Qu’est-ce que le modèle de responsabilité partagée ?
Le modèle de responsabilité partagée est un cadre de sécurité et de conformité qui établit les responsabilités des fournisseurs de services cloud et de leurs clients en ce qui concerne la sécurisation de chaque aspect de l’environnement cloud, en ce compris le matériel, l’infrastructure, les endpoints, les données, les configurations, les paramètres, le système d’exploitation, les contrôles réseau et les droits d’accès.
En termes simples, le modèle de responsabilité partagée impose au fournisseur de services cloud (par exemple, Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP)) de surveiller et de neutraliser les menaces de sécurité liées au cloud lui-même ainsi qu’à son infrastructure sous-jacente. De leur côté, les utilisateurs finaux, notamment les particuliers et les entreprises, sont responsables de la protection des données et des autres ressources qu’ils hébergent dans tout environnement cloud.
Malheureusement, cette notion de responsabilité partagée peut être mal comprise et donner à penser que la protection des workloads cloud – ainsi que des applications, des données ou des activités qui leur sont associées – est sous l’entière responsabilité du fournisseur de services cloud. Dès lors, il peut arriver que les utilisateurs exécutent, sans le savoir, des workloads insuffisamment protégés dans un cloud public, ce qui les rend vulnérables aux attaques ciblant le système d’exploitation, les données ou les applications. Même les workloads sécurisés peuvent devenir une cible lors de leur exécution étant donné leur vulnérabilité aux exploits zero day.
La responsabilité partagée dans les trois modèles de fourniture de services cloud
Il existe trois modèles principaux de services cloud :
Le concept de la responsabilité partagée s’applique à chacun d’entre eux. En revanche, la propriété des fonctions et des tâches de sécurité varie selon le modèle de fourniture de services utilisé.
SaaS (Software-as-a-Service) : le modèle SaaS est un modèle de fourniture de services logiciels dans le cadre duquel le fournisseur héberge dans le cloud une application à laquelle les utilisateurs ont accès dans le cadre d’un abonnement. Avec un tel modèle, le fournisseur est responsable de la sécurité des applications, mais aussi de leur maintenance et de leur gestion.
PaaS (Platform-as-a-Service) : le modèle PaaS est un modèle de fourniture de services de plateforme qui peut être acheté et utilisé pour développer, exécuter et gérer des applications. Dans le modèle de plateforme cloud, le fournisseur fournit à la fois le matériel et les logiciels généralement utilisés par les développeurs d’applications. Le fournisseur de services est également responsable de la sécurité de la plateforme et de son infrastructure.
IaaS (Infrastructure-as-a-Service) : le modèle IaaS est un modèle de fourniture de services d’infrastructure dans le cadre duquel un fournisseur met à disposition un large éventail de ressources informatiques, telles que des serveurs virtualisés et des équipements réseau et de stockage sur Internet. Dans ce modèle, l’entreprise est responsable du maintien de la sécurité de tout ce qu’elle possède ou installe sur l’infrastructure cloud, par exemple le système d’exploitation, les applications, le middleware, les conteneurs, les workloads, les données et le code.
Type de service | Responsabilité du fournisseur | Responsabilité de l'utilisateur |
---|---|---|
SaaS | Sécurité des applications | Sécurité des endpoints, des utilisateurs et du réseau ; erreurs de configuration, workloads et données |
PaaS | Sécurité de la plateforme, y compris tous les logiciels et le matériel | Sécurité des applications développées sur la plateforme Sécurité des endpoints, des utilisateurs et du réseau, et workloads |
IaaS | Sécurité de tous les composants de l'infrastructure | Sécurité de toutes les applications installées sur l'infrastructure (par ex., le système d'exploitation, les applications et le middleware) Sécurité des endpoints, des utilisateurs et du réseau, workloads et données |
Element | SaaS | PaaS | IaaS |
---|---|---|---|
Sécurité des applications | Fournisseur de services cloud | Utilisateur | Utilisateur |
Sécurité de la plateforme | Fournisseur de services cloud | Fournisseur de services cloud | Utilisateur |
Infrastructure | Fournisseur de services cloud | Utilisateur | Fournisseur de services cloud |
Sécurité des endpoints | Utilisateur | Utilisateur | Utilisateur |
Sécurité des données / protection des données | Utilisateur | Utilisateur | Utilisateur |
Sécurité du réseau | Fournisseur de services cloud | Fournisseur de services cloud | Utilisateur |
Sécurité des utilisateurs | Utilisateur | Utilisateur | Utilisateur |
Conteneurs et workloads cloud | Utilisateur | Utilisateur | Utilisateur |
API et middleware | Fournisseur de services cloud | Utilisateur | Utilisateur |
Code | Utilisateur | Utilisateur | Utilisateur |
Virtualisation | Fournisseur de services cloud | Fournisseur de services cloud | Utilisateur |
Le modèle de responsabilité partagée en pratique
Contrôle direct
Même si le modèle de responsabilité partagée part du principe que deux parties ou plus jouent un rôle dans la sécurisation d’éléments distincts de l’environnement cloud public, il est important de souligner que le client et le fournisseur de services cloud ne partagent jamais la responsabilité d’une même ressource.
