Le modèle de la responsabilité partagée est une répartition des rôles de chacun (fournisseurs et clients) dans la sécurisation du cloud. En effet, de nombreux fournisseurs dotent leurs infrastructures cloud d’outils de sécurité standards pour protéger les accès. Mais une part de sécurisation revient également à l’entreprise cliente du fournisseur de cloud.
Car, selon l’utilisation qu’elle en fait, l’entreprise doit développer sa propre stratégie pour sécuriser non seulement ceux qui ont un accès privilégié pour administrer leurs comptes cloud, mais aussi les workloads qui y sont stockés. Or c’est bien là que le bât blesse. Selon un récent sondage mené par Centrify, 60% des interrogés manifestent une méconnaissance du modèle de responsabilité partagée, lorsqu’il s’agit de garantir un accès privilégié aux environnements cloud, et ne remplissent donc pas leur part de sécurisation.
Pourtant les entreprises sont bien les plus à même de sécuriser leurs accès, puisqu’elles sont à la source de l’architecture du schéma de sécurisation. En effet, elles sont les mieux placées en matière de sécurisation pour deux principales raisons : pour être en conformité avec le RGPD, les entreprises sont propriétaires des informations données au fournisseur et elles ont une bonne connaissance du niveau d’accréditation dont elles ont besoin au quotidien. Il s’agit donc pour l’entreprise de comprendre son rôle et de prendre ses responsabilités à bras-le-corps.
La gestion des accès à privilèges est un point de départ pour assumer cette responsabilité. Trois bonnes pratiques peuvent être mises en place.
1. Comprendre que les outils de sécurisation proposés par les fournisseurs de cloud ne sont pas efficaces face à des stratégies multi-cloud. Il est donc de la responsabilité de l’entreprise de construire et de mettre en place une stratégie de sécurisation des accès privilégiés aux environnements hybrides cloud.
2. Réduire les risques associés à la gestion d’identité. En effet, plus de 76% des entreprises utilisent plus d’un annuaire d’identités dans leur cloud, les laissant potentiellement exposés à « l’étalement de l’identité ». Au lieu de cela, ils devraient centraliser la gestion d’identités dans un annuaire central, tel qu’Active Directory, et l’utiliser comme source unique pour attribuer les droits et accorder les accès privilégiés.
3. Renforcer le principe du moindre privilège. Autoriser un accès privilégié sans restriction en interne ou en externe équivaut à une demande d’intrusion. Raison pour laquelle, il est conseillé d’adopter une approche de PAM (gestion des accès à privilèges), basée sur le « Zero Trust », dont les principes permettent de prioriser à temps le risque d’abus des accès à privilège.
Cet article a été écrit par Philippe Corneloup, directeur des ventes, Centrify.