Sécurité et cloud : n’oubliez pas les applications

Si aujourd’hui le cloud est devenu une orientation pour les entreprises, la sécurité des applications est souvent délaissée. Public, privé ou hybride, les questions de souveraineté, d’adhérence et de niveau de sécurité pour les applications ne sont pas à négliger.

Quand on parle du cloud, la notion de sécurité est toujours mise en avant comme un frein, mais elle englobe plusieurs éléments : disponibilité, localisation des données, performance, qualité de service, … La variété est également de mise pour les applications, « des sites d’e-commerce ou institutionnels avec une exposition au public, des web services ou des applications métiers, des solutions en mode SaaS, sans oublier les API », explique Edouard Viot, product manager chez  Rohde & Schwarz cybersecurity (Deny All a été racheté par Rohde & Schwarz cybersecurity en 2017)

Face à cette diversité, la protection doit être adaptée pour prévenir et bloquer les menaces internes et externes. La réponse se décline en trois lettres WAF pour « web application firewall », qui se charge d’analyser et de surveiller le trafic entrant et sortant des serveurs d’applications et des sites Internet. « Avec l’arrivée du cloud, le WAF de Deny All peut être installé sur site, sur le cloud public (via les marketplace AWS, Azure et OpenStack) et en mode SaaS sous le nom Protector », souligne le dirigeant et d’ajouter, « ce dernier comporte plusieurs avantages : facilité d’installation, pas de problème de mise à jour (patching virtuel), meilleure protection contre des attaques en déni de service ».

 

Moins d’adhérence, plus de dialogue

Mais Edouard Viot estime surtout que Protector lève trois hypothèques pesant sur les responsables de la sécurité. La première porte sur la souveraineté, « si des éclaircissements ont été donnés sur le Patriot Act et les grands acteurs du cloud public ont investi dans des datacenters en Europe, le Cloud Act a relancé les inquiétudes des RSSI et le sujet de la souveraineté est à nouveau d’actualité ». Dans ce cadre, Rohde & Schwarz cybersecurity  s’est associé avec Agarik pour accompagner les PME dans leur migration cloud et la sécurisation des applications.

Le second point concerne l’adhérence aux fournisseurs de IaaS, « le métier d’AWS ou de Microsoft avec Azure est de verrouiller les clients. Ils proposent plusieurs fonctionnalités et notamment du WAF, mais en cas de migration vers un autre opérateur, il est très difficile, voire impossible de transférer des politiques et des règles de sécurité », précise Edouard Viot. Couplé avec un orchestrateur, « la brique de sécurité, en l’occurrence Protector, peut s’adapter à n’importe quelle configuration de cloud, hybride ou multiple ».

Enfin le niveau de sécurité est le dernier point de tension au sein du cloud, « avant avec le load balancer, la sécurité était une option, aujourd’hui les opérateurs fournissent des solutions comme du CDN (Content Delivery Network) et les clients veulent de la compliance », analyse le responsable. Et de conclure, « il y a un changement de paradigme. Avant chaque élément de sécurité disposait de sa console de management, mais ne communiquait pas beaucoup. Maintenant, le WAF à travers sa console peut dialoguer avec des outils d’orchestration cloud comme Terraform par exemple ou un SIEM pour les entreprises les plus avancées en matière de sécurité ».

Cette entrée a été publiée dans Actualités, RGPD. Vous pouvez la mettre en favoris avec ce permalien.