La sécurité en nuage multiservice, ou sécurité multinuage, est une solution de sécurité en nuage qui permet une protection complète des données sur plusieurs plateformes en nuage, y compris les nuages privés et les nuages publics comme AWS, Azure, Google Cloud Platform (GCP) et Oracle Cloud Infrastructure (OCI). Les entreprises peuvent utiliser la sécurité multinuage pour protéger toutes les plateformes en nuage et leurs différentes fonctions.
L'adoption de l'informatique en nuages multiples n'est plus un choix, c'est un élément essentiel dans une organisation moderne et rapide où l'agilité et la flexibilité influencent le succès de l'entreprise. Si les environnements multinuage offrent des avantages considérables aux entreprises, ils créent également une plus grande complexité qui peut entraîner des lacunes en matière de sécurité et des inefficacités, ce qui empêche les entreprises de tirer pleinement parti de l'économie des nuages.
Pour tirer pleinement parti de l'économie du nuage, les entreprises ont besoin d'une stratégie de sécurité multinuage. Cet article passe en revue l'architecture, les exigences, les défis et les meilleures pratiques en matière de sécurité multinuage afin d'aider les entreprises à optimiser leur stratégie en nuages multiples, quel que soit leur stade d'avancement.
L'adoption de l'informatique en nuages multiples s'est accélérée ces dernières années. Dans le Rapport sur les tendances en matière de nuage hybride de 2022 commandé par Cisco, 82 % des responsables informatiques ont déclaré avoir adopté le nuage hybride, et 58 % des organisations ont affirmé utiliser entre deux et trois nuages d'infrastructure en tant que service (IaaS)1. Selon Gartner, d'ici 2023, 40 % de toutes les charges de travail des entreprises seront déployées dans des services d'infrastructure et de plateforme en nuage, contre 20 % en 20202. Il ne fait aucun doute que les organisations ont adhéré à tous les avantages que les environnements multinuage ont à offrir. Si la majorité d'entre elles ont déjà investi de manière considérable dans plus d'un nuage pour soutenir la transformation numérique et d'autres initiatives, plusieurs prévoient aussi des investissements supplémentaires pour renforcer leurs activités numériques.
Le succès de l'informatique en nuages multiples demeure toutefois insaisissable pour de nombreuses organisations. Parmi les moyennes entreprises, par exemple, seules 50 % déclarent que le multinuage a permis d'atteindre les objectifs de l'entreprise, selon une étude réalisée en 2021 par HashiCorp3.
Lors d'échanges avec les clients, beaucoup d'entre eux ont mentionné la gestion des coûts, la gouvernance et la visibilité comme des obstacles courants à l'adoption et au déploiement d'environnements multinuage. Néanmoins, a un facteur reste constamment en tête : la sécurité. Dans une enquête Valtix réalisée en 2023, 51 % des responsables informatiques se sont dits d'accord ou tout à fait d'accord avec un énoncé voulant que leur entreprise ne souhaite pas s'étendre à d'autres nuages en raison de la complexité des aspects liés à la sécurité.
L'un des facteurs à l'origine de ces difficultés est l'idée qu'il suffit d'étendre son centre de données ou son cadre de sécurité sur site au nuage. Cependant, pour résoudre les problèmes de sécurité associés aux environnements multinuage, votre stratégie doit s'adapter à l'environnement dynamique en adoptant une stratégie de priorisation de l'infonuagique.
Cet article recommande un modèle de sécurité qui peut vous aider à progresser dans votre cheminement vers le multinuage à la vitesse du nuage et de votre entreprise.
Figure 1. Outils utilisés pour satisfaire aux exigences de sécurité des fournisseurs de services en nuage
Les environnements multinuage ajoutent des couches de risque aux organisations. Les risques peuvent découler d'une multitude de défis, dont les suivants :
Tout comme il existe des menaces dans les environnements sur site, des menaces planent sur les environnements multinuage. Compte tenu de la diversité des menaces qui peuvent affecter l'environnement en nuage d'une organisation, il n'est pas surprenant que 73 % des organisations soient très préoccupées ou extrêmement préoccupées par la sécurité en nuage. Parmi ces menaces figurent les suivantes :
Le risque de violation et de perte de données doit faire l'objet d'une grande attention. Dans le rapport sur la question commandé par IBM en 20234, le coût moyen d'une violation de données dans l'ensemble des conseils d'administration s'est élevé à 4,45 millions de dollars américains. D'autres données concernaient les environnements en nuage. Il en ressort que 82 % des violations concernent des données stockées dans le nuage et que 39 % des violations s'étendent sur plusieurs environnements. Les violations s'étendant sur plusieurs environnements ont également entraîné un coût supérieur à la moyenne de 4,75 millions de dollars américains, ce qui fait de la prévention des pertes de données et de la protection contre les mouvements latéraux un point central nécessaire dans toute stratégie multinuage.
