Embed Size (px)
DESCRIPTION
Le Cloud s’impose. En tant que ressource de stockage, vecteur d’activité et mécanisme de fourniture de services. Peu d’entreprises seraient capables de gérer l’impressionnant volume de données qui transite chaque jour sur leurs réseaux sans la souplesse ni l'élasticité fournies par le Cloud. De plus, rares sont les éditeurs de logiciels de premier ordre qui ne fournissent que des applications sur mesure. Enfin, et c’est bien le plus étonnant, encore moins nombreuses sont les entreprises qui invoquent des questions de sécurité pour retarder la migration de leur infrastructure vers le Cloud.
Citation preview
L I V R E B L A N C
L’urgence de repenser la sécurité via le Cloud
Sommaire Introduction Le paysage actuel de la sécurité Faire migrer les investissements en sécurité vers le Cloud Gérer la sécurité de l’information et la conformité dans le Cloud Gérer les menaces avancées via le Cloud La nouvelle dimension : la sécurité des applications Web En conclusion À propos de Qualys
2
3
3
5
8
6
7
8
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 2
« L’intérêt pour le Cloud privé est important en raison de la rapidité et de la souplesse qu’il promet. » Rachel Chalmers, Chargée de recherches en gestion
d’infrastructure chez l’analyste 451
Group
« Bien qu’il soit nécessaire d’être vigilant lors de la sélection de tels services, les entreprises ne devraient plus considérer la sécurité comme un frein à l’utilisation des
services Cloud. » Fran Howarth,
Analyste en chef chez Bloor
Introduction Le Cloud s’impose. En tant que ressource de stockage, vecteur d’activité et mécanisme de fourniture de services. Peu d’entreprises
seraient capables de gérer l’impressionnant volume de données qui transite chaque jour sur leurs réseaux Sans la souplesse ni l'élasticité fournies par le Cloud. De plus, rares sont les éditeurs de logiciels de premier ordre qui ne fournissent que des applications sur mesure.
Enfin, et c’est bien le plus étonnant, encore moins nombreuses sont les entreprises qui invoquent des questions de sécurité pour retarder la migration de leur infrastructure vers le Cloud. Mais cette migration vers le Cloud continue d’avoir de profondes implications en termes de sécurité. Avec le Cloud computing, les données circulent et sont stockées via des infrastructures qui ne sont pas entièrement sous le contrôle des entreprises qui restent
responsables de ces données. C’est bien là tout le paradoxe de la conformité à la norme PCI-DSS : vous ne contrôlez pas les personnes qui peuvent accéder aux données, mais vous êtes responsables des dommages qu’elles provoquent si elles tombent entre de mauvaises
mains. En outre, comme les budgets informatiques sont sous pression et qu’attirer et fidéliser des spécialistes de la sécurité peut s’avérer une tâche ardue, peu d’entreprises ont les moyens de s’offrir un niveau de sécurité et de conformité adapté à leurs besoins.
Comme le confirme d’ailleurs le nombre de plus en plus important d’incidents de sécurité divulgués, même au sein d’entreprises majeures qui ont mis en place des mesures de sécurité réfléchies.
La croissance rapide des ressources Cloud privées externes et internes indique cependant
que la valeur prime sur d’autres critères. Ainsi, le cabinet d’analyse Gartner prévoit un chiffre d’affaires mondial de près de 150 milliards de dollars d’ici 2015 pour les services
Cloud.
Les entreprises commencent à admettre que le Cloud computing offre des opportunités en
matière de sécurité. Abordé de la bonne manière et avec les précautions qui s’imposent, le
Cloud peut en fait devenir un facilitateur de la sécurité.
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 3
Le paysage actuel de la sécurité Aujourd’hui, les départements informatiques doivent sécuriser non seulement les ordinateurs portables et les réseaux, mais aussi les
tablettes, les smartphones, les machines virtuelles, etc. L’augmentation massive des points de vulnérabilité, que le Jericho Forum appelle « dépérimétrisation du réseau », est un cauchemar sécuritaire qui prend des proportions considérables. La protection
traditionnelle des points d’extrémité n’est plus une option pratique.
