L’essor de l’informatique en nuage a donné lieu à une variété de nouveaux risques de sécurité. Par conséquent, les organisations de tous les secteurs d’activité sont mises au défi de comprendre ces risques et d’adopter une politique complète de sécurité des TI qui tient compte de la dimension infonuagique. Dans la première partie de mon billet à ce sujet, j’ai présenté les différents types de risques de sécurité découlant de l’informatique en nuage, soit les risques liés aux services infonuagiques en soi, aux données utilisées pour les fournir, à l’accès à ces services ainsi qu’à leurs enjeux uniques en matière de conformité.
La deuxième partie de ce billet porte sur les solutions et l’expertise requises pour assurer la sécurité en nuage. Bien qu’il soit impossible d’éliminer la totalité des risques que présente l’utilisation de services infonuagiques, il existe plusieurs approches pour les gérer et les atténuer de façon efficace. Deux de ces approches clés sont décrites ci-dessous.
-
Modèle infonuagique hybride – Ce type de modèle, de plus en plus adopté, prescrit l’utilisation d’une combinaison de nuages publics et privés. Le modèle hybride permet d’utiliser des nuages privés et hautement sécurisés pour les activités courantes et quotidiennes d’infrastructure, tout en offrant la souplesse nécessaire pour héberger d’autres applications dans le nuage public afin de prendre en charge les modèles de facturation à l’utilisation et de bénéficier des autres avantages du nuage public.
Selon ce modèle, les données sensibles peuvent continuer d’être hébergées au sein de l’infrastructure du nuage privé, et si certaines données doivent être migrées vers le nuage public, les renseignements sensibles qu’elles contiennent peuvent être retirés avant la migration. Il existe déjà un certain nombre de mécanismes à cet effet, tels que la segmentation en unités et le chiffrement.
-
Modèle de courtage infonuagique et de nuages fédérés – De plus en plus d’organisations arrivent à la conclusion qu’elles doivent faire appel à plusieurs services infonuagiques offerts par divers fournisseurs afin de répondre à leurs besoins. Par conséquent, ces organisations commencent à se tourner vers le modèle de courtage infonuagique et de nuages fédérés afin de gérer leur consommation de services infonuagiques multiples. Ce modèle propose une vue unique et transparente des fournisseurs et des services utilisés.
Bien que la valeur du modèle de services à nuages multiples soit en hausse, celui-ci présente des défis quant à la gestion des identités et des accès, à l’inscription d’utilisateurs aux services infonuagiques multiples ainsi qu’à leur désinscription. Les courtiers de sécurité d’accès au nuage (« cloud access security brokers » ou « CASB ») et les solutions de sécurité en tant que service visent à aider les organisations à relever ces défis. Les courtiers de sécurité d’accès au nuage agissent à titre d’intermédiaire entre les utilisateurs et les fournisseurs de services en nuage. Leur rôle consiste à assurer l’application des mesures de sécurité en combinant et en mettant en œuvre les politiques de sécurité d’entreprise à mesure que les utilisateurs accèdent aux services infonuagiques.
Les défis inhérents à la sécurité en nuage sont complexes, mais non insurmontables. Les organisations devraient s’assurer de faire appel au modèle approprié et de mettre en place une infrastructure adéquate pour répondre à leurs besoins de sécurité et se conformer aux exigences réglementaires de leur secteur. Dans un contexte où le nombre de menaces et d’attaques de cybersécurité continue de grimper à un rythme soutenu, il est également de plus en plus important de surveiller les systèmes de façon continue et d’intervenir en temps réel en cas d’incident.
Les services-conseils ainsi que les services et solutions de sécurité en nuage de CGI, tels que CGI Unify360*, aident les clients de tous les secteurs d’activité à satisfaire leurs besoins en matière de sécurité en nuage – conformité, audits, politiques et architecture –, sans avoir à assumer les coûts élevés de propriété. Visitez la section Sécurité en nuage de notre site Web pour en savoir davantage et communiquez avec nous pour discuter de vos enjeux concernant la sécurité infonuagique.
*en anglais