Tout en naviguant dans le paysage des risques liés à l'infonuagique, les entreprises doivent faire face à de nombreux défis en matière de sécurité multinuage, notamment :
Nombre de ces aspects requièrent une expertise granulaire, non seulement en matière de réseaux et de sécurité, mais aussi en ce qui concerne les offres de produits et de services, l'architecture, l'automatisation et les outils de sécurité de chaque fournisseur, ce qui ne fait qu'accentuer les difficultés.
Le modèle de responsabilités partagées du nuage public garde les équipes de sécurité sur le qui-vive. Les fournisseurs proposent généralement des lignes directrices, mais dans la pratique, vous ne pouvez pas vous y fier complètement et les lignes sont parfois floues. Cela est devenu particulièrement évident au vu des exploitations récentes observées au sein des services des fournisseurs de nuages, qui ont obligé les utilisateurs finaux à atténuer les effets de ces attaques en attendant un correctif.
Dans un modèle traditionnel d'externalisation des services, votre prestataire travaille avec votre équipe pour définir clairement les limites. Ce n'est pas le cas dans le nuage.
Les choses deviennent encore plus difficiles avec le défilé constant des mises à jour et des nouveaux services proposés par les fournisseurs. Ils lancent des dizaines de services, des centaines de nouvelles fonctionnalités chaque année, sans oublier les innombrables mises à jour. Les développeurs consomment volontiers les services parce qu'ils résolvent des problèmes spécifiques ou ajoutent de nouvelles fonctionnalités. Le rythme rapide des changements leur facilite la tâche, mais complique celle de l'équipe de sécurité.
Cela plonge les équipes de sécurité dans un cycle perpétuel de rattrapage, tandis qu'elles essaient de comprendre les implications de chaque changement. Multipliez ce défi par le nombre de nuages que vous avez déployés, et le problème est rapidement exacerbé.
Figure 2. Modèle des responsabilités partagées
La réduction de la visibilité et des mesures de contrôle constitue un problème courant : 53 % des professionnels de la cybersécurité interrogés indiquent le manque de visibilité et 46 %, les mesures de contrôle inadéquates comme principal obstacle à l'adoption3. Parmi les autres risques, citons les API non sécurisées et l'absence d'une vue centralisée sur l'ensemble de l'informatique en nuages multiples.
Le secteur de la cybersécurité est confronté depuis des années à une pénurie de talents; les dernières données font état d'un déficit de 3,1 millions de travailleurs dans le domaine de la sécurité au niveau mondial en 20205. La sécurité spécifique au fournisseur nécessite une expertise approfondie des configurations de chaque nuage. Cela exacerbe la problématique du manque de main-d'oeuvre spécialisée.
Les variations des mesures de contrôle dans les nuages individuels et les architectures d'applications entraînent une application incohérente des politiques dans l'ensemble de votre environnement, ce qui entraîne des lacunes dans la protection et un affaiblissement de la posture de sécurité.
Même si l'architecture et l'approche de la sécurité de l'infonuagique sont différentes de celles de l'informatique sur site, le principe de la sécurité multicouche s'applique toujours. Il n'existe pas de solution unique qui couvre tous les vecteurs de menace et tous les types d'attaques. Lors de l'élaboration de vos couches de sécurité, tenez compte des aspects suivants :
En revanche, une solution qui fournit à la fois la mise en réseau et la sécurité d'une manière native en nuage présente de nombreux avantages. Une telle solution :
Les vulnérabilités de l'informatique en nuage constituent l'un des plus grands défis pour les équipes de sécurité. Par conséquent, ces équipes consacrent une grande partie de leur temps à l'application de correctifs. Mais la gestion des vulnérabilités ne suffit pas à vous protéger contre les menaces de type jour zéro. Lorsqu'un fournisseur est informé d'une nouvelle menace et qu'il crée un correctif, il est parfois trop tard.
Tout comme l'informatique sur site, le multinuage a besoin de moyens de défense à la fois proactifs et réactifs. Une approche de défense active vous permet de bloquer les attaques, de restreindre l'accès non autorisé aux ressources et de vous défendre contre les menaces nouvelles et émergentes. L'objectif doit être de briser la chaîne de frappe en plusieurs endroits et de ne pas compter sur un seul point de défaillance dans vos défenses. Par exemple, pour arrêter un pirate sur un serveur infiltré, stopper un employé malveillant ou freiner une attaque par rançongiciel, une solution efficace consiste à restreindre tout le trafic sortant à des catégories connues de sites, de domaines et d'adresses URL.
