L’évaluation régulière des vulnérabilités et l’auto-remédiation sont les clés d’une stratégie de sécurité cloud réussie

Avec l’essor des technologies basées sur le cloud qui étendent la surface d’attaque, les entreprises ont plus que jamais besoin de rajuster leur stratégie de cybersécurité.

Les solutions cloud font disparaître les paramètres de sécurité traditionnels, qui ne sont viables que lorsque les systèmes informatiques sont entièrement hébergés sur site.

Alors que le monde s’étend rapidement vers le « tout as-a-service », les solutions Cloud rêvent également une nature critique : le cloud devient un composant intégral des technologies de la chaîne d’approvisionement, de l’internet des objets (IoT) , de l’intelligence artificielle (AI) et de l’infrastructure programmable (IaC – Infrastructure as Code). De plus, le paysage des menaces s’étend rapidement. Une étude menée par Forrester Consulting a révélé qu’avant la pandémie, 31 % des chefs d’entreprise et des responsables de la sécurité transféraient des fonctions critiques vers le cloud et 48 % des fonctions non critiques. Par conséquent, la posture de sécurité de toute entreprise ne peut pas être plus réactive. Le manque de visibilité introduit par les technologies cloud, combiné à la nécessité de respecter la confidentialité, oblige les entreprises qui migrent à passer d’une approche de sécurité périmétrique à une approche centrée sur les données, tout en garantissant un programme de sécurité proactif, holistique, et dynamique.

De manière générale, une migration réussie implique un large éventail de dimensions, notamment la prise en compte des politiques de sécurité, des exigences de conformité et des risques opérationnels. Chacun de ces éléments doit être considéré, tout en maîtrisant les coûts de l’entreprise.

La migration vers le Cloud implique ce que l’on pourrait appeler des « angles morts » en matière de CyberSécurité. Voici quelques éléments clés pour en atténuer l’impact. Lorsqu’elles migrent vers le cloud, les entreprises entrent dans un modèle de responsabilité partagée entre le fournisseur et l’entreprise utilisatrice, dans une mesure dictée par le modèle choisi (IaaS, PaaS ou SaaS).

L’objectif est d’identifier toutes les zones potentiellement à risque et de les concilier avec les besoins de l’entreprise pour atteindre un niveau acceptable de tolérance au risque pour chaque zone. Cela doit notamment couvrir les risques liés aux fournisseurs de services de cloud et de lock-in éventuel, ceux introduits par la perte de gouvernance, ainsi que les besoins de conformité. Chacun de ces domaines comporte sa propre sous-liste de risques associés, tels que les contraintes techniques, les coûts, l’allocation des ressources, les processus et procédures opérationnelles, la sécurité et les contraintes juridiques.

La gouvernance de la sécurité du cloud vise à permettre des opérations de sécurité efficaces, à aider les dirigeants à mieux comprendre et à réduire progressivement les risques tout en s’alignant sur la stratégie de l’entreprise.

La réalisation d’une analyse d’impact sur la protection des données (AIPD) peut également contribuer à atténuer les risques en identifiant et en traitant les scénarios à haut risque avant tout traitement de données. Bien que la loi l’exige dans certaines conditions, cette évaluation doit être réalisée indépendamment des exigences légales car elle peut contribuer à maximiser le respect des bonnes pratiques en termes de sécurité et de confidentialité, et donc à minimiser les responsabilités potentielles.

Lors du traitement des données, les meilleures pratiques consistent à supprimer au maximum les facteurs d’identification personnelle, à mettre en place une stratégie d’identification et de gestion des vulnérabilités critiques pour réduire le risque de violation de données, et à travailler avec eux les fournisseurs de services cloud pour définir clairement l’assistance qu’ils fourniront en cas d’incident afin que l’organisation soit bien préparée à gérer les éventuels incidents de cybersécurité.

En plus de ce qui précède, la journalisation et la surveillance sont des éléments essentiels d’une sécurité cloud efficace. Cette pratique devient encore plus cruciale en cas d’incident. Les fournisseurs de services cloud doivent être évalués en fonction des conditions qu’ils offrent pour l’accès et la gestion des journaux. De plus, les équipes en charge des opérations de sécurité ont besoin d’une stratégie de surveillance continue pour évaluer de manière proactive l’environnement et apporter une réponse rapide en cas de comportement anormal.

Les points suggérés plus haut ne font qu’effleurer la myriade d’implications relatives à l’adoption du cloud en matière de sécurité. Bien que les entreprises aient constaté que la stratégie « lift and shift » était efficace pour migrer des applications, des services et des données vers le cloud, cette approche ne s’applique pas à la sécurité. Elles doivent plutôt mettre en place une stratégie globale et proactive de sécurisation des applications et services cloud, qui commence bien avant le début des migrations. Cela nécessite une approche holistique qui comprend une vérification diligente de tous les niveaux, l’identification des données et la création d’accords de niveau de service raisonnables. Tous les leaders – pas seulement les professionnels de la sécurité mais aussi les responsables informatiques et les chefs d’entreprise – doivent considérer la cybersécurité comme une condition fondamentale à la pérennité de leur entreprise.

Leave a Comment