Comment sécuriser les données lorsqu’elles ne sont plus dans le centre (de données)

Par Marc Lueck, RSSI EMEA chez Zscaler

La langue a un pouvoir qui lui est propre. Bien qu’une langue vivante soit en constante évolution, les mots qui la composent sont créés une fois pour toutes et ils façonnent nos pensées et nos pratiques de manière étonnamment diffuse et lente. À l’opposé, l’évolution rapide des technologies a profondément modifié les différents termes utilisés dans le secteur. Lorsque leur usage persiste, ce n’est pas toujours à bon escient. On trouve un bon exemple dans le terme « centre de données », qui repose sur l’idée que les données sont stockées et protégées de manière centralisée, aux côtés d’autres données et systèmes. Avec la transformation numérique, notamment l’adoption généralisée du Cloud, le terme ainsi que l’état d’esprit qui lui est associé devraient être corrigés.

Depuis le début de la révolution du Cloud, nous avons vu le centre de données classique perdre en prévalence et en importance. De plus en plus d’applications et de services étant délocalisés vers de multiples environnements dans le Cloud, les données ne sont plus conservées dans cette relique centralisée du passé. Les pratiques de stockage et de sécurité héritées de notre réflexion sur ces centres de données nous ont amenés à penser que toutes ces données pouvaient être traitées « en masse » si et quand une organisation avait besoin d’y accéder ou de les protéger. C’était l’approche « jardin clos », dans laquelle l’informatique a la main sur tout ce qui se trouve dans les limites d’un périmètre de protection, un concept qui n’existe plus à l’ère du Cloud.

Pourtant, le mot existe toujours et reste utilisé dans la communication informatique de tous les jours, et de ce fait, l’approche associée du « jardin clos » continue souvent d’être déployée pour tenter de protéger et de fournir l’accès à ces informations. Ce comportement crée un faux sentiment de sécurité lorsque les données et les systèmes sont dans le Cloud, et peut conduire à l’échec des projets si le chemin d’accès aux données n’est pas adapté aux nouveaux environnements.

L’évolution du Cloud

Un autre facteur a influencé la tendance à la « cloudification » : la pandémie, qui a agi comme un catalyseur, accélérant l’adoption du Cloud dans bon nombre d’organisations. Depuis que le travail en présentiel est devenu l’exception, un très grand nombre d’entreprises, dans une variété de secteurs, ont dû faciliter le travail à distance pour l’ensemble de leur personnel, ce qui a entraîné un changement rapide et massif des capacités ou des plans antérieurs. Les applications et les données ont alors quitté les périmètres à sécurité centralisée, mais sans pour autant faire évoluer la terminologie et l’état d’esprit.

Bon nombre d’entreprises dans le monde connaissent actuellement des transformations à grande échelle tandis qu’elles adoptent cette tendance à la numérisation et se détournent de leurs centres de données, mais l’infrastructure de sécurité est souvent maintenue alors même qu’elle est devenue inefficace. Les organisations continuent de s’appuyer sur leur pile technologique existante, basée sur le centre de données, pour protéger l’accès à ces nouvelles architectures Cloud révolutionnaires et sont donc confrontées à de nouveaux défis qui les empêchent d’exploiter pleinement le potentiel de leur démarche de cloudification.

Une infrastructure combinée faisant cohabiter configuration multicloud et centres de données traditionnels est à la fois incroyablement complexe et coûteuse à gérer, et cette architecture n’a tout simplement pas de sens. En outre, une approche axée sur la sécurité héritée peut constituer un obstacle à l’innovation, car elle oblige le trafic de données à emprunter les longs chemins qu’il empruntait déjà avant la cloudification. Les organisations sont malgré tout nombreuses à choisir de continuer d’exploiter une infrastructure traditionnelle parallèlement aux nouvelles technologies innovantes, le temps pour elles d’acquérir une confiance totale dans les nouvelles possibilités offertes par l’informatique dématérialisée. Mais parfois, ce changement n’a tout bonnement jamais lieu.

