Migrations cloud et gouvernance de la sécurité

Ceci ne décharge cependant pas le client de sa responsabilité sur des aspects de sécurité qui lui incombent, notamment celle des données et des accès qui vont évoluer avec ce nouvel environnement (« sécurité dans le cloud »). La transformation cloud a donc des conséquences importantes sur la façon dont la sécurité est organisée et gérée au sein de l’organisation puisqu’il va falloir l’adapter à la fois à de nouveaux systèmes, à un périmètre de responsabilités redéfini et à des risques spécifiques, liés, par exemple, à la multiplication des transferts de données ou à la difficulté d’isoler certaines ressources mutualisées.

Pour que ces systèmes dans le cloud soient convenablement protégés, on ne peut donc se contenter de transposer telles quelles les dispositions prises pour les systèmes on-premise. Il faut définir et mettre en place un nouveau modèle en faisant évoluer la politique de sécurité, l’organisation chargée de la faire appliquer ainsi que sa gouvernance, ses procédures et ses outils.

Dans ce nouveau modèle, toutes les activités ne vont pas être impactées de la même manière. Certaines activités, comme la gestion des accès, ne nécessiteront qu’un ajustement de paramètres. D’autres, en revanche, seront nouvelles vont évoluer, comme la gestion des logs au niveau du SOC. C’est aussi le cas de la gestion des tiers avec notamment des fournisseurs de cloud en mesure d’imposer leurs conditions en termes de droit de regard ou de contrôle de leurs activités. Il peut en découler des rigidités techniques, opérationnelles ou contractuelles qu’il faudra pouvoir prendre en compte (par exemple, l’impossibilité de les soumettre à ses propres audits de sécurité et nécessité de les adapter).

Évolution des compétences, des rôles, des responsabilités

Pour mettre en œuvre ce nouveau modèle, on pourra s’appuyer soit sur ses équipes internes, soit sur des services proposés par les fournisseurs de cloud. Dans le premier cas, il sera nécessaire de renforcer les compétences de ses collaborateurs (upskilling), voire d’embaucher des spécialistes, par exemple sur les nouvelles architectures, car le périmètre sera à la fois plus vaste et plus complexe. Dans le second cas, il faudra redéployer ses ressources (reskilling), notamment pour piloter le prestataire.

Au sein de l’organisation sécurité, certains rôles vont aussi évoluer. Ce sera le cas du SOC, dont le périmètre et les moyens d’action vont changer. Ce sera aussi le cas du DPO (Data Protection Office) et de la GRC (Governance, Risks & Compliance), qui devront appréhender toutes les implications des nouvelles modalités de stockage, d’accès et d’échange des données. En particulier, c’est à eux que se posera la question émergente de la souveraineté et de la protection des données vis-à-vis des lois extraterritoriales. 

Enfin, le cloud soulève des interrogations nouvelles en matière de responsabilité. La plupart des risques et des incidents se situent en effet au niveau des interfaces entre l’organisation et ses fournisseurs, ou entre les services d’un ou plusieurs fournisseurs. Il est impératif de déterminer qui surveille ces zones parfois floues et qui doit remédier à d’éventuels incidents. Dans la mesure du possible, il faudra clarifier ces points dans les contrats de service avec l’aide du service juridique.

Un enjeu culturel au-delà de la fonction sécurité

En fixant les grands principes en matière de sécurité, la politique de sécurité permet d’avoir une approche cohérente sur l’ensemble des systèmes auxquels elle s’impose. Avec l’arrivée du cloud (et plus encore dans des configurations hybrides ou multiclouds), elle devra être révisée et adaptée pour intégrer ces nouveaux environnements. Ces adaptations devront notamment tenir compte des usages envisagés pour le cloud et de sa doctrine d’utilisation. Ainsi, le passage au cloud s’accompagne souvent d’un champ d’action accrue pour les équipes : il faudra donc fixer les guidelines en conséquence afin d’encadrer les nouvelles pratiques, ceci en faisant bien comprendre aux utilisateurs qu’il s’agit bien d’une protection et non d’une contrainte.

La sécurité dans le cloud passe donc aussi par un changement de culture à tous les niveaux, et des actions de formation et de sensibilisation devront être menées auprès des équipes sécurité, bien sûr, mais aussi des équipes IT non sécurité (architectes, développeurs…) et même des utilisateurs métiers, qui doivent comprendre les capacités mais aussi les risques d’un outil aussi puissant. Comprendre permettra aux interlocuteurs métiers de l’IT de pouvoir choisir la meilleure solution proposée par l’IT en connaissance de cause au vu des besoins qu’ils émettent.

Toutefois, la sécurité n’est que trop rarement une priorité des migrations vers le cloud. On observe une tendance à la prendre en compte en fin de projet, plus en réaction et en phase aval qu’en amont des transformations et comme un critère influençant la solution à déployer. Or, précisément parce qu’on n’est plus dans ce cadre propriétaire et maîtrisé, une telle approche n’est plus possible. Une simple adaptation a posteriori des politiques et des pratiques existantes ne suffira pas car les impacts sur l’organisation, les compétences, les processus et la gouvernance de la sécurité sont trop importants. C’est pourquoi il est fondamental de prendre en compte la sécurité dès l’origine du projet et d’en faire un élément structurant du design et de la mise en œuvre de la transformation.