Passer au contenu

La sécurité des applications dans le cloud

Pierre Gouveia et Abdembi Miraoui
27 novembre 2024

Zero Trust, la recette de la sécurité des applications dans le cloud 

La migration vers le cloud fait souvent naître des préoccupations en matière de cybersécurité jusqu’à en devenir un frein majeur. L’idée d’abandonner les forteresses de ses data centers pour l’inconnu du cloud peut sembler risquée.

Dans cet environnement ouvert du cloud, les menaces peuvent surgir de toutes parts, à tous les niveaux et par divers canaux. Transposer des méthodes et des dispositifs de sécurité traditionnels ne suffît plus. Une migration ou un développement sur le cloud public nécessite un renforcement des mesures de sécurité adapté à cet environnement dynamique

Cette vigilance accrue est d’autant plus indispensable que l’infrastructure cloud est souvent confiée à un tiers. Même si les hyperscalers possèdent des ressources inégalées et des niveaux de sécurité impressionnants, ils ne sont pas infaillibles.

La sécurité du cloud, qui est de la responsabilité de l’hébergeur, ne doit pas être dissociée de la sécurité dans le cloud, qui incombe au client. Il est crucial de se prémunir contre les attaques directes sur les applications et celles visant la plateforme, qui pourraient in fine affecter les utilisateurs/clients finaux. Cette approche globale et cohérente, appelée Zero Trust, instaure une défense en profondeur sur toutes les couches, de l’infrastructure matérielle à l’interface utilisateur. 

Zero Trust s’implémente progressivement et avec pragmatisme

Quand on parle de Zero Trust, les entreprises imaginent souvent des investissements massifs, des projets interminables et des perturbations qui pourraient affaiblir la sécurité actuelle. Or, Zero Trust n’est pas une simple solution technologique, mais une philosophie de cybersécurité : il s’agit de ne faire confiance a priori à aucune connexion, à aucun appel, et de vérifier systématiquement leur sûreté et légitimité.

Cela implique l’implantation de mécanismes, de procédures et de pratiques de vigilance à tous les niveaux. On peut les implémenter à son rythme, avec pragmatisme, en fonction des risques, des menaces, des enjeux métiers et de la sensibilité des applications et des données qu’elles contiennent. Zero Trust est une démarche progressive et continue, essentielle pour sécuriser efficacement les applications dans le cloud, dès le début du projet de migration ou construction. 

Dans une approche Zero Trust, la priorité absolue est de vérifier l’identité et les autorisations de chaque personne cherchant à se connecter à l’application. Une fois connectées, elles ne doivent accéder qu’aux informations et actions pour lesquelles elles sont habilitées. C’est pourquoi une gestion robuste des accès et des identités (IAM), combinée à une authentification multi-facteurs (MFA), est la pierre angulaire du dispositif. 

Mettre fin aux pratiques imprudentes

Dans le cloud, il est impératif de mettre fin aux pratiques imprudentes souvent tolérées dans les data centers traditionnels. Les accès communs, les mots de passe système partagés au sein d’une équipe rarement voire même jamais changés ou inscrits en dur dans le code, ne sont plus acceptables. Désormais, chaque utilisateur doit disposer d’un accès nominatif, il faut renouveler les mots de passes des systèmes régulièrement en minimisant leurs manipulations par les équipes.

La modernisation technique offre l’opportunité de centraliser et d’automatiser cette gestion des secrets en utilisant des coffres-forts numériques. De plus, diverses techniques de chiffrements et d’authentifications comme les clés et certificats doivent être mises en place pour garantir la légitimité des communications entre les différentes couches applicatives. 

Dans une version avancée de Zero Trust, une plateforme globale (Cloud Native Application Protection Platform, CNAPP) devient essentielle pour gérer la cybersécurité des applications cloud. Cette approche permet non seulement d’éviter les dérives techniques qui pourraient affaiblir la structure, mais aussi de rester informé des méthodes des attaquants et des vulnérabilités qu’ils exploitent. 

Cadre global et déploiement par projet

La mise en œuvre de la démarche s’effectue en cascade. Des experts en cybersécurité définissent les grands principes de la plateforme et adaptent la politique de sécurité de l’entreprise au contexte du cloud. Ces lignes directrices sont ensuite déclinées au sein de chaque projet par des équipes d’architectures compétentes en cybersécurité. Cette adaptation est encadrée par des mécanismes de contrôle et le cas échéant une revue de sécurité comportant une analyse des risques, permettant de déterminer s’il est nécessaire d’ajouter des règles spécifiques. 

Pour industrialiser ce travail, Capgemini a élaboré une méthodologie propre fondée sur des « building blocks ». Il s’agit de constituer un référentiel de composants d’architecture dont la sécurité et la conformité ont été validées les différents experts du client. Chaque architecte peut alors piocher dans ce catalogue avec la certitude d’utiliser des éléments sûrs, compatibles et approuvés.

Cette méthode fiabilise la migration, l’accélère et permet de passer aisément à l’échelle. Elle apporte aussi une certaine souplesse de construction, permettant d’accompagner la montée en maturité sur l’approche Zero Trust, et de mettre progressivement en place la gouvernance, les processus et les outils pour développer, moderniser, surveiller et maintenir des applications cloud sécurisées. 

Une sécurité accrue après la migration cloud

La plupart des entreprises reconnaissent que la sécurité de leurs applications s’améliore après leur migration cloud. Trois facteurs principaux y contribuent :

  • La modernisation de l’application et sa remise à niveau technique, corrigeant des failles potentielles.
  • La mise en place de nouveaux mécanismes de sécurité alignés sur l’approche Zero Trust.
  • La sécurité inhérente à la plateforme cloud.

De plus, elles s’engagent dans un cercle vertueux de renforcement constant de leur sécurité applicative.

Auteurs

Pierre Gouveia

Principal Cloud Architect

Abdembi Miraoui

Co-Head of Service Line “Cloud, Endpoint & Infrastructure Security”
Abdembi est un expert dans le domaine de la cybersécurité, avec une expertise particulière dans les sujets clés tels que le Cloud, les Endpoints et l’infrastructure. Il est responsable de la service line cybersécurité “Cloud, Endpoint & Infrastructure Security” au sein de l’entité cybersécurité du groupe. Grâce à ses connaissances pointues et son expérience approfondie acquise depuis plus de 15 ans. Abdembi est capable de fournir des conseils avisés sur les enjeux de cybersécurité les plus complexes. Il est passionné par sa mission de protéger les entreprises contre les cybermenaces et de renforcer la résilience de leurs systèmes.

    Nos autres articles de blog

    Migrations cloud et gouvernance de la sécurité

    Le cloud transforme la sécurité, nécessitant une approche proactive et une révision des processus, des compétences et de la gouvernance pour réussir la migration.

    Unifier la sécurité dans le cloud grâce au CNAPP

    Simplifier la surveillance, la détection et la neutralisation des menaces et des vulnérabilités potentielles pour la sécurité du cloud.

    Cloud et cybersécurité : un pas de deux vers la maturité

    Une démarche conjointe et indissociable afin de répondre aux besoins d’adaptation face à l’évolution rapide des menaces et des technologies.

    Pour aller plus loin

      Objectif CLOUD

      Explorez le potentiel du cloud avec notre podcast dédié

      En savoir plus

      Cloud

      Accélérez votre transformation vers le cloud avec un partenaire de confiance

      En savoir plus

      Objectif CYBER

      Le podcast qui décrypte toutes les facettes de la cybersécurité

      En savoir plus