cloud, mais aussi une connaissance approfondie des offres de produits et de services, de l'architecture et des outils d'automatisation et de sécurité de chaque fournisseur cloud, ce qui ne fait qu'accentuer les difficultés.
Le modèle de sécurité à responsabilité partagée du cloud public oblige les équipes de sécurité à faire preuve d'une grande prudence. Si les fournisseurs proposent généralement des lignes directrices, dans la pratique, celles-ci sont rarement totalement applicables et manquent parfois de clarté. Preuve en a d'ailleurs été apportée par les récents exploits qui ont ciblé divers services cloud et auxquels les utilisateurs ont dû faire face en attendant qu'un correctif soit déployé.
Dans un modèle traditionnel d'externalisation des services, l'opérateur travaille avec votre équipe pour définir les limites et les responsabilités de manière précise. Ce n'est pas le cas dans le cloud.
De plus, les choses se compliquent avec le défilé incessant de mises à jour et de nouveaux services proposés par les fournisseurs. Chaque année, des dizaines de nouveaux services, des centaines de nouvelles fonctionnalités et autant de mises à jour voient le jour. Les développeurs s'empressent d'adopter ces nouveaux services pour résoudre certaines problématiques ou ajouter de nouvelles fonctionnalités à leur arc. Le dynamisme du cloud est une aubaine pour eux, mais un casse-tête pour les équipes de sécurité.
Ces dernières doivent sans cesse mettre à jour leurs systèmes de protection en évaluant l'impact potentiel de chaque changement. Il suffit alors de multiplier ces difficultés par le nombre de clouds déployés pour avoir une idée de l'ampleur de la tâche.
Figure 2. Modèle de responsabilité partagée
Le manque de visibilité et le manque de contrôle sont des problèmes récurrents, cités respectivement comme principaux freins à l'adoption par 53 % et 46 % des professionnels de la cybersécurité interrogés3. Les autres risques incluent l'utilisation d'API non sécurisées et l'absence de vision unifiée sur les différents clouds.
Le secteur de la cybersécurité se heurte depuis plusieurs années à une pénurie de talents, les dernières données faisant état d'un déficit de 3,1 millions de professionnels de la sécurité au niveau mondial en 20205. Assurer la sécurité des différentes solutions de fournisseur cloud nécessite une connaissance approfondie des configurations de chaque cloud, ce qui accentue encore davantage la pénurie de talents.
Les clouds et les architectures applicatives sont également soumis à des niveaux de contrôle distincts, d'où une application hétérogène des politiques qui génère des failles de sécurité et réduit le niveau de sécurité.
Même si l'approche de la sécurité et de l'architecture du cloud diffère de celle on-premise, le principe de la sécurité multicouche reste d'actualité. Il n'existe pas de solution universelle qui protège de tous les vecteurs de menaces et tous les types d'attaques. Une sécurité multicouche devrait reposer sur plusieurs éléments clés :
À l'inverse, une solution native du cloud qui allie technologie de réseau et sécurité présente de nombreux bénéfices :
Les vulnérabilités du cloud constituent l'une des principales difficultés pour les équipes de sécurité qui passent beaucoup de temps à appliquer des correctifs. Malheureusement, gérer les seules vulnérabilités ne protège pas l'entreprise des menaces zero-day. Le temps qu'un fournisseur identifie une nouvelle menace et crée un correctif, il est souvent trop tard.
À l'instar d'une infrastructure on-premise, le multicloud appelle une sécurité à la fois proactive et réactive. Une sécurité active permet de neutraliser les attaques, d'empêcher tout accès non autorisé aux ressources et de lutter contre les menaces émergentes. L'objectif doit être de briser la chaîne de frappe de l'attaque en plusieurs endroits et de ne pas se focaliser sur un point de défaillance unique dans vos défenses. Par exemple, pour neutraliser un hacker sur un serveur piraté, un utilisateur malveillant ou une attaque par ransomware, il peut être judicieux de restreindre en dernier ressort tout le trafic sortant vers des catégories connues de sites, de domaines et d'URL.
Bien que leurs fonctionnalités diffèrent en fonction de leur catégorie, les solutions de sécurité multicloud ont plusieurs points communs, notamment la facilité de déploiement et de gestion. Voici les critères à prendre en compte pour bien choisir sa solution de sécurité multicloud :
Pour détecter des activités malveillantes telles que l'exfiltration de données, vous devez associer votre Threat Intelligence et vos informations sur les ressources cloud à une visibilité complète sur tous les flux de trafic (entrant et sortant d'Internet, est-ouest et vers les services PaaS).
