Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Sécurité du cloud : Votre guide complet

Mis à jour: 01 septembre 2024 Temps de lecture: ~

Sujette

Cloud Security, Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Les données que vous envoyez dans le nuage sont-elles vraiment sécurisées ? Les pratiques de sécurité dans l'informatique dématérialisée visent à répondre à cette question par un oui catégorique "."

Votre fournisseur de services en nuage s'occupera de nombreuses tâches de sécurité pour vous. Cependant, chaque entreprise présente dans le nuage doit également créer une politique, des procédures et des pratiques pour s'assurer que ses données sont sécurisées et qu'elle répond à ses besoins en matière de conformité.

Pourquoi la sécurité de l'informatique dématérialisée est-elle importante ?

Le transfert de services dans le nuage devrait vous permettre de faire appel à une armée d'experts qui vous aideront à protéger et à défendre vos données. Malheureusement, les problèmes de sécurité sont fréquents. Une étude a révélé que près de 80 % des entreprises avaient subi au moins une brèche de données au cours des 18 mois précédents.

Les préoccupations relatives à la sécurité de l'informatique dématérialisée ont tendance à découler de deux facteurs.

  • Fournisseurs : Des problèmes de logiciel, de plateforme ou d'infrastructure peuvent conduire à la brèche.
  • Les clients : Les entreprises n'ont pas de politique solide pour support la sécurité dans l'informatique dématérialisée.

Les brèches de données sont le principal risque auquel les entreprises sont confrontées. Les attaquants veulent des données, et les entreprises n'utilisent pas toujours des outils de bon sens (comme le chiffrement) pour protéger l'informatique.

Les entreprises ont souvent du mal à comprendre quels sont les services de sécurité offerts par leurs fournisseurs de services en nuage. De nombreuses entreprises ne mettent pas non plus en place des systèmes internes qui placent la sécurité au premier plan.

Les entreprises qui travaillent de concert avec leurs fournisseurs peuvent réduire leurs risques de brèche. Ils éviteront les configurations et les mises à jour manuelles de la sécurité, qui prennent beaucoup de temps. Ils disposeront d'une équipe disponible 24 heures sur 24 pour surveiller et rendre compte. la politique au niveau de l'entreprise peut garantir que l'entreprise fait sa part en matière de TI pour protéger la sécurité également.

structure de l'entreprise en nuage & modèles

Chaque fournisseur possède des forces et des faiblesses uniques en matière de sécurité. Comprendre les types de nuages et les modèles de services courants peut vous aider à évaluer les risques.

Trois principaux types de nuages sont disponibles.

  1. Nuages publics : Les fournisseurs de services de nuages tiers (comme Google) créent un produit que de nombreux particuliers et entreprises utilisent. Les entreprises développent généralement une politique basée sur les exigences de sécurité de leur organisation afin de sécuriser l'accès aux données stockées dans le nuage de services publics. 
  2.  Nuages privés : Vous êtes le seul à avoir accès à ce nuage et à l'utiliser. D'anciens employés mécontents peuvent exposer des données par inadvertance, c'est pourquoi il est toujours important de mettre en place une implémentation de sécurité adéquate.  
  3. Nuages hybrides : La plupart des moyennes et grandes entreprises choisissent ce modèle de nuage. La majorité des informations restent dans un nuage privé, mais les entreprises peuvent passer à un nuage public si nécessaire. Les risques des deux types de nuages s'appliquent ici.

Les sociétés d'informatique en nuage proposent trois types de services principaux.

  1. IaaS : Les entreprises de services d'infrastructure fournissent des serveurs, des pare-feu et des centres de données. 
  2. PaaS : les entreprises de plateforme en tant que service offrent tous les avantages énumérés ci-dessus, ainsi que des systèmes d'exploitation, des outils de développement, la gestion de bases de données et l'analytique. 
  3. SaaS: Les sociétés de logiciels en tant que service offrent tous les avantages énumérés ci-dessus, ainsi que des applications hébergées.

