Roy White, consultant Cloud, identifie 7 erreurs courantes de sécurité Cloud commises par les organisations lors de l’adoption du Cloud.
La pandémie de COVID-19 a forcé de nombreuses entreprises à relever divers défis techniques et organisationnels soudains. Certains peuvent avoir besoin d’augmenter leur capacité de travail à distance, d’autres peuvent avoir besoin de répondre aux pics de demande sur les applications critiques. Certains peuvent même avoir besoin de faire pivoter l’ensemble de leur entreprise.
L’utilisation de publiccloud pourrait bien fournir la capacité de relever rapidement ces défis, de les aider à étendre leur environnement opérationnel actuel dans un modèle hybride ou de créer une empreinte entièrement nouvelle dans le Cloud. Bien qu’il y ait certainement des avantages associés à une migration accélérée vers le Cloud à ce stade critique, il y a aussi de nombreux risques à prendre en compte.
Dans cet épisode du podcast Cloudbusting, l’équipe est rejointe par Paul Crichard, directeur technique de BT Security, pour discuter du paysage de la cybersécurité pendant la pandémie de COVID-19.
Pensez-y comme si vous construisiez une maison. Que la maison soit érigée dans un délai standard ou accéléré, tout raccourci entraînera une structure dangereuse.
Le mantra est le même lors de l’adoption du Cloud. Une compréhension des meilleures pratiques du Cloud, en particulier en ce qui concerne la sécurité et la gouvernance, devrait être à l’avant-garde de tout changement.
Voici les erreurs courantes commises par les organisations lors de l’adoption du Cloud :
Erreur n°1 : elles abordent la sécurité du Cloud de la même manière qu’elles le font pour les datacenters sur site
Un environnement local est généralement détenu à 100 % par l’équipe de sécurité interne d’une organisation et protégé par des pare-feu et des solutions basées sur le périmètre comme IDS/IPS pour former un réseau de confiance. Dans un environnement Cloud, il n’y a aucun concept consistant à supposer que vos données auront un fossé autour d’elles. Les CSP savent cela et ils construisent délibérément leurs solutions en envisageant dès le départ la sécurité avec un modèle de défense en profondeur fourni par la sécurité, appliqué sur plusieurs couches. Néanmoins, utiliser le Cloud signifie utiliser différents mécanismes pour assurer un contrôle total de vos données. Lors de la migration vers un Cloud public, les responsables informatiques doivent prendre le temps d’examiner l’ensemble de leur architecture informatique et de déterminer avec soin quelles charges de travail pourraient le plus bénéficier d’un passage au Cloud.
Erreur n°2 : Ils ne considèrent pas la sécurité comme une responsabilité partagée
Lorsque les organisations migrent vers le Cloud, elles supposent souvent que le CSP gérera tous les aspects de la sécurité. Mais la migration vers un Cloud n’exonère pas votre organisation de ses responsabilités en matière de sécurité, et la responsabilité incombera toujours à l’organisation. La sécurité dans le Cloud est une responsabilité partagée, et toutes les parties doivent jouer leur rôle. Pour assurer la sécurité des données, une organisation doit disposer des capacités appropriées pour gérer efficacement les risques. Les capacités sont formées de personnes, de processus et éventuellement d’outils. Vos employés doivent avoir les compétences et la compréhension nécessaires des plates-formes Cloud (nous y reviendrons plus tard). Les politiques de gouvernance du Cloud et les processus de sécurité doivent être en place pour fournir à votre organisation les garde-fous dont elle a besoin pour fonctionner efficacement sans mettre le système en danger. Enfin, vos outils doivent vous aider à prendre en charge tout ce qui précède en fournissant des analyses détaillées sur l’utilisation pour prévenir les risques de données et les violations de conformité, en favorisant l’application et la mise en quarantaine en cas de violation et en fournissant des informations en temps réel sur les menaces.
Erreur n° 3 : ils ne sécurisent pas et ne restreignent pas l’accès à la plateformeCloud
Le contrôle d’accès est un élément essentiel de la sécurité du Cloud. Seules les personnes concernées devraient avoir accès à la plate-forme Cloud elle-même et ne devraient avoir que le niveau de droits nécessaire pour remplir leur rôle. Pour maintenir une sécurité adéquate, une entreprise doit adopter un protocole d’accès privilégié. En d’autres termes, identifiez toutes les formes d’accès possibles requises pour votre système et vos données et assurez-vous que les contrôles appliqués répondent aux exigences du système, de l’accès ouvert aux données de type site Web public, en passant par l’accès authentifié pour les applications des utilisateurs internes aux comptes d’accès privilégiés hautement contrôlés qui peuvent avoir accès au cœur de vos données et applications. Ensuite, mettez en place des processus pour atténuer l’exposition et vous assurer que seuls les bons utilisateurs peuvent accéder aux données et aux applications Cloud, y compris la gestion du cycle complet du compte, de la création à la suppression des comptes qui ne sont plus nécessaires.