La simple prolifération des équipements accroît les risques de manière exponentielle. Chaque professionnel de la sécurité est bien
conscient que le maillon le plus faible dans la chaîne de la sécurité est d’origine humaine. Associez à cela la probabilité que, pour
chaque équipement supplémentaire, ces humains prêtent moins d’attention à ce qu’ils voient et font sur ces équipements et vous avez
une situation rêvée pour un cybercriminel. Un rêve encore plus accessible à l’heure où les téléphones mobiles se transforment en terminaux de paiement mobiles.
Bien entendu, il y a des humains qui travaillent au sein du département informatique et l’équation doit également tenir compte des utilisateurs. Les erreurs de configuration sont une source majeure de vulnérabilités et une perte de temps pour les administrateurs
informatiques. Si bien qu’il reste souvent peu de temps pour contrôler les configurations après chaque changement effectué ou pour
faire de la maintenance préventive, plus particulièrement au sein des entreprises qui manquent de ressources informatiques ou de sécurité dédiées. Pour nombre d’entreprises, s’assurer que les évaluations et la remédiation des vulnérabilités seront bien exécutées, ou
que les politiques destinées à des systèmes tels que des firewalls seront bien mises à jour dans les délais, implique tout simplement trop
de contraintes si bien que les risques de sécurité se multiplient au fil du temps. Les incidents de sécurité deviennent plus fréquents et l’entreprise court le risque de ne pas passer avec succès les audits de conformité.
D’un autre côté, le Cloud est administré et configuré de manière centralisée tout en restant une entité presque infiniment souple qui est en contact avec chaque point d’extrémité *et* qui reste sous le contrôle de l’équipe chargée de la sécurité de l’information (RSSI). Il est
temps que la sécurité fasse partie intégrante du Cloud.
Faire migrer les investissements en sécurité vers le Cloud L’une des spécificités majeures de la sécurité dans
le Cloud est que l’équipe chargée de la sécurité
n’est pas contrainte de déployer des équipements ou des logiciels à travers l’entreprise dans la
mesure où c’est le fournisseur SaaS qui héberge
ces ressources au sein de centres de données sécurisés. Il y a donc moins d’équipements à
déployer et de logiciels à installer pour profiter
des mêmes avantages. En outre, comme il n’est pas nécessaire d’acquérir des équipements, le
coût du Cloud computing est fondamentalement
associé au budget d’exploitation et non pas au budget d’investissement.
Coûts variables (OpEx)
Coûts fixes (CapEx)
Coûts variables (OpEx)
Économie du Cloud computing
COÛTS
Informatique traditionnelle
UTILISATEURS
Cloud Computing
Figure 1 : l’économie du Cloud computing
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 4
Au niveau du déploiement concret, l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a publié des
recommandations concernant le partage des responsabilités en matière de sécurité entre l’entreprise et le fournisseur SaaS.
Client Fournisseur de services
• Conformité aux lois sur la protection
des données à caractère personnel
• Maintenance et facilité d’administration du système de gestion des identités et
de la plate-forme d’authentification
• Sécurité et disponibilité de
l’infrastructure physique
• Procédures de gestion des correctifs et de durcissement
• Configuration sécurité de la plate-forme
• Supervision des systèmes
• Maintenance de la plate-forme de
sécurité
• Collecte des journaux et supervision de
la sécurité
Figure 2 : Partage des responsabilités pour les offres SaaS
Source: ENISA
L’enquête 2011 sur les perspectives du Cloud Computing réalisée par Cloud.com a révélé des avis partagés parmi les personnes interrogées sur leur perception de la sécurité. Parmi 521 personnes interrogées, 32% d’entre elles ont déclaré que la sécurité est un
facteur qui influence leur choix de recourir au Cloud computing. De nombreuses années durant, les grandes entreprises ont utilisé des
fournisseurs de services pour maintenir leurs actifs technologiques. Désormais, même la plus petite des entreprises a massivement recours aux services dans le Cloud non seulement pour faire des économies mais aussi pour améliorer sa sécurité et ses ressources.
Comme indiqué dans la Figure 2 ci-dessus, l’utilisation des services de Cloud computing fait que l’essentiel des responsabilités en matière de sécurité incombe au fournisseur de services. Pour garantir la fiabilité des services qu’il offre ainsi que l’intégrité et la
confidentialité des informations, le fournisseur SaaS doit mettre en place une infrastructure IT durcie et fiable qui satisfait aux exigences
de conformité et autres normes requises pour les applications qu’il fournit. Ceci permet de réduire sensiblement les ressources et coûts liés aux obligations de conformité tout en fournissant des rapports et des journaux d’audit qui démontrent l’efficacité du déploiement.
