L'évaluation régulière des vulnérabilités et l'auto-remédiation sont les clés d'une stratégie de sécurité cloud réussie
Avec l'essor des technologies basées sur le cloud qui étendent la surface d'attaque, les entreprises ont plus que jamais besoin de réajuster leur stratégie de cybersécurité.
Les solutions cloud font disparaître les périmètres de sécurité traditionnels, qui ne sont viables que lorsque les systèmes informatiques sont entièrement hébergés sur site.
Alors que le monde évolue rapidement vers le « tout as-a-service », les solutions Cloud revêtent également une nature critique : le cloud devient un composant intégral des technologies de la chaîne d'approvisionnement, de l'internet des objets (IoT), de l'intelligence artificielle (AI) et de l'infrastructure programmable (IaC - Infrastructure as Code). De plus, le paysage des menaces évolue rapidement. Une étude menée par Forrester Consulting a d'ailleurs révélé qu'avant la pandémie, 31 % des chefs d'entreprise et des responsables de la sécurité avaient transféré des fonctions critiques vers le cloud et 48 % des fonctions non critiques. Par conséquent, la posture de sécurité de toute entreprise ne peut plus être réactive. Le manque de visibilité introduit par les technologies du cloud, combiné à la nécessité de respecter la confidentialité, oblige les entreprises qui y migrent à passer d'une approche de la sécurité périmétrique vers une approche centrée sur la donnée, tout en garantissant un programme de sécurité proactif, holistique, et dynamique.
D'une manière générale, une migration réussie implique un large éventail de dimensions, notamment la prise en compte des politiques de sécurité, des exigences de conformité et des risques opérationnels. Chacun de ces éléments doit être considéré, tout en maîtrisant les coûts de l’entreprise.
La migration vers le Cloud implique ce que l’on pourrait appeler des « angles morts » en matière de CyberSécurité. Voici quelques éléments clés pour en atténuer l’impact. Lorsqu'elles migrent vers le cloud, les entreprises entrent dans un modèle de responsabilité partagée entre le fournisseur et l’entreprise utilisatrice, à un degré dicté par le modèle choisi (IaaS, PaaS ou SaaS).
L'objectif est d'identifier toutes les zones potentiellement à risque et de les concilier avec les besoins de l'entreprise pour parvenir à un niveau acceptable de tolérance au risque pour chaque zone. Cela doit notamment couvrir les risques liés aux fournisseurs de services cloud et de lock-in éventuel, ceux introduits par la perte de gouvernance, ainsi que les besoins de conformité. Chacun de ces domaines comporte sa propre sous-liste de risques associés, tels que les contraintes techniques, les coûts, l'allocation des ressources, les processus et procédures opérationnels, la sécurité et les contraintes juridiques.
La gouvernance de la sécurité du cloud vise à permettre des opérations de sécurité efficaces, aider les dirigeants à mieux comprendre et réduire progressivement les risques tout en étant aligné à la stratégie de l’entreprise.
La réalisation d'une analyse d'impact sur la protection des données (AIPD) peut également contribuer à atténuer les risques en identifiant et en traitant les scénarios à haut risque avant tout traitement de données. Bien que la loi l'exige dans certaines conditions, cette évaluation vaut la peine d'être réalisée indépendamment des exigences légales car elle peut contribuer à maximiser le respect des meilleures pratiques en matière de sécurité et de confidentialité, et donc à minimiser les responsabilités potentielles.
Lors du traitement des données, les meilleures pratiques consistent à supprimer autant que possible les facteurs d'identification personnelle, à mettre en place une stratégie pour identifier et gérer les vulnérabilités critiques afin de réduire le risque de violation des données, et à travailler avec les fournisseurs de services cloud pour définir clairement l'assistance qu'ils fourniront en cas d'incident afin que l'organisation soit bien préparée à gérer les éventuels incidents de cybersécurité.
En plus de ce qui précède, la journalisation et la surveillance sont des éléments essentiels d'une sécurité cloud efficace. Cette pratique devient encore plus cruciale en cas d'incident. Les fournisseurs de services cloud doivent être évalués en fonction des conditions qu'ils offrent pour l'accès et la gestion des journaux. En outre, les équipes chargées des opérations de sécurité ont besoin d'une stratégie de surveillance continue pour évaluer de manière proactive l'environnement et apporter une réponse rapide en cas de comportement anormal.
Les points abordés plus haut ne font qu'effleurer la myriade d'implications relatives à la l'adoption du cloud en matière de sécurité. Bien que les entreprises aient constaté que la stratégie « lift and shift » était efficace pour migrer des applications, des services et des données vers le cloud, cette approche ne s’applique pas à la sécurité. Elles doivent plutôt mettre en place une stratégie globale et proactive de sécurisation des applications et services cloud, qui commence bien avant le début des migrations. Cela nécessite une approche holistique qui inclut une vérification diligente de tous les tiers, la désidentification des données et la création d'accords de niveau de service raisonnables. Tous les dirigeants – pas seulement les professionnels de la sécurité mais aussi les responsables informatiques et les chefs d'entreprise – doivent considérer la cybersécurité comme une condition fondamentale à la pérennité de leur entreprise.