Erreur n°4 : Ils ne se concentrent pas sur la sécurité de l’ensemble de la chaîne d’approvisionnement
Les menaces provenant de sources d’approvisionnement externes se présentent sous de nombreuses formes. Par exemple, de nombreuses organisations utilisent désormais des bibliothèques accessibles au public sur GitHub pour développer des applications plus rapidement. Mais, l’utilisation de code de provenance inconnue, s’il n’est pas entièrement compris et vérifié, peut conduire à des applications non sécurisées. Bien que ce problème ne se limite pas aux organisations qui utilisent le Cloud, il s’agit d’un défi croissant pour les entreprises. Il n’est pas toujours facile de vérifier la sécurité du code que vous utilisez, mais cela peut vous assurer de ne pas ouvrir votre entreprise à des problèmes de sécurité. Assurez-vous que les outils que vous utilisez à partir d’une source externe – qu’il s’agisse de code, de matériel, de logiciel ou autre – n’introduisent pas de nouveaux problèmes de sécurité.
Erreur n°5 : Ils ne travaillent pas en équipe
L’environnement de menace accrue d’aujourd’hui exige que chacun assume la responsabilité de la sécurité. Plutôt que de travailler en silo, une équipe de sécurité d’entreprise devrait collaborer avec son CSP pour développer une stratégie de sécurité à l’échelle de l’entreprise. Le support et les connaissances externes qu’offre un CSP peuvent aider l’entreprise à se tenir au courant des dernières menaces et à faire face aux pénuries potentielles de ressources, de compétences ou de temps.
Ce modèle de responsabilité partagée doit également être appliqué au sein de l’organisation elle-même. Les équipes de direction doivent travailler avec les équipes de développeurs et d’autres membres du personnel informatique interne pour partager les connaissances et les responsabilités en matière de sécurité. Ceci est particulièrement important car de plus en plus d’organisations utilisent des modèles de Cloud hybride. Une seule équipe de sécurité ne suffit pas pour protéger une combinaison de Cloud public, de Cloud privé et d’environnements informatiques sur site.
Erreur #6 Ils n’ont pas les bonnes compétences
Comme nous l’avons établi tout au long de cet article, la sécurité dans le Cloud nécessite une approche très différente de la sécurité exécutée sur un réseau physique. Une approche différente exige un ensemble différent de compétences. Votre équipe de sécurité traditionnelle serait isolée, travaillant sur des stratégies, des configurations et des protocoles séparément du reste de l’équipe informatique. Lorsque vous êtes dans le Cloud, vous avez besoin de vos professionnels de la sécurité pour pouvoir déployer et gérer des solutions Cloud natives avec une compréhension de la distribution et de l’élasticité des architectures Cloud. Ils doivent également être intégrés à vos équipes de développement et d’exploitation (DevSecOps) pour garantir que la sécurité est intégrée aux applications et à l’infrastructure. Cela nécessite un ensemble de compétences techniques et une sensibilisation au-delà des stratégies de sécurité réseau et des outils de sécurité traditionnels.
Erreur n° 7 Ils n’équilibrent pas la vitesse avec l’atténuation des risques
Ceci est particulièrement pertinent dans le climat actuel en réponse à la COVID-19 où les organisations mettent rapidement à l’échelle ou adoptent de nouveaux outils et pratiques de travail. Bien que ce changement rapide puisse être nécessaire, méfiez-vous du fait qu’il y aura aussi beaucoup plus d’opportunistes, de mauvais acteurs, essayant de capitaliser sur les entreprises essayant de surmonter leurs défis actuels.
À l’heure actuelle, il est important que vous rappeliez à vos collègues les meilleures pratiques en matière de sécurité et de gestion des risques. Les événements de crise sont le moment idéal pour les stratagèmes d’ingénierie sociale tels que les e-mails de phishing qui jouent sur la peur et le désir des gens d’obtenir plus d’informations.
L’objectif est d’atteindre le bon équilibre entre agir rapidement tout en n’exposant pas votre entreprise à des risques inutiles. Ne soyez pas un obstacle, mais assurez-vous de prendre le temps de suivre les processus et de documenter les modifications.
Si vous cherchez à accélérer en toute sécurité votre migration vers le Cloud, notre équipe vous aidera à élaborer des stratégies, à évaluer, à planifier et à exécuter votre migration.
Vous n’êtes toujours pas convaincu qu’il est temps de passer auCloud ? Lisez notre ebook :Est-il temps de rompre avec votre data center ?
