Date de parution
L’ABC de la sécurité infonuagique
La cybersécurité au sens large englobe une multitude de processus et d’outils visant à protéger votre organisation et ses actifs des attaques. Dans un contexte infonuagique, la démocratisation de l’accès aux données rend plus difficile leur surveillance, comment elles sont utilisées et surtout, où elles se déplacent. En effet, l’accès aux actifs numériques des entreprises en tout temps, de n’importe où et à partir d’à peu près n’importe quel appareil vous place face à de nouveaux défis et vous force à gérer à de nouvelles menaces.
En clair, vos équipes doivent s’assurer que vos données ne se retrouvent pas en dehors du périmètre de sécurité sur des solutions de stockage moins sécurisées, tout en empêchant des personnes non autorisées d’y avoir accès. Elles doivent également prévenir les menaces, volontaires ou non, qui proviennent de l’intérieur même de l’organisation. Bref, rien de simple si on ne sait pas comment s’y prendre.
La sécurité infonuagique, vous l’aurez deviné, ce sont des façons de faire différent à mettre en place dans un contexte où il existe encore beaucoup de zones grises. En effet, cette pratique repose sur un modèle de responsabilité partagée entre les fournisseurs du service et les équipes TI des entreprises. Il est primordial de bien comprendre les rôles et responsabilités de chacun pour éviter de laisser en plan des brèches que des individus malintentionnés pourraient exploiter.
Les bases
D’entrée de jeu, il faut savoir qu’il existe quatre types d’environnements infonuagiques.
Le choix de l’un ou l’autre est propre à chaque organisation en fonction des besoins et des objectifs d’affaires et aura un impact direct sur la répartition des responsabilités en matière de sécurité. Par ailleurs, elle sera également influencée par le type de service livré par l’environnement choisi, une variable à laquelle vous devrez vous adapter en conséquence.
Une responsabilité variable dans un périmètre clairement défini
Infrastructure as a service
Dans un modèle où vous bénéficiez d’une infrastructure infonuagique (infrastructure as a service), votre fournisseur doit sécuriser la base, soit tout ce qui se trouve en dessus le système d’exploitation. Sont sous votre responsabilité, les applications, les données, les runtimes, les accès, les usagers et leurs appareils.
Platform as a service
Si vous êtes plutôt un usager de plateforme (platform as a service), les responsabilités de votre fournisseur de service seront plus larges. En plus de l’infrastructure, il devra également assurer la protection du système d’exploitation, des intergiciels ainsi que des runtimes. La sécurisation des applications, des données, des accès, des usagers et de leurs appareils demeure toujours sous votre contrôle.
Software as a service
Enfin dans plusieurs cas, les entreprises utilisent des logiciels sous forme d’abonnements (software as a service); comme Microsoft 365 par exemple. Dans ce modèle, vous contrôlez beaucoup moins d’éléments, mais vous devez tout de même assurer la sécurité des données, des usagers et des appareils.
Peu importe de quelle façon la responsabilité est partagée, vous serez toujours celui qui doit s’assurer que les procédures et les stratégies s’appuient et respectent les exigences des quatre piliers de la sécurité que sont la limitation des accès, la protection et la récupération des données ainsi que le plan de réponse.
Cible : Confiance nulle
Lorsqu’il est question de sécurité de l’information, nous avons l’habitude de tenir pour acquis que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr et protéger. Bien évidemment, s’appuyer sur cette prémisse dans un contexte infonuagique où la majorité de vos infrastructures et surtout, de vos usagers, se situent à l’extérieur de votre périmètre interne vous expose à plusieurs menaces.
Le modèle Confiance nulle (Zero Trust) a comme principe qu’une violation des données et des accès est toujours possible, et que chaque demande doit être vérifiée, peu importe sa provenance.
De cette façon, une foule de renseignements et d’analyses sont réalisés en temps réel pour détecter les anomalies et y répondre automatiquement et instantanément. Pour en apprendre davantage sur la Confiance nulle, nous vous invitons à lire cet article.
La mise en place et les bonnes pratiques
Une approche comme la Confiance nulle doit être appliquée en harmonie avec vos règles de gouvernance et de conformité et être au centre de vos processus et de vos stratégies de sécurité infonuagique. La feuille de route recommandée pour y parvenir inclut :
Ces outils de sécurité font plus que traiter les vulnérabilités provenant des menaces autant internes, qu’externes. Comme nous avons pu le voir, ils permettent également de corriger les erreurs qui peuvent survenir pendant le développement ou lors de changements de configurations. Enfin, ils minimisent le risque que des personnes non autorisées puissent accéder à des données sensibles.
Pour rester compétitives et demeurer des leaders de leurs marchés, les entreprises doivent continuer à utiliser les technologies infonuagiques, c’est indéniable. Vous savez maintenant que vous pouvez mitiger de façon très significative les risques en appliquant rigoureusement des façons de faire qui permettront à votre organisation d’atteindre ces cibles. Sachez vous entourer de professionnels aguerris qui connaissent tous les rouages de ce vaste domaine. Vous serez ainsi assuré d’être aligné sur les meilleures pratiques et de couvrir les angles morts potentiels.