Imaginez un monde sans services infonuagiques fonctionnels. La perte de productivité, les risques pour la confidentialité et la réputation endommagée des clients menacent les entreprises qui ne peuvent pas adéquatement gérer la sécurité infonuagique. Maintenant plus que jamais, les entreprises sont en train de prioriser une approche principalement axée sur l’infonuagique, faisant de la sécurité infonuagique un important enjeu à aborder.
Selon Accenture, pendant que les entreprises utilisent de plus en plus les produits infonuagiques et alors que les services infonuagiques introduisent la fonctionnalité et des économies de capital en aidant à rationaliser et à simplifier les opérations organisationnelles, 40 % de ces entreprises ne parviennent pas à tirer le meilleur parti de leurs investissements dans l’infonuagique. Bien qu’il y ait sans aucun doute des avantages à travailler avec des produits infonuagiques, il existe des risques inhérents que les entreprises doivent prendre en considération. Il est essentiel de comprendre les contrôles fondamentaux de sécurité infonuagique afin de s’assurer que leur sécurité est maintenue.
Imaginez un monde sans services infonuagiques
Le principe de responsabilité dans l’infonuagique
Les entreprises ont du mal à décoder ce dont elles sont responsables. Souvent, les entreprises supposent que les fournisseurs des services infonuagiques sont responsables de tous les actifs de l’environnement infonuagique. En réalité, les entreprises sont toujours responsables de leurs données. Le Modèle de responsabilité partagée de la Cloud Security Alliance est une excellente ressource pour aider les entreprises à comprendre ce dont elles sont responsables et les facettes de leur stratégie technologique dont leurs fournisseurs sont responsables. Le Modèle de responsabilité partagée aide les entreprises à gérer stratégiquement les risques dont elles sont responsables. Le Modèle de responsabilité partagée offre une délimitation de la responsabilité de telle sorte qu’elle peut être transposée dans les technologies traditionnelles de l’information. L’intention est d’aider à accroître l’application et la sensibilisation tout en aidant les entreprises à mettre en œuvre des pratiques qu’elles peuvent maintenir en utilisant leur compréhension des technologies de l’information. La responsabilité devrait découler du sommet de la hiérarchie administrative et être reliée aux actifs; la haute direction est toujours responsable des données. La haute direction des entreprises devrait maintenir la responsabilité de la conservation/protection de l’intégrité et de la disponibilité des données par des moyens qu’elle peut contrôler. Protéger et prendre soin de la résilience des données grâce à des contrôles tels que des sauvegardes, et mettre en œuvre une gestion efficace du cycle de vie des données sont des approches que les entreprises devraient chercher à mettre en œuvre.
Quelques métriques
OTR : Objectifs de temps de récupération
OPR : Objectifs de point de récupération
Les sauvegardes – OTR et OPR
Les Objectifs de temps de récupération (OTR) et les Objectifs de point de récupération (OPR) sont des mesures importantes pour toute entreprise. Les OTR sont les temps cibles délimités pour la récupération des données après toute interruption. Les OPR sont définis comme la quantité maximale de données – mesurée par le temps – qui peut être perdue après une récupération suivant un cyber-incident, une panne ou un événement comparable avant que la perte de données ne dépasse ce qui est acceptable pour une entreprise. Ces deux mesures ont une immense importance : elles servent à démontrer la capacité d’une entreprise à se remettre d’un cyber-incident, et elles déterminent des mesures puissantes capables d’être appliquées par la direction pour atténuer les risques.
Il est primordial de s’assurer que les fournisseurs portent la responsabilité et l’imputabilité d’aider à maintenir et à respecter les OTR et les OPR. Si l’un des fournisseurs ou partenaires de votre entreprise n’est pas en mesure de respecter les responsabilités relatives aux ORT et OPR, votre entreprise s’expose à des risques conséquents. En tant que tel, il est obligatoire d’examiner les schémas de sauvegarde et de les tester régulièrement pour vous assurer que vous pouvez respecter les engagements de vos clients. Les OTR et les OPR doivent être pris en compte dans chaque Plan de récupération après cyberattaque (PRC) pour garantir que votre entreprise est en mesure de maintenir sa viabilité, même en cas de cyber-incidents les plus graves.
