Le mois dernier, j’ai pris la parole lors de la conférence GovSec/CPM*, où de nombreuses questions ont été posées au sujet de l’intervention en cas d’incident dans le nuage informatique. Il s’agit de l’une des principales préoccupations de sécurité des hauts dirigeants lorsqu’ils considèrent l’informatique en nuage, tout comme la façon de se préparer aux incidents et de les gérer lorsqu’ils surviennent.

Les étapes d’intervention en cas d’incident infonuagique sont les mêmes que dans un environnement informatique traditionnel : détecter, aviser, isoler, contenir, évaluer, récupérer et créer des plans d’action postévénementiels. Dans le nuage, toutefois, il y a une composante supplémentaire. Il faut pleinement comprendre comment vous travaillerez avec le fournisseur de services en nuage en cas d’atteinte à la sécurité.

• Qui est la personne-ressource?
• Comment votre fournisseur fermera-t-il le système, au besoin?
• Comment les données seront-elles séparées et protégées?
• De quelle façon le fournisseur mènera-t-il l’investigation informatique en vue d’isoler l’atteinte à la sécurité?                                                                                

Il est très important d’obtenir des réponses claires à ces questions. Vous devriez en outre consulter les plans de sécurité du système de votre fournisseur de services en nuage et évaluer les résultats des essais. Selon le type de déploiement en nuage mis en place, la majeure partie de la responsabilité pourrait vous revenir. La gestion interne des incidents doit également être bien définie et exécutée.

Un participant à la conférence a indiqué que son fournisseur d’infonuagique était réticent à communiquer l’information relative aux essais, aux résultats et aux plans d’intervention en cas d’incident. J’ai répondu que j’hésiterais à travailler avec un fournisseur qui ne divulgue pas toute cette information ou qui promet une perspective sans faille. Les fournisseurs de services en nuage ne doivent pas hésiter à communiquer les résultats de leurs exercices de vulnérabilité et les plans d’action qui en résultent, en vue de pallier toute future vulnérabilité.

Recherchez un fournisseur transparent de services en nuage qui est prêt à communiquer des éléments tels que le plan de reprise après sinistre, les leçons tirées et le plan d’amélioration continue. En comprenant clairement les plans de gestion des incidents respectifs à chacun des intervenants, vous serez en mesure de tirer profit avec confiance des occasions de transformation des affaires qu’offre l’informatique en nuage.

*en anglais