En fait, le fournisseur de services cloud ou le client est entièrement responsable de la sécurité de toutes les ressources sous son contrôle direct, indépendamment du type de modèle de service.
Ainsi, le client sera toujours responsable de la conformité, de l’accès et de la sécurité des données, qu’il ait adopté un modèle SaaS, PaaS ou IaaS. C’est assez logique dans la mesure où le fournisseur de services cloud n’a aucune visibilité sur les données hébergées dans le cloud public et ne peut donc pas gérer leur sécurité ou leur accès.
En règle générale, les clients sont responsables des aspects suivants :
- Gestion des identités et des accès (IAM)
- Sécurité et identifiants des utilisateurs
- Sécurité des endpoints
- Sécurité du réseau
- Sécurité des workloads et des conteneurs
- Configurations
- API et middleware
- Code
Pour sa part, le fournisseur de services cloud (par exemple, Amazon, Microsoft ou Google) est responsable des éléments qu’il contrôle directement. Il s’agit généralement de la sécurité des éléments suivants :
- Couche physique ainsi que tout le matériel et l’infrastructure associés
- Couche de virtualisation
- Contrôles réseau et services du fournisseur
- Installations exécutant les ressources cloud
Responsabilités communes
Dans certains modèles IaaS et PaaS, les responsabilités en matière de sécurité peuvent varier selon le fournisseur de services cloud ou les conditions de l’accord de niveau de service (SLA).
Par exemple, dans le cas d’un contrôle réseau tel qu’un pare-feu, la mise à disposition du service de pare-feu peut relever de la responsabilité du fournisseur de services cloud. En revanche, c’est à l’utilisateur de gérer tous les autres aspects du pare-feu, tels que la configuration, les règles, la surveillance et la réponse en cas de problème. Bien que les deux parties jouent un rôle dans la sécurité, les responsabilités sont néanmoins clairement définies et réparties entre les deux.
De même, si un client utilise un service de stockage de données dans un cloud public offert par un fournisseur de services cloud, ce dernier est responsable de tous les aspects de ce datacenter cloud, y compris de la sécurité, de la surveillance, de la maintenance et de la mise à jour. En revanche, le client reste entièrement responsable de la protection des données hébergées dans l’environnement cloud, et doit également veiller à en limiter l’accès aux seuls utilisateurs autorisés.
En vertu du concept de la responsabilité partagée, aucune partie n’a autorité ou pouvoir sur l’autre en ce qui concerne les méthodes qu’elles utilisent pour protéger leurs ressources. Par exemple, un client ne peut pas imposer au fournisseur quand et comment effectuer la surveillance et les tests. Cela étant, l’accord de service doit stipuler les mesures que le fournisseur prendra pour protéger les clients, et les modalités de partage de tous les documents afférents à ces activités. En général, les fournisseurs de services cloud produisent régulièrement des rapports d’audit pour confirmer la mise en place des mesures nécessaires et appropriées pour protéger leurs clients.
Avantages du modèle de responsabilité partagée
Bien que complexe et exigeant une réflexion approfondie et une bonne coordination entre le fournisseur et le client, un modèle de sécurité partagée offre plusieurs avantages majeurs aux utilisateurs, notamment :
- Efficacité : bien que le client assume une part importante de responsabilité en vertu du modèle de responsabilité partagée, certains aspects clés de la sécurité, comme la sécurité du matériel, de l’infrastructure et de la couche de virtualisation, sont presque toujours gérés par le fournisseur de services cloud. Dans un modèle de déploiement sur site traditionnel, ces aspects sont pris en charge par le client. La migration vers le cloud permet donc à l’équipe informatique de se concentrer sur d’autres tâches et besoins, mais aussi de dédier les ressources et investissements disponibles aux domaines dont elle est responsable.
- Protection renforcée : les fournisseurs de services cloud accordent une attention prioritaire à la sécurité de leur environnement cloud et allouent généralement d’importantes ressources à la protection de leurs clients. Dans le cadre de l’accord de service, les fournisseurs de services cloud assurent une surveillance stricte et des tests poussés, et appliquent les correctifs et les mises à jour chaque fois que nécessaire.
