7 étapes pour passer au cloud en toute sécurité
Grâce à sa flexibilité et à sa capacité par rapport aux méthodes traditionnelles de calcul et de stockage, le cloud est devenu un pilier important pour de nombreuses entreprises. Cependant, comme les méthodes traditionnelles de stockage et de partage de fichiers, le cloud pose des problèmes spécifiques de sécurité des données.
Une approche pragmatique et centrée sur les données peut toutefois rendre le passage au cloud plus facile à mettre en œuvre. Voici un cadre en sept étapes pour un programme de sécurité en nuage efficace :
- Sécuriser les points finaux qui ont accès aux applications en nuage : Les applications en nuage se trouvent en dehors de l'environnement informatique d'une entreprise et donc en dehors de la protection offerte par de nombreuses technologies de sécurité basées sur le réseau ou le périmètre. Avant que les entreprises n'utilisent des services en nuage, il est important de sécuriser les appareils qui sont utilisés pour accéder au nuage. Ces points finaux doivent être protégés par des technologies de sécurité telles que la prévention des pertes de données (DLP) avec des contrôles pour l'exfiltration des données, le chiffrement de bout en bout et l'accès sécurisé. Les données doivent rester cryptées dans le nuage et ne doivent être décryptées qu'une fois qu'elles ont atteint l'appareil d'un utilisateur autorisé. Une fois que les données arrivent dans le nuage, elles ne sont plus sous le contrôle direct de l'entreprise. Il est donc fondamental de crypter les données sensibles et d'empêcher le téléchargement de certains types de données afin de protéger les informations critiques de l'entreprise contre les cybercriminels.
2. surveiller l'accès aux données et aux services en nuage : La visibilité de l'accès aux données et de leur utilisation est également essentielle pour une sécurité efficace des données dans le cloud. En plus de sécuriser les points finaux utilisés pour accéder aux données du cloud, les entreprises doivent s'assurer qu'elles ont une vue d'ensemble des personnes qui accèdent au cloud et des données qui y sont chargées ou téléchargées. Cette visibilité augmente l'efficacité des contrôles de sécurité des points finaux et permet à l'équipe de sécurité d'identifier rapidement les comportements risqués ou suspects liés aux données en nuage et d'y répondre.
3. utilisation du cloud computingAPIs pour étendre la sécurité des données : Si une entreprise autorise l'utilisation de services de messagerie électronique basés sur le cloud ou de services de stockage tels que Box ou Dropbox, elle devrait utiliser les API des fournisseurs pour étendre les mesures de sécurité des données existantes à ces plateformes. De cette manière, il est possible d'optimiser la transparence de l'accès aux données dans le nuage et de permettre un meilleur contrôle par le biais du cryptage ou de la gestion de l'accès aux données dans le nuage. De nombreux dispositifs de sécurité réseau proposent des intégrations au cloud via des API. Les entreprises devraient donc demander à leur fournisseur quelles sont les plateformes de cloud avec lesquelles elles sont intégrées et profiter de ces fonctionnalités, si elles sont disponibles.
4. sécurisation des applications en nuage : Outre les points finaux et les réseaux, la sécurité du cloud dépend également de la sécurité des applications exécutées dans le cloud. Trop souvent, la sécurité est reléguée au second plan lors du développement d'applications en nuage, notamment celles créées par des développeurs individuels ou de petites équipes.
Les entreprises devraient donc tester leurs applications en nuage pour détecter les vulnérabilités de sécurité fréquemment exploitées et demander aux fournisseurs tiers d'applications en nuage de leur communiquer les résultats des tests de sécurité des applications (tels que les analyses statiques ou dynamiques ou les tests d'intrusion). Toutes les vulnérabilités découvertes lors des tests d'applications devraient être corrigées en toute sécurité avant l'utilisation des applications.
5. mise en œuvre de politiques et de contrôles pour BYODs : Si les entreprises souhaitent autoriser l'accès aux données du cloud via des appareils mobiles appartenant aux employés (ordinateurs portables, smartphones ou tablettes), il est impératif qu'elles établissent d'abord une politique BYOD (Bring your own device) et qu'elles mettent en place des contrôles afin de faire respecter l'accès approprié aux données par les utilisateurs BYOD. Les entreprises devraient envisager d'utiliser l'authentification à deux facteurs, le cryptage de bout en bout et le logiciel MDM (Mobile Device Management) pour sécuriser l'utilisation BYOD dans le nuage. L'authentification à deux facteurs permet d'éviter les accès non autorisés, tandis que le cryptage garantit que les données sensibles du cloud auxquelles les utilisateurs BYOD accèdent ne sont visibles que par les personnes autorisées. Le logiciel de gestion des appareils mobiles est une bonne dernière ligne de défense en cas de perte ou de vol d'un appareil, car MDM permet aux services informatiques de restreindre l'accès aux BYOD ou, si nécessaire, d'effacer à distance les données sur l'appareil.
6. des sauvegardes régulières des données du cloud : Les fournisseurs et applications de cloud étant de plus en plus ciblés par les cyberattaques, les entreprises doivent se préparer au pire des scénarios : la perte permanente des données basées sur le cloud. Bien que cela ne protège pas des conséquences telles que les pertes financières ou les sanctions juridiques, l'exécution de sauvegardes régulières garantit au moins que toutes les données critiques perdues lors d'une violation de données en nuage, d'une attaque de ransomware ou d'une infection destructrice de logiciels malveillants peuvent être récupérées.
7. formation à la sécurité des employés : Indépendamment de la sécurité des terminaux, des applications et des connexions réseau, leur sécurité dépend également des employés qui les utilisent. Les tactiques d'ingénierie sociale telles que le spear-phishing font toujours partie des méthodes les plus courantes, les plus simples et les plus efficaces utilisées par les cybercriminels. Des formations régulières sont essentielles pour s'assurer que les employés sont capables de reconnaître efficacement les attaques d'ingénierie sociale et de créer des habitudes sécurisées sur le Web. Les entreprises devraient donc organiser régulièrement des simulations d'attaques d'ingénierie sociale afin de tester la capacité de leurs employés à identifier et à éliminer les vulnérabilités.
Grâce à ses nombreux avantages, la migration vers le cloud va continuer à augmenter à l'avenir, mais aussi les menaces de sécurité. Toutefois, en suivant les étapes de sécurité susmentionnées, composées de technologies centrées sur les données et de meilleures pratiques de sécurité, les entreprises peuvent protéger efficacement leurs données dans le nuage contre les attaquants.
Auteur : Christoph M. Kumpa, directeur DACH & EE chez Gardien numérique