4. Qu'est-ce que
la sécurité
dans le cloud?
Un éventail de politiques, de procédures technologiques, de
services et de solutions conçus pour prendre en charge des
fonctionnalités sûres lors de la création, du déploiement et de
la gestion des applications basées sur le cloud et des données
associées.
La sécurité du cloud crée et maintient des stratégies et des
actions préventives pour lutter contre toute menace pesant
sur les systèmes et les applications en réseau.
La sécurité du cloud est bien plus qu'une liste de protocoles
défensifs mis en place pour restreindre l'utilisation du réseau.
Il est plutôt conçu pour créer une plus grande agilité dans le
cloud et faciliter la croissance organisationnelle tout en
sécurisant les applications métier.
5. Risques et menaces
Le cloud computing est un sujet très accessible tant pour
les petites que pour les grandes entreprises.
Cependant, si le cloud computing offre aux entreprises
des opportunités quasi illimitées d'échelle et de durabilité,
il comporte également des risques
La mise en place de processus de sécurité cloud réussis
consiste à comprendre les menaces courantes rencontrées
par les entreprises opérant dans le cloud.
6. Quelques
menaces
courantes
Failles de données
Injections de logiciels malveillants
Conformité réglementaire
Déni de service distribué (DDoS)
Malicious insiders
Menaces persistantes avancées (APT)
API non sécurisées
Détournement de compte
8. Les meilleures pratiques
Avant de déployer un service basé sur le cloud, assurez-vous
de reconnaître les meilleures pratiques que chaque
organisation doit suivre lors de la protection de ses systems :
9. Les meilleures pratiques
Modèle de
responsabilité
partagée
Gestion des
opérations
Construire des
contrôles et des
processus
Chiffrement des
données
Gestion de
l'identité des
utilisateurs et des
accès
Surveillance de la
sécurité et de la
conformité
10. Cloud Security Framework
Un cadre de sécurité cloud fournit une liste des fonctions clés nécessaires
pour gérer les risques liés à la cybersécurité dans un environnement cloud.
Cela comprend la référence aux normes de sécurité et aux directives mises en
place pour répertorier les exigences spécifiques lors de l'identification et de la
réponse aux menaces réseau.
Le NIST (National Institute of Standards and Technology) a conçu un cadre
politique que de nombreuses entreprises suivent lors de la mise en place de
leurs propres infrastructures de sécurité cloud.
11. Cloud Security
Framework : 5 Piliers du
NIST
Identifier
•comprendre les exigences
organisationnelles et effectuer
des évaluations des risques de
sécurité.
Protéger
•mettez en œuvre des mesures
de protection pour vous
assurer que votre
infrastructure peut s'auto-
entretenir lors d'une attaque.
Détecter
•déployez des solutions pour
surveiller les réseaux et
identifier les événements liés à
la sécurité.
Répondre
•lancez des contre-mesures pour
lutter contre les menaces
potentielles ou actives contre la
sécurité de l'entreprise.
Récupérer
•développez et activez les
procédures nécessaires pour
restaurer les capacités du
système et les services réseau
en cas de perturbation.
12. Architecture
Lors de la migration de charges de travail vers le cloud, une
architecture de sécurité définit clairement comment une
organisation doit effectuer les opérations suivantes :
13. Architecture
Identifier ses utilisateurs et gérer leur accès.
Protéger les applications et les données, avec des contrôles de sécurité
appropriés sur le réseau, les données et l'accès aux applications.
Avoir une visibilité et un aperçu de la sécurité, de la conformité et de l'état
des menaces.
Injecter des principes basés sur la sécurité dans le développement et
l'exploitation des services basés sur le cloud.
Maintenir des politiques et des gouvernances de sécurité strictes pour
répondre aux normes de conformité.
Établir les précautions de sécurité de l'infrastructure physique.
14. Capacités et solutions
Avec le Cloud, vous avez une variété de fonctionnalités et d'outils pour créer et assumer
vos responsabilités afin d'améliorer la sécurité de vos charges de travail, applications et
données cloud.