Sécuriser les données lesquelles ne sont plus dans le centre

Bien que la transformation numérique soit inévitable en soi, la manière dont les entreprises abordent le changement a un impact considérable sur la fluidité de cette transition. Avec l’avènement du Cloud, il n’existe plus d’endroit unique où mettre en place des contrôles autour des données. De fait, les entreprises doivent prendre conscience de la nécessité d’évaluer à partir de zéro les menaces, les risques et les contrôles disponibles. Même si le Cloud offre un large éventail de possibilités, une incertitude permanente subsiste quant à la manière de mettre en œuvre les fonctions d’accès et de sécurité. Il ne suffit pas de déplacer les données vers des environnements Cloud pour réussir la transition vers le Cloud, il est primordial de s’adapter entièrement à la nouvelle architecture de sécurité sans périmètre. Des moyens adaptés au nouveau mode de travail plus souple doivent impérativement être utilisés pour obtenir les mêmes résultats et la même protection des données pour les environnements Cloud.

Quel que soit l’endroit où se trouvent les utilisateurs et les données et quel que soit le réseau qu’ils utilisent pour accéder à leurs applications et services, les équipes informatiques doivent garder le contrôle des flux de données grâce à un plan d’application centralisé supervisant les règles et les politiques d’accès. Il s’agit fondamentalement de l’amorce d’un parcours Zero Trust. Les entreprises doivent aborder cette approche Zero Trust de manière globale, de façon à relever les défis que représentent les environnements informatiques décentralisés, la mobilité des employés et les charges de travail diverses.

Le rôle du modèle Zero Trust

Sans Zero Trust, une identité connue, qu’il s’agisse d’un collaborateur, d’une charge de travail ou d’un appareil de confiance, se voit généralement accorder l’accès à l’ensemble d’un réseau, plutôt qu’à la seule application avec laquelle elle travaille. Le réseau ainsi que la totalité des applications et appareils qui y résident courent alors le risque d’une violation. Cette question préoccupe de plus en plus les organisations, surtout depuis l’appel à privilégier le télétravail lancé au début de l’année 2020. Cette approche est un héritage de la mentalité rattachée au centre de données. Tant que l’utilisateur se trouvait dans l’enceinte de l’entreprise, lui et l’appareil qu’il utilisait étaient automatiquement considérés comme fiables.

Mais à l’heure où le centre de données n’est plus qu’un endroit parmi d’autres auxquels les employés accèdent, et où une minorité des demandes d’accès émane du réseau de l’entreprise, les organisations ont besoin d’un système qui n’accorde plus aux individus une présomption de confiance pour accéder à Internet ou aux applications dans le périmètre de l’entreprise, et qui au contraire leur impose de gagner cette confiance sur la base de l’identité et du contexte.

C’est là qu’intervient un autre principe : celui du « moindre privilège ». L’authentification d’un utilisateur sur la base de ses droits d’accès améliore considérablement la sécurité et la convivialité, et la mise en œuvre de cet accès pour chaque transaction ou connexion augmente cette sécurité de manière exponentielle. Ce sont ainsi les politiques définies par logiciel, plutôt que les réseaux, qui connectent en toute sécurité le bon utilisateur à la bonne application ou au bon service. Les utilisateurs et Internet sont séparés par une seule plateforme Cloud sécurisée qui inspecte tout le trafic à destination de l’appareil. Le Zero Trust remplace le modèle classique de sécurité réseau et les entreprises qui l’ont mise en œuvre reconnaissent d’ores et déjà l’importance d’un accès rapide aux applications pour la satisfaction des employés dans le domaine de l’IT, quel que soit le mode d’accès aux applications.

Le Cloud et l’adoption continue du modèle Zero Trust sont les principaux facteurs qui viennent invalider le terme de « centre de données ». La majorité des professionnels de la sécurité savent désormais que la transformation numérique ne sera jamais un processus simple. Mais le Cloud permet aux entreprises d’exploiter des services innovants qui atténuent les risques tout en renforçant la sécurité, l’agilité et l’efficacité. À l’avenir, on peut s’attendre à ce que les environnements Cloud et les outils de collaboration vers lesquels les organisations se sont tournées quand elles en avaient un besoin immédiat soient maintenus en place lors d’un éventuel retour des employés dans les locaux.

L’histoire nous dira combien de temps encore le terme « centre de données » restera dans l’esprit des responsables des architectures modernes. Peut-être serait-il temps de se mettre en quête d’un nouveau terme.