Cloud Sécurisé : 3 étapes à mettre en place


Publié le 02-03-2021 par Modérateur FREELANCE INFO



L’usage du cloud est en permanente croissance. D’après une étude de Gartner d’ici 2023 près de 40 % des tâches des entreprises se feront au travers d’IaaS (infrastructures en tant que service) ou de SaaS (logiciels en tant que service). Gartner estime également qu’environ 48 % des employés continueront à télétravailler après la fin de la crise sanitaire.

De plus, l’arrivée de l’offre cloud PC chez Microsoft devrait encore favoriser cet essor en démocratisant le cloud computing. Cependant, la multiplication des usages, des accès et des données stockées en ligne décuple les risques de sécurité. Selon un autre rapport de Netwrix, plus de la moitié des entreprises qui utilisent des services cloud ont connu des incidents en 2020. Il est donc indispensable de mettre en place des actions de prévention et de gestion des menaces. Découvrez, dans cet article 3 étapes pour disposer d’un cloud sécurisé.

Faire appel à un fournisseur de cloud sécurisé

 

Cette première étape peut sembler évidente, mais avec l’essor du cloud computing, de nombreux fournisseurs se sont lancés sur le marché et il devient difficile de s’y retrouver entre toutes les offres. Cependant, certains critères sont essentiels pour s’assurer d’avoir un cloud sécurisé.

Le chiffrement des données

 

La première mesure de protection contre d’éventuels vols d’informations est de faire appel à un prestataire qui chiffre les données à la fois dans le cloud et sur les terminaux. Le chiffrement garantit que des tiers, mais également le fournisseur du service cloud n’ont pas accès aux éléments stockés. Cette fonctionnalité, bien qu’essentielle, n’est pas forcément incluse par défaut dans les offres cloud. Pour AWS (Cloud Amazon) par exemple, elle est disponible en option supplémentaire : AWS Key Management Service (KMS).

 

Parmi les prestataires qui chiffrent les données de bout en bout on peut citer :

  • Mega

  • DropBox

  • Tresorit

 

Les accords d’utilisation

Le contrat d’utilisation liste les méthodes par lesquelles le fournisseur protège les données stockées. Il doit également mentionner si le prestataire peut exploiter ou vendre des informations. Bien lire les conditions générales est donc primordial avant de s’engager. Une consultation régulière des mises à jour de la plateforme cloud permet aussi de se tenir informé des évolutions concernant la politique de sauvegarde des données.

 

La possibilité de personnaliser les paramètres de confidentialité

Un prestataire cloud doit accorder à l’utilisateur la possibilité de configurer des paramètres de confidentialité afin de choisir quelles informations sont partagées. Il doit également permettre de définir si des données peuvent être collectées par le fournisseur pour les statistiques et la gestion des services.

 

Déployer une politique de sécurité du cloud

 

Faire appel à un prestataire fiable ne garantit cependant pas de disposer d’un cloud sécurisé. Toujours selon l’institut Gartner, jusqu’à présent 95 % des problèmes de sécurité dans le cloud proviendraient du client.

Une mauvaise gestion des accès, des utilisateurs non sensibilisés aux risques, des applications externes mal configurées sont autant de menaces pour l’intégrité des données hébergées en ligne.

 

La création d’une politique de sécurité cloud est donc essentielle pour aider à stocker et à protéger correctement les informations critiques. Elle peut tout à fait être reliée aux autres documents de sécurité comme une charte de confidentialité et doit notamment indiquer :

 

  • Son objectif : par exemple une garantie de l’intégrité et de la disponibilité des données.

  • Sa portée (fonctionnalités ou emplacements spécifiques).

  • Les types de renseignements couverts : mots de passe, clés cryptographiques, mais aussi factures, données d’identification des employés, etc.

  • Les responsabilités des utilisateurs :  qui utilise le cloud ? Qui est chargé de sa maintenance ?

  • Les exigences pour une utilisation sécurisée des services cloud (besoins et priorités de l’organisation, catégories de données à stocker et natures des services cloud à déployer).

  • Les services autorisés à s’interfacer avec le cloud.

  • Le rythme et les modalités d’évaluation des risques.

  • L’organisation et le contenu des contrôles de sécurité, avec par exemple la mise en place d’outils de protection de la charge de travail cloud (CWP).

  • Les actions à conduire lors d’incidents de sécurité (priorisation des informations à récupérer, évaluation des systèmes, rapports, etc.).

  • Les opérations de sensibilisation et les formations à mener (rythmes, contenus, acteurs).

 

Utiliser des certifications et courtiers en sécurité pour l’accès au Cloud

 

La définition d’une politique de sécurité cloud demande du travail et de l’expertise. De plus, celle-ci doit s’accompagner d’une veille constante pour s’adapter à la fois aux besoins et usages des utilisateurs, mais également aux nouvelles failles de sécurité internes et attaques externes.

 

Pour réduire le temps lié à ces tâches, les organisations peuvent recourir à un courtier en sécurité pour l’accès au Cloud (CASB). Il s’agit d’un logiciel (hébergé dans le cloud ou en local sur site) qui fait office d’intermédiaire entre les utilisateurs et les prestataires de services cloud.

 

Il opère comme un pare-feu en permettant :

 

  •  D’identifier les systèmes et procédés « shadow IT », notamment les services cloud non officiellement documentés et qui peuvent introduire des risques de sécurité.

  • De sécuriser les données confidentielles avec des technologies de contrôle d’accès et de protection contre la perte de données (DLP).

  • De préserver contre les menaces en bloquant les attaques externes et en en empêchant les fuites de données grâce entre autres à la détection de logiciel malveillant, l’inspection de paquets et le filtrage d’URL.

  • De garantir la conformité du cloud en mettant en œuvre des audits de sécurité rigoureux pour atteindre la conformité réglementaire.

 

La capacité d’un CASB à améliorer la sécurité du cloud s’étend aussi bien aux SaaS, aux IaaS et aux PaaS (plateformes en tant que service).

Dans tous les cas, protéger efficacement la plateforme cloud demande des savoirs et des compétences avancés. Pour répondre à ce besoin, les prestataires de cloud proposent des formations et certifications reconnues telles que :

  • Le certificat CCSK, certificat de connaissances sur la sécurité du Cloud développé par la Cloud Security Alliance (une organisation qui contribue à la sécurité des environnements d’informatique dématérialisée).

  • La certification AWS spécialisée pour l’offre cloud d’Amazon.

  • La certification « Professional cloud Security Engineer », pour gérer une infrastructure sécurisée sur la plateforme cloud de Google.

Déployer un cloud sécurisé passe donc autant par le choix d’un fournisseur fiable que par la mise en place de stratégies et politiques de sécurité internes.

Et vous, quelles sont vos compétences en matière de sécurité du cloud ? Avez-vous obtenu des certifications ou pu participer à la création d’une politique de sécurité cloud ?

N’hésitez pas à nous faire part de vos témoignages dans le forum.


 

Source Article Gartner : « Why Cloud Security Is Everyone’s Business » :

https://www.gartner.com/smarterwithgartner/why-cloud-security-is-everyones-business/

Recommandations de la CNIL sur les étapes clés pour garantir la confidentialité des données : 

https://www.service-public.pf/dgen/cnil-cloud-computing-les-7-etapes-cles-pour-garantir-la-confidentialite-des-donnees/

Article & livre blanc d’Oracle : « Qu’est-ce qu’un CASB ? »

https://www.oracle.com/fr/security/casb-definition-securite-cloud.html


 



Modérateur FREELANCE INFO