Ces capacités peuvent couvrir les éléments suivants :
Protection du
réseau
Gestion des
identités et des
accès
Sécurité des
données
Protection de la
charge de travail,
intégrée à
DevSecOps
Posture de sécurité
et gestion de la
conformité
Gestion des
menaces
15. Capacités et solutions
Ces capacités et solutions peuvent être déployées sous forme de logiciel ou consommées
«en tant que service» : Cloud Security-as-a-Service.
Un modèle CSaaS élimine le besoin pour les entreprises de développer et de mettre en
œuvre leurs propres stratégies de sécurité lorsqu'elles fonctionnent dans des
environnements cloud.
Les modèles CSaaS offrent également une variété de solutions à grande échelle pour
vous aider à améliorer votre posture de cybersécurité, notamment :
•Solutions de surveillance dans le cloud
•Services de sécurité réseau
•Gestionnaires d'identité et d'accès
16. Expertise et services
professionnels
Les services de sécurité cloud permettent aux entreprises de bénéficier
des compétences et de l'expertise de professionnels dédiés à la sécurité
cloud.
Les services peuvent aller du conseil sur les stratégies de sécurité cloud à
la fourniture d'une solution de sécurité entièrement gérée par une
équipe de spécialistes informatiques.
Un avantage majeur de l'investissement dans les services de sécurité
cloud est la possibilité d'utiliser la technologie de sécurité de nouvelle
génération dans le déploiement de vos services et applications cloud.
17. Liste de contrôle d'évaluation
Avant de déployer des charges de travail et d'intégrer
des systèmes dans un environnement basé sur le
cloud, assurez-vous d'évaluer les besoins actuels de
votre entreprise pour vous assurer que vous êtes en
mesure de créer un modèle d'entreprise de cloud
computing sécurisé et durable.
Ci-dessous, une liste de contrôle d'évaluation de la
sécurité du cloud que vous pouvez suivre pour aider
à atténuer les risques de sécurité :
18. Liste de contrôle d'évaluation
Politique, normes et directives
Propriété des données
Accès du personnel
Provisionnement des ressources
Assurance logicielle
Gestion des journaux
Sécurité du réseau
Conformité et preuves
Continuité des activités
Failles de données : avec autant d'organisations opérant désormais dans des environnements cloud, l'accessibilité des informations n'a jamais été aussi élevée. Au fur et à mesure que les entreprises élargissent leur empreinte numérique, les cybercriminels peuvent localiser de nouveaux points d'accès à exploiter et accéder à des dossiers privés et à d'autres données sensibles.
Injections de logiciels malveillants: l'injection de logiciels malveillants est un risque courant. Les attaquants téléchargent ces scripts de code malveillants sur un serveur cloud qui héberge diverses applications et services. Avec les avoir déployés avec succès, ces scripts peuvent causer un certain nombre de problèmes de sécurité aux entreprises opérant sur ces mêmes serveurs.
Conformité réglementaire: les amendes et pénalités pour non-conformité réglementaire peuvent être élevées. Le modèle de responsabilité partagée du cloud pour la sécurité (voir ci-dessous) - où le fournisseur de cloud est responsable de la sécurité du cloud et le client du cloud est responsable de la sécurité dans le cloud - doit être géré correctement et avec diligence pour démontrer et maintenir la conformité.
Déni de service distribué (DDoS): les attaques DDoS peuvent empêcher les utilisateurs ou les clients d'accéder aux données et applications critiques, ce qui cause souvent des dommages financiers importants, voire irréparables, à l'entreprise.
Malicious Insiders : les employés, partenaires commerciaux, sous-traitants, actuels ou anciens, ou toute personne ayant autorisé l'accès à des systèmes ou des réseaux dans le passé peuvent être considérés comme une menace interne s'ils abusent intentionnellement de leurs autorisations d'accès.
