Meilleures pratiques pour protéger vos données dans un environnement Cloud

À propos du fournisseur

Le choix du fournisseur de services sera l'un des facteurs les plus importants à considérer, car nous parlons de la mise en œuvre d'un produit, mais aussi de la prestation d'un type de services qui concernent directement les parties les plus sensibles de l'organisation, telles que son efficacité, sa sécurité et sa conformité.

Il existe de nombreux facteurs à considérer, parmi lesquels les suivants.

• Disposer d'un fournisseur certifié. Il est recommandé de disposer d'un fournisseur de cloud qui offre les meilleurs protocoles de sécurité et qui s'aligne sur les meilleures pratiques de l'industrie. Ne vous contentez pas de moins ; de la même manière que les grands (Amazon, Google, Microsoft) offrent un accès transparent aux détails de leur stratégie de conformité et à leurs certifications, il en doit être de même pour tout autre fournisseur.
• Comprendre le modèle de responsabilité partagée. Les principaux fournisseurs de services cloud, tels que AWS, Azure, Google Cloud ou Alibaba Cloud, publient ce que l'on appelle le "modèle de responsabilité partagée pour la sécurité". Tout fournisseur fiable disposera d'un document similaire. Analysez-le et vérifiez quelles tâches resteront au sein de l'organisation et lesquelles seront gérées par le fournisseur. La formule idéale variera en fonction du modèle as a Service (SaaS, PaaS, IaaS) ou sur site.
• Réviser les accords de niveau de service. Les SLA et les contrats de services cloud ne sont pas seulement une garantie de service et de ressources en cas d'incidents. Ils doivent également détailler clairement qui est propriétaire et qui est responsable de quelles données. Et c'est un point clé, car de nombreux fournisseurs ne précisent pas que les données des clients appartiennent au client, ce qui pourrait éventuellement conduire le fournisseur à revendiquer la propriété des données.
• Visibilité et contrôle. Bien que vous l'ayez entendu mille fois, cela ne cesse d'être actuel : « Vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». Tout bon fournisseur de services doit offrir une visibilité totale des données et de qui y accède, indépendamment de leur emplacement. Le fournisseur devra également offrir une surveillance continue de l'activité pour détecter les changements de configuration et de sécurité dans toute l'infrastructure, ainsi que garantir la conformité réglementaire.
• Protection des actifs. L'obligation de savoir où sont stockées, traitées et gérées les données de l'organisation a toujours été importante, mais elle est devenue obligatoire avec des réglementations telles que le RGPD. Pour garantir que les actifs sont protégés, le fournisseur devra disposer dans son centre de données de mesures avancées de protection physique pour protéger tous les actifs d'information.
• Sécurité opérationnelle. Lors de la sélection d'un service cloud, il est essentiel de rechercher un fournisseur qui met en œuvre un solide plan de sécurité opérationnelle, en informant toujours immédiatement de tout changement pouvant affecter la sécurité. Il doit également disposer d'un système de gestion des vulnérabilités, d'outils de surveillance avancés ; et, bien sûr, d'un processus de gestion des incidents prêt à déployer une réponse rapide et efficace en cas d'attaque.
• Conformité. Le fournisseur doit suivre les meilleures pratiques de l'industrie en matière de sécurité cloud et, s'il est un fournisseur solide, il disposera d'une ou plusieurs certifications reconnues, telles que STAR, HIPPA ou PCI. Il est également recommandé d'identifier un fournisseur avec des certifications spécifiques au secteur dans lequel l'organisation opère.

Dans le cadre des opérations

Une fois le fournisseur sélectionné et le plan de sécurité cloud de l'organisation établi, il sera nécessaire de maintenir et d'alimenter une politique d'intelligence d'affaires qui permette d'automatiser autant que possible les tâches de prévention, de protection et de réponse. Pour cela, voici une série d'aspects qui peuvent aider.

