Lorsqu’elles déplacent leurs applications vers le cloud, de nombreuses organisations partent du principe que les services cloud couvriront également l’ensemble de la cybersécurité, y compris la sécurité Web. En réalité, quel que soit le niveau de service cloud que vous choisissez, la sécurité des applications Web est quelque chose que vous devez toujours couvrir par vous-même.
Les entreprises ont diverses raisons de passer au cloud. Certains le font pour économiser sur l’achat et l’entretien de leur propre matériel. D’autres vont plus loin et externalisent également les services pour réduire la ponction sur leurs propres ressources. Ceux qui souhaitent décharger toute l’administration et les services associés à un fournisseur de cloud pensent souvent que cela inclut également toute la cybersécurité – mais est-ce le cas ?
La grande question est la suivante : lorsque vous passez au cloud, pouvez-vous supposer que vos services cloud incluent également la sécurité des applications Web ? La réponse courte est non. La réponse longue est que cela dépend du type d’environnement et de services cloud. Alors, commençons par les bases.
Tous les nuages ne se ressemblent pas
Le terme cloud est très générique, presque aussi générique que le terme ordinateur . Pensez à la différence entre un superordinateur et un smartphone (qui est maintenant un ordinateur de poche) – et les types et portées des services cloud peuvent varier encore plus.
Pour comprendre les différences entre les niveaux de service cloud, rappelez-vous que la pile technologique utilisée pour, par exemple, votre site WordPress est composée de plusieurs couches, un peu comme des lasagnes. Vous commencez par la couche matérielle et le micrologiciel dont elle a besoin pour fonctionner. En plus de cela, vous avez le système d’exploitation, souvent assis au-dessus d’une couche de virtualisation supplémentaire. Vient ensuite le logiciel Web de base : le serveur Web et (le cas échéant) le serveur d’application. En plus de cela, vous disposez de technologies et de modules supplémentaires côté serveur, tels que PHP et une base de données MySQL. Ce n’est qu’alors que vous avez votre application Web réelle – WordPress, dans cet exemple. Vous êtes également susceptible d’avoir plusieurs plugins WordPress. Et tout cela pour contenir votre configuration WordPress personnalisée et, enfin, votre contenu.
Les couches de la lasagne de votre application Web peuvent être soit déplacées vers le cloud, soit gérées par vous localement. Cependant, pour les services cloud, il existe trois types généraux de modèles cloud, chacun couvrant un ensemble différent de couches. Voyons ce que chaque type de service cloud fait pour la sécurité de votre application Web.
Cloud niveau 1 : Infrastructure en tant que service (IaaS)
Lorsque vous déplacez vos actifs vers un cloud IaaS, vous vous débarrassez essentiellement de votre salle de serveurs (si vous en avez déjà eu une). Tous ces ordinateurs bruyants et ces tonnes de câbles seront désormais physiquement inaccessibles, dans un centre de données lointain où le fournisseur de cloud IaaS assurera le fonctionnement de vos systèmes (ainsi que des milliers d’autres). Vos administrateurs géreront vos serveurs non pas via le réseau local mais via Internet.
Lorsque vous déplacez vos systèmes vers un cloud IaaS, tous vos employés et partenaires ne peuvent également y accéder que via Internet. Si vous exécutiez des applications métier héritées sur un réseau local, vous devrez peut-être transformer certaines d’entre elles en applications Web, mais ce n’est pas toujours nécessaire. Vous pouvez créer des tunnels vers votre nouvelle salle de serveurs virtuelle et continuer à utiliser vos applications héritées (non Web).
Les fournisseurs d’IaaS disent souvent qu’ils gèrent la sécurité, mais ils ne peuvent sécuriser que ce qu’ils contrôlent. En d’autres termes, ils couvriront principalement la sécurité physique pour s’assurer que personne ne vole les disques contenant vos données. Ils doivent également garder vos données sécurisées et disponibles via la maintenance du matériel, des liaisons de données redondantes, etc. Mais ils ne peuvent pas vraiment faire plus que cela. Même s’ils fournissent des outils de sécurité réseau ou une protection réactive/temporaire à partir d’un pare-feu d’application Web (WAF) , la configuration incombera à vos administrateurs.
Avec IaaS, la sécurité des applications Web (et la plupart des autres sécurités) est toujours entre vos mains. Le fournisseur de cloud ne peut pas proposer de mesures proactives de sécurité des applications Web. Même si certaines mesures réactives ou de protection sont prévues, vous devrez toujours les gérer vous-même.
Cloud niveau 2 : Plate-forme en tant que service (PaaS)
Au fur et à mesure que vous gravissez les couches après IaaS, vous arrivez à PaaS. À ce niveau de service cloud, votre fournisseur de cloud gère l’ensemble de l’IaaS mais est également responsable du système d’exploitation et, dans certains cas, du logiciel serveur. L’étendue du service spécifique varie selon les offres PaaS, mais peut aller jusqu’à fournir un serveur Web complet et un serveur d’applications avec des modules supplémentaires.
