Le déficit de compétences à la fois en Cloud et Cybersécurité en fait un cocktail explosif difficile à contrôler. Il est alors nécessaire de poser le débat “sans émotion” afin d’aligner les équipes sur une approche répondant à la fois à la flexibilité demandée par les métiers et au souhait des RSSI de mettre sous contrôle ces nouvelles solutions.

Cela met bien entendu sur le devant de la scène l’approche “zero trust” qui s’affranchit des frontières du réseau et de la sécurité périmétrique pour se concentrer sur les utilisateurs ainsi que la donnée et les services. Ce nouveau paradigme a souvent comme pierre fondatrice le “qui”. Qui souhaite accéder ? Qui accède ? Qui est derrière le “qui” ? (Pour aller plus loin sur cette thématique n’hésitez pas à visiter notre section sur l’identité numérique). La principale vulnérabilité de ces plateformes est en effet souvent liée au contrôle d’accès.

D’un point de vue pragmatique nous observons non pas un Cloud mais des Cloud avec des approches hybrides et multi-Cloud qui rendent complexes leurs sécurisations. Chaque solution nécessite en effet son propre plan de sécurité devant s’inscrire sein d’une démarche plus globale.

Lors de l’adoption d’une plateforme IaaS, PaaS ou SaaS il convient tout d’abord de bien configurer les options de sécurité en plus du contrôle d’accès. Les solutions IaaS en particulier disposent d’une multitude de fonctions de sécurité à configurer avec la plus grande attention. Une fois ce socle mis en place, se pose la question des composants complémentaires fournis par le provider et souvent payant, à activer ou non. Pour plus de clarté certains providers comme Amazon, proposent également un document de référence sur le partage des responsabilités avec leurs clients sur les thématiques de cybersécurité.

Synetis dispose de références opérationnelles sur lesquelles capitaliser pour vous aider dans votre démarche de sécurisation IaaS (GCP, AWS et Azure), PaaS et SaaS.