• Visibilité. La plupart des grandes organisations utilisent plusieurs services cloud, avec une grande variété de fournisseurs et dans différentes régions géographiques. Une stratégie de sécurité cloud appropriée apportera une visibilité sur l'ensemble de l'écosystème, y compris les ressources, les projets et les régions cloud depuis un centre de contrôle unique. Cela permettra également de mettre en œuvre des politiques de sécurité granulaires.
• Protection des données en transit et au repos. Un exemple parfait de responsabilité partagée. Au niveau opérationnel, vous aurez besoin de protection pour éviter l'interception ou le chiffrement des données. Le fournisseur, bien sûr, devra fournir des outils pour chiffrer facilement vos données en transit et au repos, afin de garantir le même niveau de protection dans les deux cas.
• Gestion des utilisateurs. Contrôle des accès. Il est recommandé de commencer par un site Zero Trust, qui donne aux utilisateurs accès uniquement aux systèmes et aux données dont ils ont besoin. Pour éviter la complexité dans l'application des politiques, il est possible de définir des groupes avec des fonctions spécifiques ayant différents privilèges d'accès, puis d'ajouter de nouveaux utilisateurs, au lieu de devoir personnaliser l'accès pour chaque utilisateur.
• Protection des dispositifs. La majorité des utilisateurs accéderont à leurs services cloud via des navigateurs web, il sera donc essentiel de disposer d'une sécurité avancée au niveau client, ainsi que de maintenir le logiciel à jour avec les derniers correctifs de sécurité. Mais il sera tout aussi important de mettre en œuvre une solution de sécurité endpoint pour protéger les dispositifs mobiles.
• Chiffrement. En utilisant des services cloud, les données sont exposées à un risque accru lorsqu'elles sont stockées sur une plateforme tierce et déplacées entre le réseau et le service cloud. Par conséquent, il sera nécessaire de s'assurer de les chiffrer pour toutes les données, qu'elles soient au repos ou en transit. Le fournisseur de cloud peut offrir des services de chiffrement intégrés pour protéger vos données des tiers, mais cela permet à un tiers d'accéder aux clés de chiffrement de l'entreprise.
• Gestion des mots de passe. L'application d'une politique stricte de mots de passe sera essentielle pour éviter les accès non autorisés. Par exemple, établir des exigences minimales pour qu'un mot de passe soit valide, ou obliger les utilisateurs à mettre à jour leur mot de passe régulièrement... Comme couche supplémentaire de sécurité et de protection, l'authentification multifactorielle devrait également être mise en œuvre.

Agents d'accès sécurisé (CASB)

L'utilisation des CASB devient rapidement un outil central pour mettre en œuvre les meilleures pratiques de sécurité cloud. C'est un logiciel qui se situe entre l'utilisateur et le fournisseur de services cloud, offrant un ensemble sophistiqué d'outils pour fournir une visibilité sur l'écosystème cloud, appliquer les politiques de sécurité des données, mettre en œuvre la protection contre les menaces et maintenir la conformité.

Les CASB apportent de la visibilité sur toutes les applications cloud, qu'elles soient autorisées ou non, en fournissant une image complète de l'activité cloud pour prendre les mesures de sécurité nécessaires. De cette manière, l'organisation peut limiter ou autoriser l'accès en fonction de l'état ou de l'emplacement.

Un autre élément clé des CASB est l'application de politiques pour éviter le partage non autorisé des données. Cela permet de protéger des informations sensibles telles que les données financières, les données de propriété, les numéros de carte de crédit ou les dossiers médicaux.

Enfin, les agents de sécurité d'accès au cloud sont un bon outil de prévention des menaces, détectant les comportements inhabituels dans les applications cloud pour identifier les ransomwares, les utilisateurs à risque ou les applications non autorisées, et même remédier automatiquement aux menaces.

Évaluation de la posture de sécurité dans le cloud

Avec le modèle de responsabilité partagée, le fournisseur de cloud est chargé de la protection de la couche d'infrastructure, mais c'est à l'utilisateur de configurer les services. Et il ne s'agit pas seulement de définir les configurations appropriées, les équipes doivent aborder toute déviation dès que possible. Selon les données de Gartner, 80 % des violations de sécurité sont causées par des configurations incorrectes.

Une bonne solution est l'utilisation d'outils de gestion de la posture de sécurité dans le cloud (CSPM), qui fournissent une visibilité sur les actifs cloud pour éviter les configurations incorrectes (patchs de sécurité non mis à jour, permissions incorrectes, données non chiffrées, etc.). Ils intègrent également des outils numériques permettant d'évaluer les mesures de sécurité, les politiques et autres solutions mises en œuvre.

Les outils CSPM sont largement utilisés dans tous types d'environnements : infrastructures et environnements hybrides, multicloud, conteneurs... Ils permettent également la gestion des politiques de sécurité sur tous les comptes, projets, régions ou réseaux via une console unique.