Menaces persistantes avancées (APT): les APT sont une forme de cyberattaque où un intrus ou un groupe d'intrus réussit à s'infiltrer dans un système et reste non détecté pendant une période prolongée. Ces attaques furtives fonctionnent silencieusement, laissant les réseaux et les systèmes intacts afin que l'intrus puisse espionner l'activité commerciale et voler des données sensibles tout en évitant l'activation de contre-mesures défensives.
API non sécurisées: les fournisseurs de services cloud utilisent couramment des interfaces de programmation d'application (API) pour permettre aux clients d'accéder aux informations de leurs services cloud et d'en extraire des informations. Si elles ne sont pas correctement configurées, ces API peuvent faire fuiter des données et ouvrir la porte à des intrusions et des attaques provenant de sources extérieures.
Détournement de compte: les identifiants de connexion volés et compromis sont une menace courante pour le cloud computing. Les pirates utilisent des outils sophistiqués et des programmes de phishing pour détourner des comptes cloud, se faire passer pour des utilisateurs autorisés et accéder à des données commerciales sensibles.
Modèle de responsabilité partagée: l'exploitation d'applications et de services dans des environnements cloud nécessite de comprendre les responsabilités partagées en matière de sécurité et de conformité des données. En règle générale, le fournisseur de cloud est responsable de la sécurité de l'infrastructure cloud et le client est responsable de la protection de ses données dans le cloud.
Gestion des opérations: L'établissement d'une culture interdépartementale collaborative est essentiel à la planification et à l'exécution d'initiatives de sécurité cloud efficaces. Une communication adéquate et des processus clairs et compréhensibles entre les équipes informatiques, opérationnelles et de sécurité garantiront des intégrations cloud fluides, sécurisées et durables.
Construire des contrôles et des processus: les déploiements dans le cloud ne sont pas créés de la même manière, et les contrôles et processus ne sont pas non plus mis en place pour assurer leur sécurité. La planification proactive de vos contrôles et processus vous aidera non seulement à créer les bons outils et solutions dès le départ, mais permettra également à vos équipes de rester concentrées lors de la gestion et du maintien de votre posture de sécurité cloud.
Chiffrement des données: le chiffrement des données est un must pour les entreprises utilisant des intégrations cloud multicouches et pour garantir que vos données restent protégées au repos, en transit et en cours d'utilisation. Les entreprises doivent conserver un contrôle total sur leurs clés de chiffrement et leurs modules de sécurité matérielle, garantissant ainsi un état constant de sécurité réseau renforcée sur tous les terminaux.
Gestion de l'identité des utilisateurs et des accès: les administrateurs informatiques doivent avoir une compréhension et une visibilité complètes de chaque niveau d'accès au réseau et appliquer les autorisations d'accès en conséquence.
Surveillance de la sécurité et de la conformité: pour garantir la stabilité à long terme et l'application des normes de conformité et la continuité des activités, les entreprises doivent adopter les bons outils et processus. Cela commence par la compréhension de toutes les normes de conformité réglementaires applicables à votre secteur et par la mise en place d'une surveillance active de tous les systèmes connectés et services cloud pour maintenir la visibilité de tous les échanges de données entre les environnements cloud public, privé et hybride.
Modèle de responsabilité partagée: l'exploitation d'applications et de services dans des environnements cloud nécessite de comprendre les responsabilités partagées en matière de sécurité et de conformité des données. En règle générale, le fournisseur de cloud est responsable de la sécurité de l'infrastructure cloud et le client est responsable de la protection de ses données dans le cloud.
Gestion des opérations: L'établissement d'une culture interdépartementale collaborative est essentiel à la planification et à l'exécution d'initiatives de sécurité cloud efficaces. Une communication adéquate et des processus clairs et compréhensibles entre les équipes informatiques, opérationnelles et de sécurité garantiront des intégrations cloud fluides, sécurisées et durables.
Construire des contrôles et des processus: les déploiements dans le cloud ne sont pas créés de la même manière, et les contrôles et processus ne sont pas non plus mis en place pour assurer leur sécurité. La planification proactive de vos contrôles et processus vous aidera non seulement à créer les bons outils et solutions dès le départ, mais permettra également à vos équipes de rester concentrées lors de la gestion et du maintien de votre posture de sécurité cloud.
