Qui fait quoi ? Ce n’est pas toujours clair comme de l’eau de roche lorsqu’il s’agit de sécurité dans le cadre du modèle de responsabilité partagée (SRM), et vous voulez sans doute éviter une compréhension floue de la posture de sécurité de votre organisation. Pour vous prémunir contre les risques et éviter de laisser la porte ouverte aux vulnérabilités de votre environnement Cloud, qu’il soit public, hybride ou multi-cloud, il est essentiel de définir clairement les responsabilités de votre propre équipe informatique et celles de votre fournisseur de services Cloud (CSP).
L’objectif ultime du SRM est d’exploiter un environnement hautement sécurisé tout en allégeant votre charge opérationnelle.
Définition du modèle de responsabilité partagée et de sa composante sécurité
Le SRM a été développé par les principaux fournisseurs de services Cloud pour définir exactement qui est responsable de l’exécution des tâches opérationnelles dans le Cloud. En ce qui concerne la sécurité, certaines fonctions sont assumées par l’équipe de sécurité interne du client et d’autres par le CSP. Cela semble simple, mais cela peut en fait être assez complexe ; la répartition des responsabilités varie considérablement selon les fournisseurs de Cloud et les types de déploiement. Les responsabilités peuvent changer à mesure que les services Cloud évoluent – et si votre organisation utilise plus d’un CSP, cela peut devenir encore plus déroutant.
D’une manière générale, cependant, le CSP est responsable de la sécurité du Cloud (l’infrastructure) et votre organisation – le consommateur de Cloud – est responsable de la sécurité dans le Cloud (configuration des données et des ressources).
Il y a un doute sur les données
Il existe toutefois une certaine ambiguïté quant à la partie qui devrait être responsable de la protection des données dans le Cloud ; dans le cadre du SRM, les données relèvent de la responsabilité du consommateur de Cloud, mais de nombreuses organisations – et même certains experts en cybersécurité – estiment qu’elles incombent au fournisseur de services Cloud, comme en témoignent ces résultats :
- Un rapport de McAfee indique que 69 % des RSSI font confiance à leurs fournisseurs de Cloud pour assurer la sécurité de leurs données et 12 % pensent que les fournisseurs de services Cloud sont les seuls responsables de la sécurisation des données.
- Un rapport de Gartner indique : « Dans presque tous les cas, c’est l’utilisateur, et non le fournisseur de Cloud, qui ne parvient pas à gérer les contrôles utilisés pour protéger les données d’une organisation.” Le rapport poursuit en prédisant que, d’ici 2025, 95 % des défaillances de sécurité du Cloud seront imputables au client.
- Dans la récente enquête de CISO MAG sur la sécurité du Cloud, 76 % ont déclaré que le fournisseur de services Cloud était entièrement responsable de la sécurité du Cloud et 40 % ont déclaré que c’était la responsabilité des consommateurs de cloud.
La clé à retenir ici ? Mieux vaut avoir des chevauchements de sécurité que des failles de sécurité.
Comment les responsabilités en matière de sécurité sont réparties entre votre organisation et le fournisseur de services Cloud
Le CSP assume toujours l’entière responsabilité de ces deux aspects de la sécurité :
- Couche de virtualisation – contrôle du provisionnement des ressources physiques pour protéger les utilisateurs, les applications et les données.
- Matériel – protection des hôtes physiques, du réseau et du centre de données par des logiciels et des moyens physiques. Cela inclut également des mesures de sauvegarde, de restauration et de reprise après sinistre.
Comme indiqué précédemment, la protection des données organisationnelles dépend toujours de vous, le consommateur du Cloud. Cela comprend la classification des données et la responsabilisation.
À partir de là, les domaines de responsabilité dépendent du ou des fournisseurs de services Cloud que vous utilisez et du modèle de déploiement de votre choix (IaaS, PaaS, SaaS, FaaS). Cette grille du Center for Internet Security fournit une idée générale de la répartition des tâches dans le modèle de responsabilité partagée.
Alors que de plus en plus d’organisations s’appuient sur le Cloud comme base de leur croissance future, il est essentiel de définir clairement les rôles et les responsabilités en matière de sécurité et de s’assurer que les meilleures pratiques sont en place.
Si vous planifiez une initiative d’adoption du Cloud mais que vous avez des préoccupations quant au rôle que votre organisation doit jouer dans le modèle de responsabilité partagée, contactez notre équipe de conseil. Elle offre une gamme de services de conseil qui vous aideront à élaborer votre stratégie Cloud et à créer des règles de gouvernance, de sécurité et de conformité.