3 domaines communs que les vendeurs protègent

Comment les entreprises garantissent-elles la sécurité de l'informatique dématérialisée ? Trois domaines sont essentiels et la plupart des entreprises ont besoin d'un partenariat approfondi avec leurs clients pour les mettre en œuvre.

Ces domaines sont les suivants

  • Employés. Comment votre entreprise sélectionne-t-elle les personnes qui ont déjà eu des activités criminelles liées au vol de données avant qu'elles ne rejoignent l'équipe ? Comment protégez-vous leur connexion et leur compte lorsqu'ils partent ? 
  • identité. Comment les utilisateurs accèdent-ils aux ressources du nuage ? Certaines sociétés d'informatique en nuage utilisent le système de gestion des identités de leurs clients. D'autres mettent en place leur propre infrastructure à l'adresse support. 
  • Physique. Comment protéger votre matériel informatique des voleurs et des intrus ? Votre système tombera-t-il en panne en cas d'incendie ou d'inondation ? La plupart des entreprises ont mis en place des protocoles rigoureux pour protéger leurs bâtiments et les ressources qui s'y trouvent.

Avant de signer avec un fournisseur de services en ligne, il est essentiel de comprendre ce qu'il fera et ne fera pas pour protéger et garantir la sécurité de vos données dans ces trois domaines.

Contrôles de sécurité basés sur l'informatique dématérialisée à adopter

En termes de sécurité, un contrôle "" est un ensemble de bonnes pratiques que les entreprises adoptent et protègent par le biais de leur politique et de leurs procédures. Si vous vous lancez dans l'informatique dématérialisée, il est essentiel de penser à la protection.

Les experts suggèrent que sept contrôles sont essentiels, notamment

  1. Communiquez. Sachez ce que votre entreprise doit faire pour protéger la sécurité et comprenez les mesures prises par votre fournisseur. Veillez à ce qu'il n'y ait pas d'interstices entre vos services qui pourraient permettre l'accès d'un intrus. 
  2. Contrôlez l'accès. Sachez quelles parties de votre serveur sont exposées à l'internet et veillez à ce que les connexions ne soient pas laissées ouvertes de manière involontaire. 
  3. Protéger les données. Ne laissez pas de données non cryptées reposer sur le nuage. Protégez les clés de chiffrement pour éviter qu'elles ne soient volées. 
  4. Disposer d'identifiants de protection. Veillez à ne pas exposer vos clés d'accès ou à ne pas les divulguer dans des lieux publics. 
  5. Renforcez l'hygiène de la sécurité. Votre entreprise a probablement mis en place des protocoles solides. Ne les supprimez pas simplement parce que vous passez à l'informatique dématérialisée. 
  6. Regardez le journal de l'utilisateur. Surveillez de près les personnes qui accèdent à vos serveurs et prenez la responsabilité de les supprimer si nécessaire. 
  7. Donnez la priorité à la sécurité. De nombreuses entreprises considèrent les mesures de sécurité en dernier lieu, une fois que tous les autres produits nécessaires ont été mis au point. Changez de cap et parlez d'abord de sécurité.

Vous pouvez avoir d'autres contrôles de sécurité qui s'appliquent à votre entreprise, à votre secteur d'activité et à votre activité. les personnaliser si nécessaire pour protéger vos données. Mais assurez-vous que vous disposez d'un certain nombre de contrôles prêts à vous aider en cas de besoin.

Le rôle du chiffrement dans la sécurité des nuages

Selon les experts, le chiffrement formulaire est la pierre angulaire de tout programme de sécurité du cloud. Vous devez crypter toutes les données que vous placez dans le nuage et protéger soigneusement vos clés de décryptage. Même si un hacker pénètre dans votre nuage, rien ne sera lisible.

