Fortinet est le leader parmi les fournisseurs de la cybersécurité dans le monde. La mission principale de Fortinet est de permettre une transformation numérique en confiance et d’utiliser tous ses outils numériques en sécurité.
Fortinet fournit les solutions qui assurent la sûreté de votre système d’information. Aujourd’hui nous sommes avec Christophe Auberger, Cyber Security Evangelist et Innovation advocate chez Fortinet pour trouver les réponses aux questions concernant la sécurité des différents environnements Cloud.
Contenu condensé des échanges du podcast Eric de BlueBearsIT:
Eric : Bonjour tout le monde et merci d’écouter ce 5ème Podcast enregistré dans les bureaux de BlueBearsIT, l’ESN lyonnaise qui challenge votre SI.
On reste dans la thématique de la sécurité puisque pour rappel, notre dernier podcast avait été réalisé avec l’éditeur Barracuda et ses solutions de protection et d’archivage des environnements Microsoft 365 et qu’aujourd’hui, on est quand même avec le premier fabriquant mondial de Firewall, à savoir FORTINET et c’est toi Christophe, cyber évangéliste pour Fortinet qui va répondre à mes questions sur un thème très d’actualité : la protection des environnements CLOUD.
Bonjour Christophe !
Christophe : Bonjour Eric….
Eric : Je te remercie vivement d’avoir accepté de prendre ensemble ce quart d’heure pour partager ton expertise et forcément celle de Fortinet sur la manière de protéger les différents types de Cloud : cloud hybride, public, privé et d’évoquer aussi les niveaux de responsabilité en terme de sécurité selon la nature du cloud en question : IAAS, PAAS et SAAS.
On finira sur une ouverture concernant le monde industriel et la protection des machines désormais connectées.
Avant de débuter, peux-tu nous présenter en qq mots Fortinet et ton role dans cette organisation ?
Christophe : Ok…
Vous souhaitez renforcer la sécurité de votre environnement Cloud ?Rencontrons-nous !
Eric : Merci, on va débuter avec une première question sur le cloud hybride, un des modèles les plus répandues. Quelles sont les problématiques liées à sa sécurité ?
Christophe : Utilisation d’infrastructures publiques : compute, stockage, communications, cela implique de sécuriser les données dans le cloud et en transit. Le propre du cloud c’est d’apporter de l’agilité, il est nécessaire que cette agilité apportée aux ressources de traitement soit suivie par un déploiement automatisé de la sécurité. Au fur et à mesure que je déploie des ressources (parfois automatiquement -> scale out) la sécurité suit et applique la politique générale définit en amont.
Eric : Merci, on continue sur les autres types de cloud, comment fonctionne la protection d’un cloud public ?
Christophe : Il y a plusieurs aspects dans ce contexte, mais ce qui est certain c’est que la protection des données dans le cloud participe à la notion de zéro trust : aucun élément du système d’information n’est considéré comme étant de confiance par défaut. Il faudra protéger les données dans le cloud lui même bien entendu mais aussi en transit tout en vérifiant et validant l’identité de celui qui y accède. Concrètement cela revient à déployer, de manière automatique, des modules de sécurité, en général il s’agit de machines virtuelles, au sein de l’architecture cloud et d’y intégrer, toujours automatiquement, les règles de sécurité relatives à la politique globale qui aura été défini auparavant.
Eric : De manière général, l’objectif principal de basculer son infrastructure vers du Cloud est de bénéficier de la souplesse et de la facilité d’augmenter son environnement. Comment peut-on déployer la sécurité avec autant d’agilité que la consommation ?
Christophe :
Comme l’usage des ressources cloud se fait généralement de manière automatique (démarrage et déploiement à la demande), la sécurité doit se déployer de la même manière. Cela passe d’abord obligatoirement par la capacité de voir l’ensemble du système d’information, y compris les composantes déployées dans des infrastructures externes, cela semble une évidence mais il n’est possible de protéger que ce qui est connu, visible. Un autre aspect est la capacité d’automatisation et d’orchestration de la sécurité et de son déploiement. C’est le propre d’une approche de type plate-forme que de permettre cette capacité d’agilité de la cybersécurité au même titre que celle des infrastructures. Cette approche introduit finalement une couche d’abstraction permettant de se concentrer sur la posture de sécurité et non pas sur les aspects techniques du déploiement dépendant des infrastructures cibles.
Eric : Une question sur les limites de responsabilité et notamment selon le niveau de service IAAS, PAAS, SAAS ?
Christophe : Le cloud c’est de la fourniture de service, il y a un partage de responsabilité entre le fournisseur du service et le client. En fonction du mode de consommation (IaaS, PaaS, SaaS…) la limite de responsabilité entre les deux n’est pas la même mais elle existe toujours. Le risque c’est que cette limite ne soit pas correctement appréhendée et qu’il y ait des zones d’ombres qui seront plus que probablement exploitée par les cybercriminels.
Eric : J’aimerai ouvrir notre échange sur le volet industriel et plus précisément sur les machines connectées qui sont une porte d’entrée vers le SI. Comment les sécuriser ?
Christophe : Les problématiques de sécurité cloud bien que très ancrées dans l’actualité ne sont pas les seuls aspects en forte évolution, le domaine relatif à la cybersécurité du monde OT, ce que nous appelions avant l’informatique industrielle est également très présent aujourd’hui. D’autant plus que c’est un monde qui était jusqu’à il y a peu très indépendant et peu ou pas interconnecté. Aujourd’hui ce n’est plus le cas et de plus c’est un secteur de très forte consommation d’objets connectés qui constituent un facteur d’insécurité important. Souvent, ces systèmes ne constituent que la porte d’entrée des cybercriminels qui visent en général plutôt le système d’information central, les informations qui s’y trouvent étant plus facilement monnayables.
Eric : Merci Christophe, on est dans le monde de l’hybridation, plusieurs services Cloud en fonction des applications et on peut donc s’en sortir face aux menaces que par une vue globale et transverse. Puis, on s’aperçoit aussi qu’avec un environnement ouvert (télétravail) approche sur les données et non plus sur les flux.
Merci pour votre écoute.
Prochain Podcast prévu pour ce début d’été et toujours sur la thématique de la sécurité !
A bientôt
13 rue des Aulnes