Sécurité dans le Cloud : et si vous preniez de bonnes résolutions en 2020 ?

C'est en dressant le bilan de l'année écoulée que les entreprises pourront optimiser leur sécurité en 2020. Mais des difficultés opérationnelles - budget, manque de ressources, etc - peuvent influencer leurs jugements. Voici 5 résolutions à envisager en ce début d'année pour prévenir un incident de sécurité dans le Cloud.

En début d’année de nombreux services de l’entreprise font le bilan des douze mois écoulés et se projettent sur les priorités de l’année à venir. Il faut analyser ce qui s'est bien passé en 2019, ce qui peut être amélioré, et définir à quoi il conviendrait de consacrer davantage de ressources dès l’année suivante. C’est une discussion importante au sein des départements en charge de l’informatique critique, au premier lieu desquels la sécurité. Parmi les questions : quelle était la situation des menaces l’an dernier ? Quelles mesures avons-nous prises pour les contrer ? Y a-t-il eu des incidents qui nécessitent de prendre des mesures supplémentaires ?

Pour autant, au moment d'évaluer les risques de sécurité et de prendre des décisions appropriées, les directions informatiques sont parfois confrontées à certaines difficultés opérationnelles. Si les entreprises conviennent qu’il faut sécuriser le Cloud, différents facteurs influencent leurs jugements et ne leur permettent pas d’atteindre des résultats optimaux.

  •  Des budgets serrés : pour acquérir de nouvelles solutions de sécurité, les équipes informatiques doivent toujours justifier les raisons pour lesquelles la dépense doit être effectuée. Et lorsqu'il s'agit de sécuriser le Cloud, elles rencontrent souvent plus de résistance. De nombreuses entreprises ont réalisé d'importants investissements au niveau de leurs infrastructures locales, sans s’assurer que les solutions retenues offriraient une protection suffisante pour les environnements Cloud. Au moment d’acquérir des solutions indispensables pour sécuriser le Cloud, les budgets ne seront pas faciles à faire approuver.
  •  Une mauvaise appréciation de la situation de menace : trop d’entreprises estiment encore qu’elles ne constituent pas une cible intéressante pour les pirates. Dès lors, elles pensent que leur cyber sécurité ne requiert pas les mêmes efforts que des sociétés supposées plus intéressantes. Cette idée est sans doute liée au fait que les principaux incidents de sécurité médiatisés concernent des entreprises de plus grande taille. Or rien ne permet de conclure que les PME ou les ETI seraient moins menacées. Une entreprise, quelle que soit sa taille, dont les données sensibles ne sont pas fortement protégées représente toujours une cible susceptible d’attirer les pirates informatiques.
  •  Manque de personnel spécialisé : c’est un aspect négligé tant que l’entreprise n’est pas confrontée à un problème. Mais le manque de compétences peut avoir un impact direct sur la qualité de la sécurité informatique. Or trop d’entreprises accentuent leurs efforts de recrutement uniquement lorsque le manque de compétences est déjà perceptible, ou lorsqu’elles subissent une perte de données.

Comme le montre le dernier rapport[1] "Guardian of the Cloud" , tout ceci engendre une frustration compréhensible chez les responsables informatiques. Des mesures de sécurité simples telles que l'authentification unique (SSO) et la prévention des pertes de données (DLP), par exemple, ne sont mises en œuvre que par un cinquième des entreprises utilisant le Cloud. Pourtant, les risques de perte de données lors de l'utilisation du Cloud sont multiples et divers : logiciels malveillants, comptes d'utilisateurs compromis, mauvaise configuration, accès via des appareils finaux non gérés, etc.

Inutile d’attendre un incident de sécurité pour prendre des mesures en cours d’année.  Voici 5 résolutions que les départements informatiques peuvent envisager dès à présent pour optimiser leur sécurité dans le Cloud.