Le Cloud est également une solution idéale pour les entreprises qui disposent de peu de ressources de sécurité de l’information en
interne. En effet, elles peuvent accéder à des services de sécurité plus évolués et garantir la sécurité et la disponibilité des données de leurs clients. Ces services comprennent notamment l’analyse et la supervision des codes malveillants et des vulnérabilités. Ils peuvent
également étendre l’analyse du flux de trafic et de la bande passante pour une défense automatisée contre les attaques par déni de
service distribué (DDoS).
Whitepaper: Cloud-Security: Warum Sicherheits-strategien dringend neu überdacht werden müssen page 5
Étude de cas : Cisco est l’une des premières entreprises à avoir
adopté la sécurité dans le Cloud pour trois raisons majeures :
• Analyse et évaluation des
vulnérabilités à la demande et
dans le monde entier sous la forme d’un service fourni de manière centralisée
• Niveaux garantis d’évolutivité et
de performances
• Possibilité de fonctionner de
manière coopérative avec des appliances de sécurité pour une analyse locale et poussée
« Pouvoir regrouper et hiérarchiser les vulnérabilités permet de réduire les données à des métriques qui donnent lieu à une conversation sur le
niveau de risque que notre interlocuteur est prêt à accepter sur son centre de données et qui est lié au montant qu’il doit investir dans la gestion des vulnérabilités. Il
peut désormais connaître les actifs impactés, la gravité des vulnérabilités détectées, les groupes concernés, etc. Nous n’avions pas la possibilité de collecter et d’analyser des données d’évaluation de cette
façon avant[de souscrire à des services de sécurité dans le Cloud] et certainement pas dans cette mesure. » Doug Dexter, Responsable d’équipe chez Cisco
Gérer la sécurité de l’information et la conformité dans le Cloud Outre la facilité de déploiement, la disponibilité permanente et la maîtrise des coûts
variables qu’offre le mode SaaS, la sécurité dans le Cloud procure des avantages
directement liés à la fourniture de services de sécurité de pointe basés sur l’inspection du
contenu ou des systèmes afin de contrer les menaces sophistiquées.
Les raisons qui expliquent pourquoi les responsables de la sécurité du système
d’information (RSSI) consacrent davantage de leur budget aux services dans le Cloud sont faciles à comprendre :
• Exploitation des toutes dernières informations disponibles sur les menaces. Identifier les vulnérabilités les plus récentes, les codes malveillants ou les sites Web
non conformes nécessite une équipe de chercheurs dédiée pour identifier la menace et mettre à jour le processus d’inspection de la sécurité. Une offre de sécurité en mode
SaaS épargne aux administrateurs informatiques la distribution coûteuse de mises à
jour sur les équipements. L’approche dans le Cloud fournit les informations les plus
récentes chaque fois que l’entreprise sollicite le service.
• Automatisation de la vérification de la conformité. Les solutions de sécurité dans le
Cloud peuvent corréler les informations collectées lors d’inspections système pour générer automatiquement des rapports sur les performances de la sécurité et
confronter ces résultats avec les exigences de conformité. En automatisant la
vérification de la conformité, les RSSI économisent une énergie et un temps précieux,
et de ce fait peuvent superviser en permanence les incidents de sécurité susceptibles de se produire sur les systèmes critiques.
• Accès à toute l’entreprise. Avec une solution de sécurité SaaS fournie dans le Cloud, les administrateurs informatiques ne sont pas contraints de consacrer toujours plus de
temps et de ressources pour la mise à jour des serveurs, et autres sites distants. L’entreprise distribuée reçoit les mises à niveau directement du fournisseur de sécurité
sans qu’il soit nécessaire de les planifier ni de les pousser dans toute l’entreprise.
• Distribution et fourniture sécurisées des applications. Pour les entreprises
disposant d’une équipe de sécurité et pour celles possédant une pléthore de sites Web, les solutions SaaS offrent une protection des applications Web permettant de
sécuriser des sites de n’importe quelle taille et de tout niveau de complexité contre une multitude de vecteurs d’attaques malveillantes, avec l’avantage supplémentaire
d’une fourniture applicative hautement disponible.
