Rechercher

Sécuriser les environnements cloud

Martin Bahn Ejvang, Cloud Security Architect au Danemark, nous éclaire sur ce sujet.

D’où vient ton intérêt pour les technologies de l’information ?

Je l’ai toujours eu. Quand j’étais petit, mes parents ont acheté un Commodore 64 pour mon frère et moi, que nous utilisions pour jouer, mais aussi faire de la programmation. J’étais toujours été fasciné par tout ce que l’on pouvait faire avec un ordinateur.

Tu as fait carrière dans le développement de logiciels. Quels ont été tes plus grands succès ?

Cela dépend de la façon dont chacun définit le succès ! J’ai, par exemple, aidé à créer des plates-formes et des applications pour des entreprises, utilisées par plus de 100 000 utilisateurs chaque jour. J’ai aussi contribué à la création d’applications plus petites, qui ont permis aux entreprises de gagner du temps et d’améliorer la satisfaction de leurs clients. J’ai également participé à la création d’Endomondo, une application spécialisée dans le running, qui, à l’époque, était considérée comme une start-up.

Depuis 2017, tu t’es spécialisé dans le cloud. Comment ce changement d’orientation s’est-il opéré ?

En 2014, j’ai travaillé sur un projet où nous avons mis à profit l’évolutivité du cloud. C’était la première fois que je faisais l’expérience de la nature élastique d’un environnement cloud. Plus tard, en 2015, j’ai été l’architecte de mon premier projet de cloud natif. Cette mission était donnée par un important site d’information danois qui souhaitait couvrir des événements (actualités, sports, etc.) en direct. Cette expérience m’a fait prendre conscience des possibilités du cloud. J’ai ensuite obtenu les certifications nécessaires (MCSE pour Microsoft Azure 2017) et j’ai rejoint une société spécialisée dans les projets liés au cloud.

En quoi consiste ton travail aujourd’hui ?

J’assiste nos clients dans leurs migrations vers le cloud et je les conseille sur la manière de créer un environnement cloud sécurisé. Je sensibilise mes clients et mes collègues au cloud, et noue des relations étroites avec  nos partenaires et les fournisseurs cloud public. Chaque jour est unique et implique beaucoup d’apprentissage !

Quels types d’entreprises s’intéressent à la sécurité du cloud au Danemark ?

La plupart des entreprises sensibles aux questions de sécurité sont susceptibles de s’intéresser au cloud : aucun organisme ne désire faire la une des médias à cause d’une faille de sécurité. Au quotidien, nous accompagnons généralement des entreprises qui entament leur transition vers le cloud. Elles ont conscience des améliorations apportées par le cloud et veulent le mettre en place très vite. Cela laisse parfois peu de place à la sécurité, à moins qu’elle ne fasse partie de l’architecture dès la conception du projet.

Travailles-tu en équipe ?

Mes collègues et moi-même formons une petite équipe. Nous travaillons en collaboration étroite avec le département des ventes et des services.

Quelles sont les problématiques de nos clients en matière de sécurité dans le cloud ?

Leurs principaux problèmes sont liés à la visibilité et à de mauvaises configurations. Habituellement, les DevOps déploient des applications dans le cloud, et leur objectif est de répondre aux besoins des entreprises. La sécurité n’est pas forcément leur priorité, ce qui peut potentiellement générer des vulnérabilités. Les développeurs sont, de par leur métier, plus préoccupés par les fonctionnalités et les cas d’usage que par les caractéristiques de sécurité d’un service dans le cloud.

Quelles sont les premières questions des clients que tu rencontres ?

Leur principale question est la suivante : « Comment passer d’une approche classique à une méthode agile ? ». Nos clients souhaitent bénéficier de nos conseils sur la manière de gérer le cloud et les défis que celui-ci apporte. Ils sont habitués à côtoyer un environnement “statique” où ils changent les câbles et branchent des serveurs. Le cloud est un environnement dynamique, qui change constamment et où de nouvelles fonctionnalités sont développées très vite.

Les Cloud Service Providers fournissent souvent la sécurité en plus d’une base de données dans le cloud. Quel est l’intérêt pour nos clients de se tourner vers un MSSP ?

Nos clients ont besoin que des experts en sécurité analysent l’infrastructure et la comprenne pour l’affiner. De plus, il faut savoir que les CSP investissent principalement dans la sécurité pour protéger leur infrastructure et non les applications créées par leurs clients. Il est donc essentiel de lire les contrats, de connaître les contours des « responsabilités partagées dans le cloud »afin de comprendre ce dont le client est responsable.

Quels services leur offrons-nous ?

Nous offrons des services de sécurité gérés (MSS) ainsi que des conseils. Nous travaillons également avec des partenaires qui peuvent apporter leur aide. Notre aide dépend de la maturité du client en ce qui concerne les questions liées au cloud. Certains clients sont en phase de transition quand d’autres développent des applications en utilisant les offres PaaS (Platform as a Service) par exemple.

Quels conseils donnerais-tu à une personne qui souhaite faire carrière dans le domaine de la sécurité du cloud?

Commencez par vous familiariser avec la sécurité classique pour comprendre d’où nous venons. Ensuite, passez à l’infrastructure cloud. Concentrez-vous sur sa sécurité pour comprendre les défis qu’ elle soulève. Si vous voulez devenir DevSecOps, vous devez également vous renseigner sur le développement et la sécurité des applications.

 

Pour découvrir nos offres de sécurisation du cloud, cliquez ici.