Dans le cloud, « une erreur, un oubli, une case à cocher » peut provoquer un incident majeur (Frédérick Meyer, Auchan)
![Image [Cyberleaders] ChatGPT, IA génératives : quelle confiance leur accorder ?](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
À quelques jours de l’ouverture du FIC 2022, retour sur l’une des tables rondes de l’édition précédente « Comment sécuriser un environnement cloud ? ». Frédérick Meyer, CISO d’Auchan Retail International, y évoque les nouveaux dangers de cybersécurité liés à la migration Cloud. Il insiste notamment sur la maîtrise de l’ensemble du processus de sécurité et sur la gestion des identifiants et des accès.
En faisant passer l’IT à l’ère industrielle, le Cloud impose de repenser la cybersécurité
Le Cloud fait en effet passer les systèmes IT à l’ère industrielle : il impose donc d’utiliser des solutions de sécurité adaptées à cette échelle, et donc de maîtriser en temps réel l’ensemble des processus de sécurité, avec plus de rigueur et de précision que dans une démarche on-premise.
Le simple oubli d’une case à cocher peut provoquer un incident de grande ampleur
Frédérick Meyer évoque le cas d’un potentiel incident de sécurité, qui aurait pu être « très grave » pour Auchan : il provenait uniquement d’une case qui n’avait pas été cochée dans la mise en place d’un processus de sécurité. Avec le Cloud, souligne ainsi Frédérick Meyer, un incident aux conséquences dramatiques peut avoir pour origine « une erreur, un oubli, une case à cocher ».
Il note un autre problème des infrastructures Cloud : la dépendance au fournisseur pour effectuer une étude d’impact. Dans le cadre de l’incident déjà évoqué, le fournisseur Cloud a en effet dû désarchiver un an de données, et a mis cinq mois à transmettre à Auchan les éléments nécessaires à cette étude d’impact.
La gestion des identités et des accès, une composante clef de la sécurité du Cloud
Par ailleurs, si de nombreux modèles de fourniture de Cloud existent, ils s’appuient tous sur l’architecture de sécurité du fournisseur. Cela représente un vrai changement de paradigme. En effet, pour une cybersécurité on-premise, l’entreprise définit ses besoins et cherche un fournisseur pour y répondre. Mais dans le Cloud, c’est le fournisseur qui propose ses offres, avec des profils de sécurisation différent, et le client doit s’y adapter, avec une marge de manœuvre souvent limitée.
Dans tous les cas, deux aspects restent toujours sous la responsabilité de l’entreprise : la sécurité des données (le choix des données stockées dans le Cloud) et, surtout, la gestion des identités et des accès.
La problématique est particulièrement saillante si un employé quitte l’entreprise : quand les données étaient stockées on-premise, il fallait entrer physiquement dans les locaux pour y accéder. En revanche, un ancien employé disposant encore d’identifiants actifs peut accéder au Cloud de l’entreprise de n’importe où. D’où la nécessité de verrouiller le compte d’un ex-employé chez tous les fournisseurs de SaaS, dès l’instant où il quitte l’entreprise.