Il existe plusieurs types de chiffrement, tels que ceux-ci :

  • Chiffrement basé sur les attributs (ABE)
  • ABE à politique de chiffrement (CP-ABE)
  • ABE à politique de clés (KP-ABE)
  • Chiffrement entièrement homomorphique (FHE)
  • Chiffrement consultable (ingénieur technique)

Certaines entreprises de cloud computing exigent de leurs acheteurs qu'ils utilisent une méthode de chiffrement spécifique. Mais d'autres vous laissent le choix.

Quelle que soit la méthode choisie, veillez à utiliser les technologies de l'information de manière cohérente et constante. Les données non cryptées sont très faciles à voler, et une brèche peut entraîner une perte de revenus, une perte de confiance de la part des clients, ou les deux.

La sécurité de l'informatique dématérialisée est une cible mouvante

Malgré tous vos efforts, vous ne pourrez jamais éliminer tous les risques de sécurité liés à l'informatique dématérialisée. Des risques subsisteront toujours.

En voici quelques-uns qui pourraient vous gêner :

  • Perte de contrôle. Vous ne serez pas propriétaire du matériel, des logiciels ou des applications qui font fonctionner votre nuage. Votre fournisseur peut vous expliquer les plans et la politique, mais vous ne pouvez pas assurer un contrôle direct. 
  • Intégration. De nombreuses sociétés d'informatique en nuage s'interfacent avec d'autres bases de données et applications. Parfois, ces connexions mettent vos données en danger, et vous ne pouvez pas demander à un fournisseur de cloud public de travailler seul avec vous. 
  • Manque de clarté. Les technologies de l'informatique en nuage sont complexes et il peut être difficile de comprendre où s'arrête votre responsabilité et où commence celle du fournisseur. Il est essentiel de poser des questions.

Dans tous les cas, vous devez toujours surveiller et contrôler de près vos systèmes afin de détecter le plus rapidement possible tout problème qui pourrait survenir.

Cloud exigence de sécurité cadre à connaître

Protéger vos données est bon pour votre entreprise. Mais pour certaines entreprises, les technologies de l'information sont également essentielles pour rester ouvertes. Les réglementations locales, nationales et fédérales peuvent avoir un impact sur vos plans de sécurité.

Dans la plupart des cas, le gouvernement vous donne un ensemble de règles. Vous effectuez un audit pour déterminer si vous vous conformez à chaque règle. Ensuite, vous documentez les raisons pour lesquelles vous êtes en conformité et comment vous prévoyez de le rester.

Le cadre commun de conformité comprend

  • NIST : L'Institut national des normes et technologies guide l'innovation dans les organisations de haut niveau. Le respect des directives informatiques est une priorité pour la plupart des entreprises de haute technologie. 
  • FedRAMP. Les agences fédérales, les fournisseurs de services en nuage et les tiers suivent ces règles normalisées pour sécuriser les documents dans le nuage. 
  • La loi Sarbanes-Oxley. Les entreprises cotées en bourse doivent se conformer aux règles de cette loi fédérale. Si la plupart des règles concernent la comptabilité, beaucoup touchent également à la sécurité.

En fonction de votre secteur d'activité et de votre lieu d'implantation, il se peut que vous ayez d'autres exigences de sécurité à respecter :

  • Loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act). Les organismes de soins de santé et leurs fournisseurs doivent protéger les informations personnelles des consommateurs. 
  • Règlement général sur la protection des données. Les entreprises de l'Union européenne, et certaines entreprises américaines qui font des affaires en Europe, doivent protéger les données et permettre aux utilisateurs de contrôler les informations qu'elles collectent. 
  • Norme de sécurité des données de l'industrie des cartes de paiement. Les entreprises qui collectent des données sur les titulaires de cartes doivent protéger leur système informatique contre les intrusions extérieures.

Le paysage réglementaire est vaste et certaines entreprises doivent respecter plusieurs séries de lignes directrices. Les sociétés d'informatique en nuage savent gérer la demande d'authentification, et certaines peuvent vous aider à vous conformer à la réglementation reporting.

Mais il est essentiel de discuter des règles en vigueur avant les échéances de mise en conformité. Les amendes pour non-conformité sont courantes et peuvent être punitives.