Mettre en œuvre des cycles de vie de sécurité infonuagique
Au fur et à mesure que les entreprises adoptent des produits infonuagiques et des offres plus sophistiqués, elles doivent toujours équilibrer la fonctionnalité de l’entreprise avec la sécurité opérationnelle et la gestion des risques. L’un des moyens les plus efficaces d’y parvenir consiste à mettre en œuvre une gestion sécurisée du cycle de vie du développement (SDLC) via DevSecOps et l’implantation de bons processus de gestion des changements. DevSecOps est une approche de la culture, de l’automatisation et de la conception de plate-forme qui intègre la sécurité en tant que responsabilité partagée tout au long du cycle de vie informatique. DevSecOps prend en charge des solides processus de gestion SDLC en intégrant la sécurité tout au long des cycles de vie des produits infonuagiques. DevSecOps est utile pour maintenir de nombreux avantages de fonctionnalité qui accompagnent les opérations prioritairement axées sur l’infonuagique tout en garantissant que la sécurité est prise en compte dans l’ensemble des processus informatiques. Les entreprises ont constaté que l’utilisation de DevSecOps dans les entreprises priorisant l’infonuagique entraînait, dans certains cas, un temps de résolution des cyber-incidents infonuagiques qui était plus de 45 fois plus rapide. Il s’agit d’une valeur importante pour toute entreprise, en particulier les petites et moyennes entreprises qui peuvent difficilement se permettre des temps d’arrêt
La sécurité infonuagique
Bien qu’il soit bien connu que tirer parti de l’infonuagique signifie « utiliser l’infrastructure informatique de quelqu’un d’autre », la sécurité doit être mise en œuvre différemment. Dans le monde de l’infonuagique, on se focalise davantage sur les contrôles informatiques qui peuvent ne pas être pris en considération pour les entreprises traditionnelles construites avec des briques et du béton. En fin de compte, la protection des données dans les environnements infonuagiques relève de la responsabilité de l’entreprise collectrice des données. Il est donc indispensable de mettre en œuvre des mesures de protection autour des personnes qui gèrent l’environnement infonuagique de votre entreprise. Celles-ci peuvent inclure :
- La surveillance de la sécurité informatique.
- La journalisation, c’est-à-dire, l’enregistrement chronologique des données.
- Le chiffrement.
- La gestion des vulnérabilités infonuagiques.
- L’infrastructure en tant que validation de l’intégrité du code.
- Les pares-feux virtuels.
- Les pares-feux d’applications Web.
- La mise en œuvre d’un contrôle d’accès fondé sur les rôles.
Plusieurs considérations sont plus courantes au sein des organisations prioritairement axées sur l’infonuagique. Celles-ci incluent :
- La perte de propriété ou la perte d’informations
- La diligence raisonnable de la part du fournisseur ou du partenaire
- Les risques de conformité
- Les mauvaises configurations
- La mauvaise gestion du compte
Les technologies/ tendances à venir
Le courtier de sécurité d’accès à l’infonuagique (CASB)
Si plusieurs services infonuagiques de plusieurs fournisseurs différents sont utilisés, envisagez de mettre en œuvre un CASB pour appliquer les politiques de sécurité sur l’ensemble de tous les différents services infonuagiques utilisés. Les produits CASB négocient des connexions à plusieurs ressources infonuagiques après une seule validation de l’intégrité de l’utilisateur. Les produits du CASB aident à rationaliser et à simplifier l’expérience utilisateur tout en permettant aux administrateurs des entreprises d’appliquer les meilleures pratiques acceptées par l’industrie telles que les mots de passe robustes, l’authentification multi-facteur et la gestion des identités et des accès. Le CASB profite à l’expérience globale de l’utilisateur et à la productivité des entreprises tout en conservant des normes de sécurité élevées dans les divers environnements infonuagiques.
L’accès au réseau zéro confiance (ZTNA)
ZTNA est un contrôle croissant qui maintient la confidentialité des actifs importants, quel que soit l’endroit où les données sont stockées. ZTNA est un ensemble de technologies qui permettent un accès sécurisé aux applications internes pour les utilisateurs à distance. ZTNA fournit un accès à distance sécurisé pour les quatre principes fondamentaux suivants :
- L’accès est fourni sur la base d’une application, au lieu d’être accordé à l’ensemble du réseau, (c’est-à-dire que seules des applications spécifiques, avec des utilisateurs qui ont été authentifiés, sont autorisées à accéder).
- Seules les connexions sortantes sont établies, ce qui garantit que l’infrastructure du réseau et des applications sont invisibles pour les utilisateurs non autorisés.