Chiffrement des données: le chiffrement des données est un must pour les entreprises utilisant des intégrations cloud multicouches et pour garantir que vos données restent protégées au repos, en transit et en cours d'utilisation. Les entreprises doivent conserver un contrôle total sur leurs clés de chiffrement et leurs modules de sécurité matérielle, garantissant ainsi un état constant de sécurité réseau renforcée sur tous les terminaux.
Gestion de l'identité des utilisateurs et des accès: les administrateurs informatiques doivent avoir une compréhension et une visibilité complètes de chaque niveau d'accès au réseau et appliquer les autorisations d'accès en conséquence.
Surveillance de la sécurité et de la conformité: pour garantir la stabilité à long terme et l'application des normes de conformité et la continuité des activités, les entreprises doivent adopter les bons outils et processus. Cela commence par la compréhension de toutes les normes de conformité réglementaires applicables à votre secteur et par la mise en place d'une surveillance active de tous les systèmes connectés et services cloud pour maintenir la visibilité de tous les échanges de données entre les environnements cloud public, privé et hybride.
Chacun de ces piliers permet de définir des domaines de sécurité cloud exploitables qu'une organisation doit prioriser et fournit une base solide pour votre architecture de sécurité cloud.
Une architecture vous donne un modèle avec des références écrites et visuelles sur la façon de configurer correctement votre développement, votre déploiement et vos opérations cloud sécurisés.
Ces outils peuvent exécuter plusieurs fonctions et fournir aux applications et aux services la couche de protection supplémentaire dont ils ont besoin pour créer un environnement informatique plus sécurisé.
Solutions de surveillance dans le cloud: les solutions et plates-formes de surveillance dans le cloud aident les équipes de sécurité à prendre de meilleures décisions concernant l'intégrité de leurs systèmes et aident à révéler les incohérences potentiellement dangereuses dans leurs processus de sécurité dans le cloud.
Services de sécurité réseau: les solutions CSaaS fournissent une suite de services de sécurité réseau pour vous aider à renforcer vos applications et services. Les pare-feu et les groupes de sécurité offrent une sécurité au niveau de l'instance, vous permettant de gérer efficacement le trafic dans plusieurs réseaux cloud, contribuant ainsi à éviter les attaques DDoS et le vol de données.
Gestionnaires d'identité et d'accès: pour assurer la sécurité de vos systèmes et réseaux, tout commence par le renforcement de la vérification de la conformité et de la validation des utilisateurs. Les gestionnaires d’identité et d’accès aident les administrateurs à reprendre le contrôle de leur gestion des accès, en atténuant les risques associés aux informations de connexion compromises et aux accès non autorisés au système.
Ces technologies peuvent aller des systèmes de gestion de journaux intelligents aux contrôles de gestion de la détection et de la prévention des intrusions de pointe, permettant à votre entreprise de garder une longueur d'avance sur les nouvelles menaces émergentes dans les environnements de cloud computing.
Politique, normes et directives: développez des politiques de sécurité documentées qui définissent clairement les actions obligatoires à suivre lors de la mise en œuvre de nouveaux outils et services basés sur le cloud.
Propriété des données: assurez-vous de comprendre les politiques et les normes en vigueur des fournisseurs de cloud et des sociétés de services gérés pour vous assurer qu'elles sont bien alignées sur les vôtres. Plus important encore, identifiez qui est responsable du respect des réglementations de conformité.
Accès du personnel: Établissez une politique expliquant les étapes nécessaires pour évaluer les dispositions et les restrictions d'accès aux données des employés nouveaux et actuels.
Provisionnement des ressources: créez des contrôles et des procédures pour gérer les allocations de ressources qui peuvent s'adapter à une congestion imprévue du réseau ou à des restrictions de stockage selon les besoins.
Assurance logicielle: implémentez des services ou des solutions de manière à maintenir l'intégrité des systèmes d'exploitation, des applications et des autres logiciels essentiels à tout moment.