Opter pour une solution dotée de nombreuses fonctionnalités robustes permettra de consolider la sécurité cloud sans passer par une multitude de produits spécifiques. La solution devra intégrer des outils essentiels tels que l'application de politiques dynamiques, la segmentation, la protection du réseau (pare-feu cloud) et la protection du web.
Si votre sécurité vous permet uniquement de réagir aux menaces plutôt que de les neutraliser en amont, les hackers auront toujours une longueur d'avance sur votre équipe. Auparavant, la protection active nécessitait une solution basée sur des agents. Aujourd'hui, une approche sans agent est également possible, ce qui simplifie le déploiement et la maintenance.
Face à l'évolution constante des environnements et des impératifs métiers, la sécurité doit pouvoir s'adapter rapidement aux nouveaux besoins. La solution de sécurité multicloud doit faire évoluer la protection en temps réel en fonction de la demande. Elle doit pouvoir détecter les nouvelles ressources à mesure qu'elles intègrent l'environnement de production, et appliquer des politiques contextuelles afin que l'équipe de sécurité n'ait pas besoin de redéployer l'outil dans chaque cloud, chaque région et chaque compte. La solution de sécurité multicloud doit faire évoluer la protection en temps réel en fonction de la demande. Elle doit pouvoir détecter les nouvelles ressources à mesure qu'elles intègrent l'environnement de production, et appliquer des politiques contextuelles de manière automatisée afin que l'équipe de sécurité n'ait pas besoin de redéployer l'outil dans chaque cloud, chaque région et chaque compte.
Votre solution de sécurité cloud ne doit pas rendre l'environnement multicloud encore plus complexe qu'il n'est déjà. Pourtant, de nombreux fournisseurs proposent des produits difficiles et longs à déployer dans l'infrastructure de cloud public. Nous vous conseillons d'opter plutôt pour une solution clé en main efficace, rapide à mettre en œuvre et qui s'exécute de manière native dans votre environnement. Vos administrateurs n'auront plus besoin d'adapter manuellement la solution à l'environnement, car la solution gérera elle-même l'environnement via les API déployées dans chaque cloud.
En adoptant un plan de contrôle centralisé pour les différents clouds, vous pouvez appliquer vos politiques de sécurité de manière cohérente à partir d'un seul contrôleur pour simplifier la gestion multicloud et réduire la complexité. Votre solution de sécurité doit pour cela fournir une couche d'abstraction qui sépare le plan de contrôle et le plan de données.
Figure 3 : Cisco Multicloud Defense : une approche holistique de la sécurité du réseau multicloud
Cisco Multicloud Defense aide les entreprises à déployer et à gérer plus facilement la sécurité de leurs environnements multicloud. Proposée sous forme de service, la solution unifie les contrôles de sécurité dans AWS, Azure, GCP et OCI grâce à un plan de contrôle unique, amenant davantage de simplicité dans les environnements multicloud complexes.
Aujourd'hui, les équipes IT et DevOps doivent faire preuve de réactivité pour soutenir la transformation numérique et les autres initiatives qui aident votre entreprise à rester compétitive. Cisco Multicloud Defense les aide à tirer pleinement parti de la rentabilité du cloud en mobilisant les compétences internes dont vous disposez déjà et sans compromettre la sécurité.
Figure 3 : Cisco Multicloud Defense : une approche holistique de la sécurité du réseau multicloud
Bien loin de n'être encore qu'une option, le multicloud s'est imposé comme un élément phare d'un environnement d'entreprise moderne et dynamique où l'agilité joue un rôle clé. Il est essentiel de tenir compte de tous les défis et exigences du multicloud pour être en mesure de surmonter les obstacles et les risques qui pourront jalonner votre parcours de migration dans le cloud. Pour relever le défi, adoptez une approche qui donne la priorité au cloud en mettant en œuvre des solutions de sécurité conçues pour réduire la complexité et les risques. Vous permettrez ainsi à votre entreprise de garder le contrôle en toute sécurité dans un monde multicloud qui ne cesse d'évoluer.
Vous avez des questions ? Vous voulez voir Cisco Multicloud Defense en action ? Découvrez le produit en action, demandez une démonstration ou testez la solution par vous-même grâce à notre essai gratuit.
