Aller au contenu
Tous les articles

Date de parution

L’ABC de la sécurité infonuagique

,

La cybersécurité au sens large englobe une multitude de processus et d’outils visant à protéger votre organisation et ses actifs des attaques. Dans un contexte infonuagique, la démocratisation de l’accès aux données rend plus difficile leur surveillance, comment elles sont utilisées et surtout, où elles se déplacent. En effet, l’accès aux actifs numériques des entreprises en tout temps, de n’importe où et à partir d’à peu près n’importe quel appareil vous place face à de nouveaux défis et vous force à gérer à de nouvelles menaces.

En clair, vos équipes doivent s’assurer que vos données ne se retrouvent pas en dehors du périmètre de sécurité sur des solutions de stockage moins sécurisées, tout en empêchant des personnes non autorisées d’y avoir accès. Elles doivent également prévenir les menaces, volontaires ou non, qui proviennent de l’intérieur même de l’organisation. Bref, rien de simple si on ne sait pas comment s’y prendre.

La sécurité infonuagique, vous l’aurez deviné, ce sont des façons de faire différent à mettre en place dans un contexte où il existe encore beaucoup de zones grises. En effet, cette pratique repose sur un modèle de responsabilité partagée entre les fournisseurs du service et les équipes TI des entreprises. Il est primordial de bien comprendre les rôles et responsabilités de chacun pour éviter de laisser en plan des brèches que des individus malintentionnés pourraient exploiter.

Les bases

D’entrée de jeu, il faut savoir qu’il existe quatre types d’environnements infonuagiques.

  • Environnement infonuagique public
    Infrastructure gérée par le fournisseur de service (Azure, AWS ou autres) et dont les serveurs sont partagés par plusieurs clients.
  • Environnement infonuagique privé
    Infrastructure hébergée dans un centre de données appartenant au client ou une portion d’un nuage public d’un fournisseur de service (Azure, AWS ou autres) exclusive à un client et complètement isolée des autres.
  • Environnement hybride 
    Il est ici question d’une combinaison des deux options précédentes jumelées à des centres de données locaux.
  • Environnement multinuage
    Lorsque deux ou plusieurs fournisseurs de service sont impliqués, on parle alors d’environnements multinuages.

Le choix de l’un ou l’autre est propre à chaque organisation en fonction des besoins et des objectifs d’affaires et aura un impact direct sur la répartition des responsabilités en matière de sécurité. Par ailleurs, elle sera également influencée par le type de service livré par l’environnement choisi, une variable à laquelle vous devrez vous adapter en conséquence.

Une responsabilité variable dans un périmètre clairement défini

Infrastructure as a service

Dans un modèle où vous bénéficiez d’une infrastructure infonuagique (infrastructure as a service), votre fournisseur doit sécuriser la base, soit tout ce qui se trouve en dessus le système d’exploitation. Sont sous votre responsabilité, les applications, les données, les runtimes, les accès, les usagers et leurs appareils.

Platform as a service

Si vous êtes plutôt un usager de plateforme (platform as a service), les responsabilités de votre fournisseur de service seront plus larges. En plus de l’infrastructure, il devra également assurer la protection du système d’exploitation, des intergiciels ainsi que des runtimes. La sécurisation des applications, des données, des accès, des usagers et de leurs appareils demeure toujours sous votre contrôle.

Software as a service

Enfin dans plusieurs cas, les entreprises utilisent des logiciels sous forme d’abonnements (software as a service); comme Microsoft 365 par exemple. Dans ce modèle, vous contrôlez beaucoup moins d’éléments, mais vous devez tout de même assurer la sécurité des données, des usagers et des appareils.

Peu importe de quelle façon la responsabilité est partagée, vous serez toujours celui qui doit s’assurer que les procédures et les stratégies s’appuient et respectent les exigences des quatre piliers de la sécurité que sont la limitation des accès, la protection et la récupération des données ainsi que le plan de réponse.

Tableau abc sécurité infonuagique

Cible : Confiance nulle

Lorsqu’il est question de sécurité de l’information, nous avons l’habitude de tenir pour acquis que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr et protéger. Bien évidemment, s’appuyer sur cette prémisse dans un contexte infonuagique où la majorité de vos infrastructures et surtout, de vos usagers, se situent à l’extérieur de votre périmètre interne vous expose à plusieurs menaces.

Le modèle Confiance nulle (Zero Trust) a comme principe qu’une violation des données et des accès est toujours possible, et que chaque demande doit être vérifiée, peu importe sa provenance.

De cette façon, une foule de renseignements et d’analyses sont réalisés en temps réel pour détecter les anomalies et y répondre automatiquement et instantanément. Pour en apprendre davantage sur la Confiance nulle, nous vous invitons à lire cet article.

Faites confiance au Zero Trust

La mise en place et les bonnes pratiques

Une approche comme la Confiance nulle doit être appliquée en harmonie avec vos règles de gouvernance et de conformité et être au centre de vos processus et de vos stratégies de sécurité infonuagique. La feuille de route recommandée pour y parvenir inclut :

  • Identification de tous les fournisseurs de service utilisés et le niveau de responsabilité de chacun en matière de sécurité
  • Mise en place d’outils pour avoir une vue optimale sur les applications et les données utilisées dans votre entreprise
  • Déploiement d’une gestion de la posture de sécurité pour identifier et corriger les erreurs de configuration dynamiquement
  • Implémentation de la protection de la charge de travail en nuage afin d’intégrer systématiquement la sécurité dans votre processus de développement applicatif
  • Application des correctifs et mise en place de stratégies de mises à jour
  • Formation continue des employés sur les menaces et les tactiques d’hameçonnage
  • Mise en place de la stratégie Confiance nulle jumelée à un système de gestion des identités et des accès approprié

Ces outils de sécurité font plus que traiter les vulnérabilités provenant des menaces autant internes, qu’externes. Comme nous avons pu le voir, ils permettent également de corriger les erreurs qui peuvent survenir pendant le développement ou lors de changements de configurations. Enfin, ils minimisent le risque que des personnes non autorisées puissent accéder à des données sensibles. 

Pour rester compétitives et demeurer des leaders de leurs marchés, les entreprises doivent continuer à utiliser les technologies infonuagiques, c’est indéniable. Vous savez maintenant que vous pouvez mitiger de façon très significative les risques en appliquant rigoureusement des façons de faire qui permettront à votre organisation d’atteindre ces cibles. Sachez vous entourer de professionnels aguerris qui connaissent tous les rouages de ce vaste domaine. Vous serez ainsi assuré d’être aligné sur les meilleures pratiques et de couvrir les angles morts potentiels.

pop up infolettre

Infolettre ITI

Comprendre. Conseiller. Concrétiser.