- Expertise : les fournisseurs de services cloud possèdent généralement un niveau de connaissance et d’expertise supérieur dans le domaine émergent de la sécurité du cloud. Lorsqu’un client fait appel aux services d’un fournisseur, il profite de l’expérience et des ressources de l’entreprise partenaire.
Bonnes pratiques en matière de responsabilité partagée
Lorsque les entreprises migrent vers le cloud, c’est aussi la première fois que la plupart d’entre elles vont établir et normaliser leur relation avec un fournisseur de services cloud. Pour s’y retrouver dans cet univers complexe, nous recommandons les bonnes pratiques suivantes :
- Étudiez soigneusement l’accord de niveau de service (SLA). En matière de sécurité, les responsabilités varient selon le modèle de cloud, le fournisseur de services cloud et d’autres variables. Il est essentiel pour les entreprises d’examiner soigneusement le SLA qu’elles signent avec leur fournisseur de services cloud pour déterminer les responsabilités de chacun et identifier les éventuels points flous à éclaircir. Dans le cas où l’entreprise change de fournisseur de services cloud ou adopte un nouveau modèle de fourniture des services, elle doit soigneusement réexaminer son contrat et identifier les modifications intervenues. Même si le SLA peut paraître très similaire à un précédent accord, les modifications les plus infimes dans la formulation peuvent exposer l’entreprise à des risques de sécurité graves. Enfin, dans le cas d’entreprises disposant d’un environnement multicloud, il est essentiel de passer en revue chaque SLA dans la mesure où les dispositions peuvent varier d’un à l’autre. Toute différence, même infime, entre les accords doit être prise en compte dans l’architecture et la stratégie globales de sécurité du cloud.
- Donnez la priorité à la sécurité des données. Les clients cloud sont toujours entièrement responsables de toutes les données hébergées dans le cloud ou générées par les applications cloud. Dès lors, les entreprises doivent élaborer une stratégie de sécurité des données robuste, conçue pour protéger les données hébergées dans le cloud, qu’elles soient en transit, au repos ou en cours d’utilisation.
- Dotez-vous d’une solution robuste de gestion des identités et des accès. Le client cloud est également seul en charge de la définition des droits d’accès aux ressources cloud et de l’octroi de l’accès aux utilisateurs autorisés. Cet aspect de la gestion doit être intégré dans la gamme de solutions et la stratégie IAM globale de l’entreprise.
- Adoptez le DevSecOps. Le DevSecOps, qui est l’abréviation de Développement, Sécurité et Opérations, est la pratique qui consiste à intégrer la sécurité en continu tout au long du cycle de vie du développement d’un logiciel et/ou d’une application afin de minimiser les vulnérabilités de sécurité et d’améliorer la conformité — le tout sans impacter la vitesse des cycles de distribution. Adopter une approche Shift Left ou DevSecOps est une nécessité absolue pour les équipes informatiques qui exploitent des conteneurs ou le cloud, car les deux requièrent de nouveaux outils, lignes directrices, règles et pratiques de sécurité.
- Choisissez un partenaire de confiance en cybersécurité. La sécurité du cloud est totalement différente de la sécurisation des réseaux sur site. La mise à jour et l’adaptation des outils et de la stratégie de cybersécurité pour gérer les nouveaux risques liés au cloud peuvent apparaître comme des tâches complexes et insurmontables, surtout si l’entreprise est à la tête d’un environnement hybride ou multicloud. Un partenaire de cybersécurité peut aider l’équipe de sécurité interne de l’entreprise à gérer tous les aspects de la sécurité du cloud – de la sélection d’un fournisseur de services cloud à la compréhension des responsabilités de sécurité spécifiques à chacun, en passant par le déploiement et l’intégration des outils et des solutions destinés à protéger l’entreprise.
Solutions CrowdStrike de sécurité du cloud
CrowdStrike a redéfini la sécurité avec sa plateforme cloud native la plus avancée au monde, conçue pour protéger et optimiser les ressources humaines, les processus et les technologies qui soutiennent les entreprises modernes.
Optimisée par l’architecture de sécurité cloud de CrowdStrike, la plateforme CrowdStrike Falcon s’appuie sur des indicateurs d’attaque en temps réel, la cyberveille, l’évolution des techniques des cybercriminels et des données télémétriques enrichies récoltées à l’échelle de l’entreprise pour assurer une détection ultraprécise, une protection et une correction automatisées, un Threat Hunting de pointe et une observation priorisée des vulnérabilités.
Pour en savoir plus sur les solutions CrowdStrike de sécurité du cloud, ainsi que sur nos services spécifiques à AWS, GCP et Azure, consultez les pages suivantes :