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 6
Étude de cas : Manulife
Financial pratique l’analyse des vulnérabilités sur site depuis un
certain temps déjà, mais la
structure hautement distribuée de l’entreprise fournit des
résultats à la fois incohérents et
incomplets à l’équipe chargée de la sécurité de l’information. La
migration vers un service Cloud a
non seulement permis de maintenir les budgets sous
contrôle, mais elle a également
offert des avantages
supplémentaires en termes de sécurité au-delà des équipements
réseau, notamment l’analyse des
applications Web.
Le point sur les menaces persistantes avancées
Ces dernières années, les menaces persistantes avancées
(APT) ont été accusées d’être
responsables de presque toutes
les compromissions de données qui ont fait la une des médias. En
réalité, la plupart des attaques
classées comme menaces APT sont dues à des erreurs humaines
: des individus trompés par une
attaque de phishing intelligente ou pas si futée que cela.
Le Cloud peut s’avérer très utile pour gérer les APT (ou les erreurs
humaines). Si vous faites migrer
au moins quelques éléments de
votre infrastructure de sécurité vers le Cloud, votre entreprise
profitera de configurations
locales moins sensibles aux vulnérabilités dans la mesure où
le fournisseur de services Cloud
se chargera des configurations de sécurité et des activités de
protection proactive.
Avec une solution en mode SaaS de gestion des risques de sécurité et de la conformité à la fois
performante et bien intégrée, les entreprises peuvent :
• Définir des politiques pour établir une infrastructure informatique fiable et conforme à la
bonne gouvernance et aux meilleures pratiques.
• Automatiser les évaluations de sécurité permanentes et gérer efficacement les risques
de vulnérabilités sur les systèmes et les applications.
• Atténuer les risques et éliminer les menaces grâce à une gestion des vulnérabilités
granulaire.
• Surveiller et mesurer la conformité de son infrastructure depuis une console unifiée pour gagner du temps et réduire les coûts.
• Distribuer des rapports de sécurité et de conformité sur mesure pour répondre aux
besoins uniques des RSSI, des dirigeants, des auditeurs et autres professionnels de la sécurité.
Gérer les menaces avancées via le Cloud Le paysage actuel des menaces est si complexe et sophistiqué que, pour bon nombre
d’entreprises, il n’est tout simplement pas rentable de tenter de gérer la sécurité en s’appuyant sur leurs seules ressources internes. De nouvelles menaces apparaissent dans le
Cloud, sont fournies via le Cloud et achetées et vendues sur le Cloud. Il est donc justifié de tirer
parti de la plate-forme infiniment évolutive fournie par le Cloud pour gérer ces menaces efficacement et soulager l’entreprise d’une tâche à la fois fastidieuse et complexe.
Dans la mesure où les vulnérabilités connues sont relativement peu nombreuses par rapport aux codes malveillants identifiés, il est raisonnable de donner la priorité à la découverte et à la
correction des vulnérabilités plutôt qu’à la lutte contre chaque exploit potentiel ou code
malveillant récemment développé. Si votre entreprise envisage de faire migrer ses opérations de sécurité vers le Cloud, tenez compte de ce qui suit lorsque vous rédigez votre cahier des
charges et que vous commencez à communiquer avec des éditeurs et des fournisseurs de
solutions.
À propos des compétences du fournisseur de services :
• Offre-t-il une visibilité globale de l’état de la sécurité informatique et de la conformité de
l’entreprise ?
• Facilite-t-il l’innovation métier sans une infrastructure métier contraignante ?
• Garantit-il la conformité et la détection des codes malveillants sur les nouveaux
environnements d’exploitation et les nouvelles applications ?
• Réduit-il les dépenses de sécurité en facturant uniquement ce que l’entreprise utilise ?
• Prend-il en charge les changements fréquents au sein des environnements informatiques suite aux opérations de fusion-acquisition et aux nouvelles applications
utilisées ?
• Offre-t-il un outil stratégique pour créer des programmes de gestion des risques de sécurité informatique et de la conformité ?
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 7
La nouvelle dimension : la sécurité des applications Web Les applications Web deviennent les nouvelles cibles d’attaques informatiques dans les entreprises modernes qui étendent leur
présence en ligne pour mieux servir leurs clients. Pourquoi ? Parce que les applications dans le Cloud sont tout aussi peu sécurisées que
les applications traditionnelles installées sur les postes de travail. Parfois appelés pare-feux pour applications Web, les moniteurs d’applications Web sont en passe de devenir un composant « indispensable » de l’architecture de sécurité des entreprises basées dans le
Cloud dans la mesure où ils permettent de protéger ces applications en temps réel contre des cyber attaques qui ne cessent d’évoluer.
