La résidence des données : un autre outil de cybersécurité dans votre arsenal

Le caractère complexe du cloud rend celui-ci vulnérable aux attaques. Dans ce contexte, la résidence des données représente un moyen de protection efficace.

Les données sont devenues la monnaie d'échange des cybercriminels qui réalisent maintenant qu'il est bien plus avantageux de rançonner des informations personnelles que de démanteler un serveur. Au cours du premier semestre 2020, 36 milliards de données ont été visées par des actes de cybermalveillance, 86% des atteintes étaient motivées par le gain financier, selon un rapport de Verizon sur les violations de données.

Le cloud a créé un nouveau vecteur d'attaque car les données sont maintenant stockées sur des serveurs et réseaux publics et les infrastructures sont désormais virtuelles. Ceci a rendu obsolète le modèle traditionnel de sécurité pour faire place au concept de zero trust selon lequel chaque appareil et chaque utilisateur du réseau d'une entreprise doit montrer patte blanche.

Mais il existe un autre outil pour votre arsenal de cybersécurité : la résidence des données. Le caractère complexe du cloud rend celui-ci vulnérable aux attaques, et cet outil peut être un moyen de protection efficace.

Complexité : pas si simple

Selon IDC, le multicloud va bientôt dominer la technologie d'entreprise. Près de 90 % des organisations devraient l'avoir mis en place dès 2022. Cela complique la cybersécurité car les données et applications sont désormais basées sur différentes plateformes, data centers et zones.

Les architectures cloud natives ajoutent encore à la complexité des systèmes. Les systèmes monolithiques sont redessinés au fur et à mesure que les équipes IT réparties en microservices gèrent l'ensemble des cycles de vie. Les microservices peuvent être créés dans un vaste choix de langues, cadres et systèmes de stockage par le biais de différentes techniques : HTTP, événements, gRPC, WebSockets.

Les services basés sur le cloud fonctionnent bien car ils sont facilement repérables par les autres systèmes puisqu’ils utilisent des interfaces publiques et API ouverts. Mais attention : cet avantage représente également un danger.

Le State of Product Integrations at the SaaS 1000 de Pandium indique que les applications d'entreprises basées sur le cloud ont en moyenne 98 intégrations. Pour 88% d'entre elles, le moyen le plus rapide de connecter des services, de permettre aux utilisateurs d'y accéder rapidement, et de transférer des données est l'utilisation d'API externes. Les intégrations individuelles vont encore plus loin. Stewart Butterfield, directeur général de Slack qu'un seul client avait 500 intégrations à Slack, plus un "grand nombre d'intégrations développées en interne".

Mais voilà : intégrations et API ouvrent grand la porte aux cybercriminels. Le nombre d'attaques sur les apps web a plus que doublé l'année dernière, avec 43% de violations selon un rapport de Verizon. Selon le rapport du Ponemon Institute sur le coût des vols de données, les pirates utilisent des informations d'identifications volées, obtenues par force brute.

Ce qui est troublant, c'est que même si certains défis liés au cloud disparaissent au fur et à mesure qu'on l'utilise et que les équipes IT gagnent en expérience, la sécurité ne s'améliore pas. Selon le rapport annuel de Flexera sur l'état du cloud, la sécurité est fragile car elle est une cible mouvante : "Les hackers deviennent de plus en plus sophistiqués, ce qui nécessite une attention continue à la sécurité du cloud. De plus, de nouvelles lois et réglementations sont édictées constamment, surtout dans les segments comme les services financiers et les soins de santé, au fur et à mesure que les législateurs s'adaptent aux technologies."

Et la résidence des données ?

C'est ici que la résidence des données peut être utile dans le cadre d'un planning de sécurité. Une infrastructure opérationnelle qui répond aux demandes des autorités de réglementation nécessite la mise en place de procédures qui réduisent cette complexité et donc améliorent la cybersécurité.

Dans l'UE, le RGPD ne réglemente pas la résidence des données, mais les processeurs de données européens respectent le RGPD. Ceci est important : même si le RGPD ne précise pas les mesures de cybersécurité obligatoires, il fixe néanmoins des règles claires concernant la sécurité des données et le traitement des données. Il prévoit que des mesures techniques et organisationnelles "appropriées" doivent être mises en place pour respecter ces règles.

L'idée générale est que les organisations doivent savoir où les données sont stockées, les protéger, et assurer leur suppression en cas de demande. Il s'agit donc de protéger les données personnelles des cyberattaques, de détecter les événements de sécurité et minimiser leur impact, et de permettre aux personnes de déplacer et supprimer leurs données.

L'accent est mis sur le niveau de risque qu'une organisation est prête à supporter et sur la mise en place de réactions "appropriées" pour réduire ce risque.

Comme l'a dit Adam Kujawa, directeur de Malwarebytes Labs, la résidence des données est une bonne chose : "Il est plus facile de sécuriser des informations quand vous savez où elles se trouvent."

Pour respecter les réglementations, il faut mettre en place les outils et processus qui non seulement assurent la conformité, mais vous permettent de prouver cette conformité. Pour vous conformer au RGPD, vous devez définir et mettre en place des politiques et des processus qui gèrent votre approche de la sécurisation des systèmes de traitement des données personnelles. Vous devez également appliquer des mesures techniques et organisationnelles appropriées pour protéger contre les cyberattaques les systèmes, technologies et services numériques qui traitent les données personnelles.

Conclusion

Pour vaincre les hackers décidés à voler vos données, il n'y a pas de recette miracle ; la cybersécurité efficace requiert une approche à plusieurs niveaux, couvrant l'ensemble de l'entreprise. Dans le multicloud, cela signifie agir au niveau des plateformes : installer un système de détection et de réaction planifié utilisant des processus et procédures cohérents et automatisés. Ceci réduira le temps de réponse et affinera votre réponse aux incidents.

Les politiques et pratiques qui doivent accompagner la résidence des données vous permettront de maîtriser la complexité du multicloud, vous donnant un excellent outil qui complétera votre arsenal de cybersécurité.