Le premier type de fournisseur PaaS est essentiellement un fournisseur IaaS qui gère également le système d’exploitation. Ce niveau offre exactement le même type de sécurité que IaaS, avec en plus des correctifs du système d’exploitation.
Le deuxième type de fournisseur PaaS a une portée similaire à ce que l’on a toujours appelé l’hébergement de site Web de base. Lorsque vous avez un site Web hébergé, vous payez pour l’espace serveur pour créer vos sites Web et vos applications Web. Le fournisseur d’hébergement serait responsable du matériel, du système d’exploitation, du serveur Apache avec PHP et du serveur MySQL (encore une fois, en prenant l’exemple de WordPress). Cependant, la fourniture et la maintenance de tout contenu et code Web relèveraient de votre seule responsabilité. Certains fournisseurs d’hébergement fourniraient un moyen simple d’installer WordPress ou d’autres applications par défaut, mais ne les administreraient en aucune façon.
De même, le passage à un service cloud PaaS signifie que vous n’avez plus besoin d’un administrateur réseau ou d’un administrateur système pour les serveurs qui vivent désormais dans le cloud, mais vous avez toujours besoin de quelqu’un pour gérer les applications Web que vous avez là-bas. Les services de sécurité proposés par le fournisseur de cloud PaaS ne feront probablement qu’ajouter à la sécurité du réseau. Si l’offre PaaS inclut le serveur Web, votre fournisseur gardera le serveur corrigé et protégé par un pare-feu afin que seuls les ports requis soient ouverts. Cependant, le fournisseur n’a rien à voir avec la configuration du serveur Web ou tout code ou donnée que vous placez sur votre serveur.
Même avec le PaaS, la sécurité des applications Web reste à 100 % votre responsabilité. Au mieux, le fournisseur de cloud ne peut offrir que des services de sécurité réseau connexes.
Cloud niveau 3 : Logiciel en tant que service (SaaS)
La dernière étape vous amène au SaaS, où vous n’avez qu’à gérer vos données et votre configuration – le fournisseur de cloud s’occupe de tout le reste. Cela signifie que vous n’avez même pas besoin d’un administrateur de serveur Web dédié pour vos applications Web, tant que le fournisseur vous garantit un accès facile à toutes les options de configuration. À ce niveau, vous déchargez presque tous les aspects de votre application Web sur un tiers. Vous êtes présenté avec une application Web prête à l’emploi et entièrement fonctionnelle que vous pouvez adapter aux besoins de votre entreprise.
Pour rester avec l’exemple WordPress, examinons les différences entre la mise en place et l’exécution d’un site sur IaaS, PaaS et SaaS. Si vous optez pour IaaS, vous obtiendrez un serveur et devrez installer et gérer l’ensemble de la pile logicielle : Linux, Apache, PHP, MySQL, puis WordPress avec tous les plugins. Si vous sélectionnez PaaS qui inclut le serveur Web, il vous suffit d’installer et de gérer WordPress (sinon, vous êtes également responsable d’Apache/PHP/MySQL). Enfin, si vous sélectionnez SaaS sur wordpress.com , vous n’avez rien à installer : il vous suffit de vous connecter à l’interface d’administration de votre instance WordPress, de la configurer et de créer du contenu.
Le modèle SaaS est le seul à pouvoir réellement inclure des services de sécurité des applications Web, mais chaque offre SaaS est différente et peut ne pas couvrir l’intégralité de la sécurité. Par exemple, wordpress.com peut maintenir votre produit WordPress principal toujours à jour avec la dernière version pour éliminer les vulnérabilités connues, mais il est peu probable que la même chose s’applique aux plugins que vous installez vous-même.
Ainsi, même lorsque vous utilisez le SaaS, vous êtes toujours responsable d’environ 50 % de la sécurité de votre application Web. Le fournisseur SaaS proposera généralement certains services de sécurité pour le produit principal, mais pas pour les ajouts ou modifications personnalisés.
Même dans le cloud, la sécurité des applications est entre vos mains
Comme vous pouvez le constater, déplacer vos applications Web vers le cloud ne signifie pas que quelqu’un d’autre s’occupera de la sécurité de vos applications Web. Selon le type de service cloud, votre fournisseur peut gérer certains aspects de la sécurité du réseau ou même fournir un pare-feu d’application Web. Mais en fin de compte, vous êtes le seul à pouvoir vous assurer que vos applications ne présentent pas de failles de sécurité. Et cela signifie, à tout le moins, exécuter régulièrement un bon scanner de vulnérabilité Web – ou travailler avec un MSSP tel que Cycuri pour en exécuter un pour vous.