Bien que les solutions de sécurité multinuage présentent des fonctionnalités différentes selon leur catégorie, elles partagent un ensemble de critères communs, tels que la simplicité de déploiement et de gestion. Lors de l'évaluation de la solution de sécurité multinuage d'un fournisseur, tenez compte des aspects suivants :
Pour détecter les activités malveillantes telles que l'exfiltration de données, vous devez combiner vos informations sur les ressources en nuage et vos renseignements sur les menaces avec une visibilité complète sur tous les flux de trafic, y compris les flux entrants et sortants vers lnternet, les mouvements transversaux et les flux vers les services de plateforme proposée comme un service (PaaS).
Une solution dotée d'un ensemble de fonctionnalités complet et robuste réduira ou éliminera la nécessité de recourir à plusieurs produits ponctuels et vous permettra de consolider votre sécurité dans le nuage. Recherchez des fonctionnalités essentielles telles que l'application dynamique des politiques, la segmentation, la protection du réseau (pare-feu en nuage) et la protection Web.
Si votre sécurité vous permet uniquement de réagir aux menaces plutôt que de les arrêter de manière proactive, vos adversaires auront toujours au moins une longueur d'avance sur votre équipe. Dans le passé, la défense active nécessitait une solution fondée sur des agents. Désormais, les entreprises peuvent mettre en place une défense active avec une approche sans agent, réduisant ainsi les défis liés au déploiement et à la maintenance.
Les exigences et les environnements des entreprises évoluent constamment, et la sécurité doit pouvoir s'adapter rapidement à ces changements. La solution de sécurité multinuage doit automatiquement adapter la sécurité à la demande, découvrir de nouvelles ressources au fur et à mesure de leur mise en œuvre dans l'environnement de production et appliquer une politique basée sur le contexte, afin que votre équipe n'ait pas à se préoccuper en permanence de faire fonctionner l'outil sur plusieurs nuages, régions et comptes. La solution de sécurité multinuage doit automatiquement adapter la sécurité à la demande, découvrir de nouvelles ressources au fur et à mesure de leur mise en œuvre dans l'environnement de production et appliquer une politique basée sur le contexte, tout ceci dans interventions manuelles, afin que votre équipe n'ait pas à se préoccuper en permanence de faire fonctionner l'outil sur plusieurs nuages, régions et comptes.
Votre solution de sécurité en nuage ne doit pas aggraver la complexité d'un environnement multinuage déjà complexe. Pourtant, les produits de nombreux fournisseurs sont difficiles et longs à déployer dans l'infrastructure du nuage public. Recherchez une solution clé en main qui permette d'obtenir simplement des résultats, qui soit rapide à mettre en œuvre et qui fonctionne de manière native dans votre environnement. Ainsi, les administrateurs n'auront plus besoin d'adapter manuellement l'environnement. Au lieu de cela, la solution s'adaptera à l'environnement par le biais des API de ce nuage.
Un plan de contrôle centralisé dans des nuages disparates vous permet d'appliquer des politiques de sécurité de manière cohérente à partir d'un seul contrôleur, ce qui simplifie la gestion multinuage et allège la complexité. Pour ce faire, la solution de sécurité doit fournir une couche d'abstraction qui découple le plan de contrôle et le plan de données.
Figure 3. L'approche exhaustive de Cisco Multicloud Defense en matière de sécurité des réseaux multinuage.
Cisco Multicloud Defense résout les complexités du déploiement et de la gestion de la sécurité dans les environnements multinuage. Fourni en tant que service, il unifie les contrôles de sécurité sur AWS, Azure, GCP et OCI par le biais d'un plan de contrôle unique, simplifiant ainsi les environnements multinuage complexes.
Les équipes des TI et de DevOps d'aujourd'hui agissent rapidement pour soutenir les transformations numériques et d'autres initiatives qui permettent à votre entreprise de rester compétitive. Cisco Multicloud Defense aide vos équipes à tirer pleinement parti de l'économie du nuage avec les ressources qualifiées dont vous disposez déjà et sans compromettre la sécurité.
Figure 3. L'approche exhaustive de Cisco Multicloud Defense en matière de sécurité des réseaux multinuage
L'adoption de l'informatique en nuages multiples n'est plus un choix, c'est un élément essentiel dans un environnement professionnel moderne et rapide comme le vôtre, où l'agilité et la flexibilité influencent le succès de votre entreprise. Si vous ne comprenez pas l'ensemble des défis et des exigences de l'informatique en nuages multiples, il vous sera difficile de prendre en compte les obstacles et les risques susceptibles de s'élever au cours de votre voyage dans le nuage. Vous pouvez surmonter ces obstacles en adoptant une mentalité qui priorise l'infonuagique, en mettant en œuvre des solutions de sécurité qui réduisent la complexité et les risques dès la conception, afin d'aider votre organisation à garder le contrôle sur sa situation en toute sécurité dans ce monde multinuage en constante évolution.
Avez-vous des questions? Aimeriez-vous voir Cisco Multicloud Defense en action? Découvrez notre solution, demandez une démonstration ou obtenez un essai gratuit.
