Une brève histoire de la sécurisation du cloud hybride

Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk

Les entreprises dans le monde auraient dépensé 107 milliards de dollars en infrastructures cloud.

De plus en plus d’organisations adoptent l’infrastructure en tant que service (IaaS) et le cloud hybride, et il semble que cette tendance ne cesse de s’accélérer cette année. Alors que les environnements de cloud hybrides se généralisent, il est temps de se pencher sur l’évolution du cloud computing – et, plus important encore, sur la manière de sécuriser ces environnements dynamiques.

Les années 2000 et le commerce électronique

Au début des années 2000, Amazon, alors société de commerce électronique en pleine croissance, attendait de son environnement IT qu’il soit capable de répondre aux demandes saisonnières et fluctuantes considérables pesant sur ses ressources IT. Pour la plupart des entreprises de e-commerce, la demande des consommateurs atteint généralement un pic en novembre et décembre. Amazon décide donc de créer une solution pour faire face à la demande dynamique et aux besoins en ressources : Amazon Web Services (AWS) lancée en 2006.

Ce lancement permet ainsi à Amazon de dépasser ses revenus d’exploitation et de tripler ses recettes au cours des deux années suivantes donnant ainsi naissance au marché du cloud computing. Emboitant le pas à Amazon, Google lancera le Google App Engine en 2008 – devenu Google Cloud Platform – et Microsoft Azure sera lancé en 2010.

Des groupes indépendants ou des services commerciaux au sein d’une organisation choisissent souvent différents fournisseurs de cloud public pour répondre à leurs besoins spécifiques ; par exemple, pour plus de flexibilité pour gérer plusieurs secteurs d’activité et zones géographiques. Par conséquent, les organisations utilisent des services hébergés dans de multiples infrastructures de cloud public, privé et sur site, ce qui crée des environnements hybrides.

Selon le RightScale 2019 sur l’état du cloud, plus de la moitié des personnes interrogées – 54 % – disposent d’une stratégie de cloud hybride. En outre, les organisations exploitent en moyenne près de cinq clouds. De plus, les entreprises tirent parti des applications SaaS (logiciel en tant que service) et des offres de plateforme en tant que service, qui doivent toutes être accessibles à de multiples types d’utilisateurs privilégiés, ce qui élargit le paysage à sécuriser et accroît la pression sur les équipes de sécurité.

La sécurité dans les clouds publics est une responsabilité partagée entre le fournisseur de cloud public et l’organisation. Les fournisseurs s’engagent à assurer la sécurité de l’infrastructure du cloud, y compris les ressources de calcul, de stockage et de réseau, ainsi que l’infrastructure physique. Cependant, le propriétaire de l’application est responsable de la protection des applications, des données, du système d’exploitation et des autres infrastructures opérationnelles, ainsi que des actifs qui fonctionnent dans le cloud. Les propriétaires d’applications doivent garder à l’esprit que la sécurité de ces éléments dans le cloud relève de leur responsabilité.

Afin de protéger l’environnement cloud, les équipes IT doivent commencer par s’assurer que seuls les utilisateurs autorisés puissent accéder aux applications, aux infrastructures et aux plateformes cloud dont ils ont besoin uniquement. Il en va de même pour les environnements cloud hybrides – si ce n’est que les mesures de sécurité qui permettent d’assurer la sécurité du cloud doivent fonctionner pour les deux environnements ainsi que pour ceux sur site, sans ralentir ou perturber l’activité des utilisateurs.

Lorsqu’il s’agit de sécuriser des environnements hybrides, l’application des mêmes politiques de sécurité des accès à privilèges dans toute l’organisation, quel que soit l’environnement, la plateforme ou l’application SaaS, favorise leur adoption. Cela se fait notamment en facilitant la gestion desdites politiques. En d’autres termes, les mêmes politiques de gestion des accès à privilèges (PAM) et d’accès juste-à-temps doivent être appliquées de manière uniforme dans tous les environnements publics, privés et sur site pour chaque utilisateur privilégié. Les entreprises ont besoin de solutions qui permettent d’appliquer des politiques de sécurité cohérentes à l’échelle de leur organisation dans les environnements cloud et hybrides.