Pourquoi les applications Web sont-elles si vulnérables :
• Le génie logiciel reste une science immature. Les développeurs ont encore beaucoup de chemin à parcourir avant de savoir bâtir de puissants logiciels de manière prévisible et répétable. Des progrès sont réalisés en matière de meilleures pratiques, mais
beaucoup de développeurs continuent de batailler.
• La technologie évolue à grands pas. L’innovation fait avancer les entreprises. Mais les nouvelles fonctionnalités sont souvent
prioritaires au détriment de la sécurité qui est reléguée au second plan. Nous tentons sans cesse de rattraper le temps perdu. Pas seulement avec les tiers malveillants, mais aussi avec nous-mêmes.
• Les entreprises doivent être souples. La sécurité ne joue qu’un rôle relativement mineur dans le développement d’une
entreprise, beaucoup d’autres facteurs ont une influence bien plus grande. Il existe un savant équilibre entre sécurité, utilisabilité et commercialisation. En affaires, le dernier facteur l’emporte généralement sur le premier.
• Les applications sont propriétaires. Non seulement l’entreprise typique possède un gros parc d’applications, mais en raison du rythme du développement très rapide, les nouvelles applications sont désuètes dès leur déploiement ou presque.
Les pare-feux pour applications Web (WAF - Web Application Firewalls) peuvent assister les équipes chargées de la sécurité aux niveaux suivants :
• Conformité
• Correctifs virtuels (généralement pour les applications sur mesure)
• Protection contre les exploits connus (généralement pour les applications bien connues)
• Durcissement des applications (pour relever le niveau)
• Supervision de la sécurité des applications en temps réel (parfois dénommée connaissance de l’environnement)
• Évaluation des vulnérabilités de manière passive et permanente
Les firewalls pour applications Web dans le Cloud serviront de fondement à de nombreux et nouveaux développements passionnants en matière de sécurité d’entreprise, notamment la détection passive et permanente des vulnérabilités, l’analyse scientifique,
l’optimisation des performances dynamiques, la supervision de l’expérience utilisateur, le suivi des nouvelles menaces et le
durcissement de la sécurité des applications.
Livre blanc : l’urgence de repenser la sécurité via le Cloud page 8
En conclusion La sécurité pilotée depuis le Cloud est une sécurité disponible à la demande qui permet de relever tous les défis posés par les pirates.
Pas d’encombrement des pare-feux, pas de latence, pas de déploiement excessif, pas d’attente de nouveaux déploiements de
signatures. Grâce à cette approche à la demande de la gestion des risques de sécurité informatique et de la conformité, les entreprises de toute taille peuvent renforcer leurs initiatives de sécurité et de conformité de manière cohérente et plus rapidement, tout en
réduisant leurs coûts et en rationalisant leur fonctionnement.
A propos de Qualys Qualys, Inc . (NASDAQ : QLYS), principal fournisseur de solutions de sécurité et de conformité dans le Cloud, propose des solutions
éprouvées et évolutives à plus de 6000 entreprises dans 100 pays, dont une majorité des sociétés présentes aux classements Fortune 100 et Forbes Global 100. QualysGuard Cloud Platform et sa suite de solutions intégrées de sécurité et de conformité aident les
entreprises à simplifier leurs opérations de sécurité et à réduire le coût de la conformité. Cette plate-forme délivre des services de
Security Intelligence à la demande et automatise l'audit, la mise en conformité et la protection des systèmes d'information et des
applications Web. Fondée en 1999, Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance et des cabinets de conseil de premier ordre tels que Accuvant, BT, Dell SecureWorks, Fujitsu, NTT, Symantec, Verizon et Wipro. Qualys a co-
fondé la Cloud Security Alliance (CSA). Pour plus d'informations, consultez www.qualys.com.
© Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Tous les autres produits ou noms sont la propriété de leurs détenteurs respectifs. 9/12
Qualys, Inc. – Siège social Qualys est une société d’envergure mondiale avec des représentations 1600 Bridge Parkway dans le monde entier. Pour connaître le bureau le plus proche de Redwood Shores, CA 94065 chez vous, rendez-vous sur http://www.qualys.com États-Unis T: 1 (800) 745 4355
