« Cloud : la sécurisation du poste de l’administrateur reste sous-estimée »

Parmi les thèmes au programme de Cloud Expo Europe : la gouvernance, les architectures cloud hybride et, bien entendu, la sécurité. Entretien avec Arnaud Jumelet, Cloud & Security advisor, Microsoft.

Arnaud Jumelet
Arnaud Jumelet

Cloud & Security advisor, Microsoft

Sur le front de la sécurité, quel est le sentiment des managers IT face à la montée en puissance du cloud ?
Il faut le reconnaître : il existe un sentiment de perte de contrôle. Avec le cloud, c’est notamment le versioning qui inquiète. De nouvelles fonctionnalités sortent à un rythme que les responsables IT ne peuvent pas forcément suivre et… utiliser.

Les pratiques de sécurité se sont-elles adaptées à ces environnements ?
Il est difficile de généraliser. Certaines organisations sont très matures, c’est une évidence mais j’ai le sentiment que les analyses de risques ne sont pas encore devenues des pratiques courantes. Designer son architecture, définir un modèle de menaces, identifier les points faibles… Ces démarches ne sont pas encore devenues des automatismes.

 

Des points sont-ils chroniquement sous-estimés ?
Il y en a un qui me vient immédiatement à l’esprit, c’est la sécurité des devices depuis lesquels les organisations administrent leurs ressources cloud. Sur ce point, j’observe un déficit d’attention. Et pourtant, il faut bien comprendre qu’un administrateur cloud peut tout faire, modifier des paramètres réseaux, effacer des données applicatives… Il faut donc travailler sur la sécurisation de ce poste d’administration : le dédier à cet usage, lui associer de l’authentification à double facteur, etc. Dans le même esprit, il importe de délimiter les rôles, de cloisonner les accès…

Au sein d’une architecture cloud, quels sont les points qui vont faire la différence en matière de sécurité ?
Ils sont nombreux mais on peut en citer au moins 4 :
– Les zones de disponibilité pour assurer la résilience de l’architecture. Concrètement, un client répartit les ressources de son architecture entre plusieurs datacenters au sein d’une même région.
– Les protections avancées, notamment contre les attaques de type DDOS (Distributed Denial Of Service). Sur ce sujet, Azure détecte maintenant les messages suspects au sein même des couches applicatives.
– La segmentation de l’architecture. C’est la vocation de nos « VNet Service Endpoints » qui, une fois activés, isolent les ressources de tout accès à Internet.
– La gestion des clés de chiffrement qui, avec Azure Key Vault, s’effectue au sein de modules matériels sécurisés.

Je pourrais en citer encore bien d’autres. Ce qu’il faut retenir : Azure propose aujourd’hui de quoi mettre en œuvre des modèles d’architecture hautement sécurisés. Nous avons d’ailleurs produit, sur un cas d’école, un modèle qui décrit toutes les bonnes pratiques de sécurité. Et nous avons soumis ce modèle à un auditeur PCI/DSS (norme de sécurité en vigueur pour les cartes bancaires) qui l’a approuvé.

Microsoft a récemment annoncé Azure Confidential Computing : comment résumer cette initiative ?
Son objectif est de protéger les données les plus sensibles. Cette initiative s’appuie sur une technologie d’Intel, nommée SGX, qui permet de déporter du code et des données au sein d’une enclave matérielle sécurisée. Ce procédé sera utilisable depuis Azure SQL Database mais aussi depuis le framework Coco dédié aux blockchains.

D’ici à la fin de l’année, à quelles nouveautés peut-on s’attendre ?
Ce que tout le monde attend, c’est l’ouverture en France de nos datacenters. Nous disposerons de deux régions Azure, Paris et Marseille. Cela permettra des scénarios assez uniques sur le marché du cloud en France, comme la possibilité d’avoir de la haute-disponibilité et dans le cadre d’un PRA d’opérer une bascule d’une région à une autre.

Pour en savoir plus » retrouvez Arnaud Jumelet lors de son intervention sur Cloud Expo Europe Paris