  1. Exposer consciencieusement les faiblesses

Peu importe que des pannes mineures ou des pertes de données de grands groupes internationaux fassent la une : vous devez mettre consciencieusement à l’épreuve vos propres mesures et politiques de sécurité. Pour les entreprises qui ont mis en œuvre des plateformes IaaS, par exemple, cela signifie d’utiliser des outils capables d’identifier et d’éliminer de manière proactive les erreurs de configuration au sein des environnements en nuage qui pourraient exposer les données. Ainsi, il peut se révéler très utile d'effectuer un test virtuel avec un prestataire de services externe.

  2. S’intéresser aux nouvelles technologies Cloud

Il existe des solutions logicielles spécifiques pour chacun des secteurs de l'entreprise. Elles sont conçues pour simplifier les processus de travail et améliorer la productivité. Pourtant, les décisions relatives à ces applications sont souvent prises sans la concertation nécessaire avec les services informatiques, qui perdent ainsi le contrôle des données sensibles de l'entreprise. Pour garantir que ces nouvelles technologies soient utilisées en respectant le cadre sécuritaire nécessaire, une coordination étroite avec le directeur technique d’une part et les collaborateurs d’autre part est indispensable. Elle permettra de comprendre leurs attentes, de recenser les technologies qui seront disponibles pour l’entreprise dans un futur proche et de clarifier les exigences de sécurité à prendre en compte pour permettre une mise en œuvre en toute sécurité.

  3. Garantir les fondamentaux et former le personnel

Au minimum, chaque entreprise devrait installer toutes les mises à jour et les correctifs dès qu'ils sont disponibles - sur l’ensemble des appareils utilisés par ses employés. Ces mesures de base permettent de combler les lacunes existantes en matière de sécurité et contribuent ainsi à réduire les risques de perte de données.

Ensuite, pour aller plus loin, un des meilleurs moyens d'améliorer la sécurité consiste à instaurer une mentalité "security-first" dans l’ensemble de l’entreprise. Ces normes organisationnelles doivent être clairement communiquées par les responsables informatiques et leur application doit être contrôlée en permanence au sein de l’ensemble des services. Ces politiques s’accompagneront de formations supplémentaires et régulières sur des sujets tels que la détection des courriels de phishing et l'échange sécurisé de données pour continuer de minimiser la probabilité d'une fuite de données. .

  4. Introduire les meilleures pratiques en matière d'outils de sécurité

Si les exigences en matière de solutions de sécurité dans le Cloud diffèrent selon les cas, les fonctions essentielles restent les mêmes : Prévention des pertes de données (DLP), analyse du comportement des utilisateurs et des entités (UEBA), cryptage et authentification multi-facteur (MFA). La liste peut s’allonger. Les organisations ont donc intérêt à choisir des solutions de sécurité complètes et robustes qui peuvent fournir l’ensemble des garanties nécessaires pour assurer la sécurité des données en temps réel.

  5. Recruter des profils qualifiés et développer les compétences en interne

Les exigences en matière de sécurité dans le Cloud vont changer. Il en est de même pour la structure du personnel. Pour réussir à suivre ces changements, une planification à long terme doit être effectuée, afin que le recrutement de personnel junior et senior ne se fasse pas dans l’urgence en cas de besoin aigu. Dans le même temps, il convient d'examiner quelles autres qualifications pourraient être utiles aux membres de l'équipe informatique dans un avenir proche, afin de leur permettre de monter régulièrement en compétence.

La mise en place d'une sécurité Cloud globale peut s’avérer assez complexe dans certaines entreprises. Les bonnes intentions prises en début d’année vont aider à définir plus précisément les mesures de sécurité nécessaires et faciliter la planification et la mise en œuvre de la stratégie de sécurité Cloud globale. Conscients des résistances rencontrées jusqu’à présent, les responsables informatiques devront en tenir compte au moment de choisir de nouvelles solutions. C’est à ce prix que l’entreprise pourra réunir l’ensemble des conditions de sécurité nécessaires pour une stratégie “Cloud First“ efficace et sûre en ce début d’année.
 

[1] https://pages.bitglass.com/CD-FY19Q2-Guardians-of-the-cloud-report_LP.html