- Les applications sont segmentées pour s’assurer que les utilisateurs autorisés n’ont accès qu’à des applications spécifiques plutôt qu’à un accès complet au réseau. Cette segmentation prévient le risque de déplacement latéral des logiciels malveillants et des menaces similaires, et elle intègre le Principe de droit d’accès minimal (POLP) en garantissant qu’un accès trop permissif n’est pas accordé.
- ZTNA utilise une approche de sécurité utilisateur-application plutôt qu’une approche traditionnelle de sécurité réseau. Cela signifie essentiellement qu’Internet devient le nouveau réseau d’entreprise et que des micro-tunnels TLS cryptés de bout en bout sont dûment utilisés pour protéger la confidentialité.
ZTNA peut sembler être similaire aux technologies de réseau privé virtuel (VPN), mais il présente plusieurs avantages clés.
D’une part, l’accès au réseau VPN est accordé lors de l’utilisation des informations d’identification correctes (généralement SSO) et il permet à l’utilisateur de se déplacer latéralement sur l’intégralité du réseau. Cela signifie qu’un ensemble d’informations d’identification compromises peut fournir aux cyberattaquants un accès à l’ensemble du réseau d’entreprise ! D’autre part, l’accès ZTNA n’est accordé que dans le contexte correct (l’harmonisation correspondant à l’utilisateur, son identité, son appareil informatique et son emplacement). Une fois authentifié, un accès granulaire est fourni, plutôt qu’un accès complet à l’ensemble du réseau, ce qui empêche les utilisateurs de se déplacer latéralement.
La détection et l’intervention étendues (XDR)
XDR est un contrôle essentiel à mettre en œuvre pour protéger les utilisateurs finaux, quelles que soient les ressources avec lesquelles ils sont en train de travailler. XDR est une évolution de la détection et de l’intervention aux points finaux (EDR). EDR collecte les activités sur plusieurs points de terminaison, tandis que XDR élargit la portée de la détection au-delà des points de terminaison et analyse les événements sur les réseaux, les serveurs, les charges de travail infonuagique, les informations de sécurité et les outils de gestion des événements (SIEM), etc. Cela fournit une perspective de vue globale sur plusieurs outils et vecteurs de cyberattaque. La mise en œuvre d’un outil XDR permet aux entreprises de réduire considérablement les risques tout en économisant sur les coûts, et elle offre le même niveau de protection et de sécurité à tous les utilisateurs finaux, quelles que soient les ressources avec lesquelles ils travaillent.
En fin de compte, les entreprises doivent conserver la propriété de leurs actifs informationnels, quels que soient les outils et quel que soit l’endroit où les données sont stockées. Les dirigeants doivent comprendre quelles sont leurs responsabilités face aux responsabilités des fournisseurs de services infonuagiques.
Les dirigeants des entreprises doivent protéger leurs données en utilisant une robuste gestion de programme et des paramètres solides pour développer des processus évolutifs et fonctionnels. Les équipes de sécurité peuvent également tirer parti des cadres opérationnels bien documentés qui répondent aux problèmes de sécurité dans les environnements infonuagiques afin de fournir une défense protectrice et l’assurance que les contrôles des mises en œuvre sont validés et efficaces. Tout au long de ces considérations, il est primordial de tenir compte de l’atout le plus précieux de toute entreprise – ses ressources humaines. La sélection des technologies qui permettent aux employés de maintenir une expérience utilisateur fluide est cruciale pour la réussite de l’adoption de ces technologies. L’utilisation d’outils reconnus par l’industrie est indispensable pour permettre à l’ensemble de vos utilisateurs finaux de protéger votre organisation contre les réalités actuelles des cybermenaces.
Les meilleures pratiques infonuagiques
- Choisissez des fournisseurs de services infonuagiques fiables et réputés.
- Sélectionnez des technologies qui évolueront avec les processus de sécurité.
- Concevez des programmes de sécurité qui sont conformes avec des paramètres infonuagiques bien réputés.
- Recueillez des attestations de sécurité ou assurez-vous qu’il existe des processus de diligence raisonnable bien compris.
- Examinez chaque année les contrats et les SLA.
- Concentrez-vous sur vos utilisateurs finaux.
- Renforcez leurs appareils informatiques à l’aide de solutions de sécurité des terminaux.
- Fournissez à vos utilisateurs une formation de sensibilisation à la sécurité.
- Implémentez l’habitude des mots de passe robustes.
- Implémentez le chiffrement.
- Mettez en œuvres et maintenez un système de journalisation et de surveillance.
- Procédez régulièrement à des évaluations des risques.