Pour des raisons de conformité, vous ne pouvez pas permettre au bateau de s’éloigner de plus d’un mètre cinquante de l’endroit désigné. Vous mouilleriez probablement l’ancre, et ce serait suffisant pour rester en place !
Maintenant, imaginez que vous êtes dans un canoë. Mais au lieu d’un étang, vous êtes au milieu d’une rivière. La même exigence de conformité s’applique. Vous devez garder votre canoë exactement au même endroit au milieu de la rivière, et vous ne pouvez pas lui permettre de s’éloigner de plus d’un mètre cinquante de l’endroit désigné. De plus, vous devez le faire sans l’aide d’une ancre. Avec rien d’autre qu’une pagaie, vous devez garder le canoë au même endroit en tenant compte du courant, du vent et de toute autre condition. Autant dire que pour y parvenir, il faudrait constamment actionner la pagaie pour ajuster et maintenir la position. Vous ne pourriez vous arrêter de pagayer, même pour deux secondes, car vous seriez déplacé et risqueriez de ne plus être conforme. On vous demande par ailleurs de faire cela sans aucune formation, ni expérience ou connaissance spécifique sur la façon de manier un canoë, et encore moins sur une rivière. Ce serait très différent du maniement d’un bateau sur un lac ou un étang.
C’est l’analogie que j’ai choisie pour illustrer les différences maintenir la conformité dans un Datacenter sur site et dans un Datacenter dans un Cloud public. Bienvenue dans le monde de la « conformité en continu ». Malgré les similitudes (embarcation flottante, sur l’eau), il existe des différences importantes (forme de l’embarcation, eau en mouvement ou eau calme, ancre ou pas d’ancre) et les compétences requises pour bien mouiller l’ancre dans un étang calme sont très différentes de celles pour manier une pagaie afin de maintenir votre position sur une surface changeante en mouvement constant.
Dans mon second podcast, j’ai eu le plaisir de m’entretenir avec Kevin McMahon, Vice-président senior et directeur de la conformité de Calpine Corporation, une entreprise d’énergie de plus de 10 milliards de dollars située à Houston au Texas. Dans les deux minutes qui ont suivi l’introduction de Kevin et la première question que j’ai posée, Kevin a répondu en identifiant l’un des plus grands défis auxquels les entreprises sont confrontées lorsqu’elles tentent d’être conformes dans le Cloud.
« Je pense que pour le Cloud, les compétences sont complètement différentes de celles que vous aviez pour gérer votre Datacenter... »
D’où mon analogie avec le fait d’être dans un canoë avec seulement une pagaie, sur une eau en mouvement constant, et d’essayer de rester au même endroit... c’est un ensemble de compétences complètement différent que de mouiller l’ancre d’un bateau sur un étang calme.
Même si de nombreuses différences sont nuancées, c’est l’une des clés à comprendre lorsqu’on utilise le Cloud public.
La conséquence la plus immédiate d’une formation inadéquate de vos équipes sur le Cloud est qu’elles continueront d’utiliser le Cloud de la même manière qu’elles le faisaient avec leur Datacenter sur site. Cela signifie par exemple ouvrir des ports pour un accès pratique ou incorporer des mots de passe dans le code pour s’en rappeler facilement. Ces actions peuvent être catastrophiques dans le Cloud. C’est peut-être la raison pour laquelle Gartner a déclaré publiquement que « d’ici 2022, au moins 95 % de tous les problèmes dans les Clouds publics seront imputables aux clients. »
En ce qui concerne le maintien de la conformité dans le Cloud, il est essentiel d’apprécier les différences entre le Cloud et votre environnement sur site. Le Cloud nécessite de s’interroger continuellement et d’évaluer votre environnement afin d’en maintenir la conformité en continu. Les aspects élastiques et éphémères propres au Cloud exacerbent les défis.
Quel que soit votre environnement de Cloud public spécifique, un excellent point de départ pour commencer à développer votre propre plan de conformité automatisée en continu est l’ebook que nous avons publié en collaboration avec AWS, intitulé « Automatisez votre conformité dans le cloud en 6 étapes ».
Il est essentiel de bien comprendre le « modèle de responsabilité partagée » du Cloud, qui est évoqué dans l’ebook. Cette double approche se résume très simplement par « DANS et DU »... vous êtes responsable de la sécurité « DANS » le Cloud et les prestataires de Cloud sont responsables de la sécurité « DU » Cloud. L’ebook poursuit en suggérant que « les entreprises doivent relever le défi de la protection de ces environnements et de l’adaptation de leurs contrôles de sécurité. Les équipes de sécurité du Cloud ne peuvent suivre le rythme du déploiement, du maintien et de la mise à jour des politiques de sécurité dans chaque environnement. » « ...il peut être difficile de remédier à des erreurs de configuration avant qu’une faille de sécurité ne se produise, en raison de la nature dynamique des environnements dans le Cloud. »
Les six étapes détaillées dans l’ebook sont les suivantes :
Vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir, donc une meilleure visibilité est cruciale pour déterminer comment protéger les environnements.
Après avoir évalué le paysage de votre environnement et la posture de sécurité actuelle, vous pouvez commencer à élaborer un nouveau programme de conformité.
Évaluez, excluez, personnalisez
Afin de passer des évaluations ponctuelles à un processus de conformité en continu, vous devez l’effectuer en permanence et définir des notifications en temps réel pour les ressources non conformes.
La remédiation automatique devrait commencer par la prise en compte des constatations les plus importantes. Il peut s’agir de verrouiller les configurations de sécurité orientées vers le public ou d’activer le chiffrement sur le stockage.
À cette étape de votre parcours de conformité, vous devriez vous concentrer sur la génération rapports actualisés.
Avant de vous lancer dans le développement de votre cadre de conformité automatisée, Kevin recommande de vous assurer que vous avez l’expertise requise pour « être à l’aise » dans le Cloud. Selon lui, la vitesse des activités, ainsi que les pressions et la nécessité de passer dans le Cloud, et l’adoption de nouvelles technologies comme les conteneurs et Kubernetes, sont immenses. La mise en œuvre de fonctions avancées dans le Cloud oblige souvent les entreprises à faire appel à une expertise externe. Il existe par ailleurs une abondance de formations de certification gratuites et payantes dans le domaine du Cloud, proposées par différents organismes (SANS, ISSA, ISACA) et par les prestataires de Cloud eux-mêmes.
Avec une équipe certifiée pour le Cloud, vous serez paré pour les infrastructures IaaS et les énormes capacités qu’elles offrent. Et avec un cadre de conformité automatisé en place, vous serez en mesure de naviguer en douceur... surtout lorsque vos auditeurs monteront à bord !