Cloud security bonne pratique

Chaque entreprise est confrontée à un paysage de menaces unique. C'est pourquoi les tests de pénétration et autres tâches de sécurité sont si importants. Lorsque vous savez où vous êtes vulnérable, vous pouvez prendre des mesures d'atténuation.

Mais suivre la bonne pratique de l'industrie est toujours une bonne idée. Vous devriez :

  • Chiffrer les données. Un chiffrement politique solide que vous appliquez largement est votre meilleure protection contre une brèche de données. Même si un pirate s'introduit à l'intérieur, vos données restent protégées. 
  • Gérez l'accès avec soin. Identifiez et authentifiez les utilisateurs, attribuez-leur des droits spécifiques et appliquez la politique d'accès. Assurez-vous de savoir qui se trouve sur votre serveur en nuage et veillez à ce que cette personne ne prenne en charge que les tâches appropriées. 
  • Acceptez la responsabilité. Sachez quelles sont les parties du plan de sécurité qui vous incombent. Ne partez pas du principe que votre fournisseur fera tout le travail pour assurer la sécurité de votre entreprise. 
  • surveiller régulièrement. Un nuage ne devrait pas être un projet "set-IT" et "forget-IT". Surveillez votre journal et effectuez des tests réguliers pour vous assurer que vos plans fonctionnent toujours. 
  • Tenez-vous au courant. Le paysage de la sécurité évolue régulièrement et de nouvelles menaces apparaissent presque chaque jour. Assurez-vous de savoir ce qui se passe dans le monde hacker et réagissez en conséquence.

Ne vous laissez pas intimider par cette liste. Le cloud computing peut vous faire gagner du temps et de l'argent, et les technologies de l'information en valent généralement la peine. Mais veillez à faire tout ce qui est en votre pouvoir pour assurer la sécurité de votre entreprise.

L'avenir de la sécurisation des données dans l'informatique dématérialisée

Le nuage est là pour rester, mais le succès de l'informatique et sa capacité à améliorer une entreprise dépendent de la qualité de la sécurité du nuage de cette entreprise.

Une plate-forme de sécurité en nuage de premier ordre garantira la protection de vos utilisateurs et de leurs données et permettra à IT de consacrer moins de temps aux tâches administratives inutiles et plus de temps à la réflexion sur l'avenir de l'entreprise. Après tout, l'avenir est peut-être plus proche que vous ne le pensez.

Protégez vos organisations en gardant à l'esprit la sécurité du cloud. Essayez gratuitement pendant 30 jours les produits d'identité collaborateurs deOkta, y compris l'authentification unique et l'authentification multifacteur.

Références

Près de 80 % des entreprises ont connu une brèche de données dans le nuage au cours des 18 derniers mois. (juin 2020), La sécurité.

11 Principales menaces pour la sécurité de l'informatique en nuage. (octobre 2020), RSI.

IT La gouvernance est essentielle alors que l'adoption de l'informatique dématérialisée atteint 96 % en 2018. (avril 2018). DSI.

Différence entre IAAS, PAAS et SASS. Des geeks pour des geeks.

7 contrôles de sécurité de l'informatique dématérialisée que vous devriez utiliser. (octobre 2019). RSI.

Pourquoi le chiffrement est la pierre angulaire de votre sécurité dans le nuage. (Avril 2019). Renseignements sur la sécurité.

Matrice de contrôle du nuage (CCM). Alliances pour la sécurité de l'informatique en nuage.

« Home », FedRAMP.

Sarbanes-Oxley 101. La loi Sarbanes-Oxley.

7 des plus importantes réglementations en matière de conformité au cloud. (Mars 2018). Charles Phillips.

Ce guide vous aidera à mettre en œuvre les meilleures pratiques en matière de sécurité du cloud. (Novembre 2020). Renseignements sur la sécurité.

Meilleures pratiques pour la sécurité du cloud. (Mars 2018). Université Carnegie Mellon.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter