Cinq étapes pour une sécurité élevée des données dans le cloud
Le transfert de processus commerciaux et d'applications vers le cloud nécessite une planification précise afin de garantir la sécurité des données à tout moment et dans les moindres détails.
Lorsque les entreprises transfèrent des processus commerciaux complets vers le cloud, les objectifs commerciaux attendus ne peuvent être atteints que si la migration est protégée dès le départ par une stratégie de sécurité informatique complète - dans laquelle la sécurité des données joue un rôle décisif. NTT Security concrétise les principales activités en cinq étapes.
- Identifier et classer les données
Pour commencer, les entreprises doivent déterminer quelles applications et quelles données doivent être transférées lors de la migration de leur propre centre informatique vers un fournisseur de cloud. Il faut par exemple déterminer de quel type de données il s'agit et si des données personnelles sont impliquées, car les règles strictes du RGPD s'appliquent alors. Dans quelles applications les données sont-elles utilisées, par qui et comment ? Sont-elles uniquement lues ou également traitées ? Le modèle de sécurité est construit sur la base de ces informations.
- Définir le niveau de protection pour chaque étape du workflow
Sur la base de la classification et de l'évaluation des risques des données, le niveau et la classe de protection doivent être définis pour chaque étape de la charge de travail. Le cryptage est-il nécessaire et si oui, quand : pendant la transmission, lors du stockage, au niveau du champ ? La pseudonymisation ou les clés sont-elles nécessaires ? Où les clés de chiffrement doivent-elles être conservées ? Sur site, directement chez le fournisseur de cloud ou chez un fournisseur de cloud séparé ?
- Définir des règles pour le contrôle d'accès
Afin d'atteindre un niveau de protection élevé, les données ne doivent pas être accessibles sans protection à tout moment au cours d'un processus d'entreprise. Il faut également s'assurer que les copies des données stockées ou archivées sont aussi protégées que les originaux pendant le traitement et que ces copies sont supprimées lorsqu'elles ne sont plus nécessaires. En fonction des rôles au sein de l'entreprise, des autorisations d'accès sont attribuées et leur respect est contrôlé, de sorte que personne de non autorisé ne puisse lire, copier, modifier ou supprimer des données.
- Enregistrer tous les accès aux données dans des fichiers log
Les entreprises doivent associer les règles d'attribution des droits d'accès à une gestion complète des logs. Les journaux d'accès enregistrent et stockent toutes les activités de données. Ces enregistrements et l'analyse de tous les accès aux données ainsi que d'autres événements liés à la sécurité sont la condition préalable à un monitoring complet de la sécurité informatique. L'analyse des fichiers journaux permet d'une part de détecter les événements extraordinaires et d'en déterminer les causes et, d'autre part, elle aide les entreprises à retracer toutes les activités lors des audits de sécurité.
- Respecter le cycle de vie des données
L'obligation de conserver les données est réglementée en détail dans les secteurs des services financiers, de la technologie médicale, de la chimie-pharmacie et autres. La protection des données à caractère personnel tout au long de leur cycle de vie est réglementée par le RGPD, que les données se trouvent dans le centre de données de l'entreprise ou dans le cloud. Pour les entreprises, cela signifie qu'elles doivent conserver en permanence un contrôle total sur les données à caractère personnel, de leur collecte à leur archivage en passant par leur traitement. Cela vaut pour les applications individuelles et standard, qu'elles se trouvent sur site ou dans le cloud.
"Le débat sur l'utilisation des technologies cloud n'est désormais plus dominé par des préoccupations de sécurité. Aujourd'hui, les entreprises veulent avant tout saisir les opportunités qui en découlent pour accélérer leur transformation numérique", explique Franck Braunstedter, Senior Manager Cyber Defense and Cloud Security chez NTT Security Allemagne. Avec un soutien externe, les entreprises sont en mesure de relever les défis de sécurité informatique spécifiques au cloud à toutes les étapes d'une migration.
Source : NTT Security
