Lorsque de l’information ou des applications sont désignées comme essentielles, une organisation devrait immédiatement comprendre que ces systèmes exigent les plus hauts degrés de sécurité, et donc d’importants investissements pour les protéger contre les attaques malveillantes.

Lors de la migration de ces applications vers le nuage, les propriétaires de systèmes devront savoir de quelle façon les fournisseurs de services infonuagiques leur offriront des solutions sécurisées telles que l’infrastructure service (IaaS), la plateforme service (PaaS) ou le logiciel service (SaaS), leur permettant de maintenir un faible risque de sécurité.

Bien qu’il ne soit pas facile de déterminer la façon dont un fournisseur de services infonuagiques gère les risques, il existe quelques stratégies utiles pour y arriver.

  • Évaluer les services proposés par les fournisseurs en fonction des risques actuels d’une organisation en ce qui a trait à l’information et aux applications essentielles
  • Se préparer à investir pour une protection supplémentaire contre les menaces aux renseignements commerciaux précieux dans tout nouvel environnement infonuagique
  • Obtenir une évaluation indépendante de la sécurité du fournisseur

Évaluations indépendantes

Dans le monde du commerce, l’information sur la façon dont un fournisseur de services infonuagiques gère le risque n’est pas immédiatement accessible pour l’ensemble des principaux acteurs du marché. Certains fournisseurs peuvent même limiter les renseignements qu’ils divulguent dans le cadre d’une évaluation ou d’un processus d’évaluation concurrentiel.

Parmi les évaluations les plus courantes auxquelles peuvent avoir recours les organisations pour comprendre la façon dont un service infonuagique peut protéger efficacement les systèmes essentiels, on compte celles des normes de sécurité sur les données de l’industrie des cartes de paiement (PCI DSS), de l’alliance HITRUST (Health Information Trust Alliance), du Cloud Security Alliance STAR program, du Service Organization Control (SOC) 2 et de l’Organisation internationale de normalisation (ISO).

Réalisées de façon annuelle ou semestrielle, ces études sont utiles pour une évaluation ponctuelle du risque. Le principal inconvénient des évaluations indépendantes est qu’elles ne fournissent pas de renseignements sur la façon dont les fournisseurs gèrent le risque en fonction de l’architecture, des processus et de la production de rapports. Une vérification diligente par l’organisation ayant recours aux services en nuage pourrait apporter davantage de renseignements sur la portée des mesures de protection entourant ces services.

Le Federal Risk Authorization and Management Program (FedRAMP)** du gouvernement américain propose à la fois une vérification indépendante et une validation de la mise en œuvre de contrôles de sécurité par les fournisseurs en fonction du cadre de sécurité du National Institute of Standards and Technology (NIST). Cette information est accessible par les organismes fédéraux, d’États et locaux et les entités tribales et offre des renseignements importants sur la façon dont les fournisseurs de services infonuagiques exercent leurs activités et gèrent le risque. Le processus d’évaluation du FedRAMP permet aux organismes gouvernementaux de prendre des décisions éclairées et de déterminer les couches de protection nécessaires pour réduire le risque de façon optimale.

Un des défis majeurs auxquels sont confrontées les organisations qui décident de migrer leur information et leurs applications essentielles vers le nuage est de savoir jusqu’à quel point investir, tout en ignorant de quelle façon les fournisseurs assurent la mise en œuvre et le maintien de la sécurité des services offerts en nuage.

Par analogie, imaginez que vous magasiniez un endroit pour entreposer vos biens. Vos installations locales d’entreposage en libre-service peuvent offrir une protection suffisante pour des biens de faible valeur tels que des meubles. Le bâtiment, la clôture, les contrôles d’accès et la vidéosurveillance constituent généralement des protections suffisantes et, à titre de précaution, vous pouvez ajouter un cadenas à la porte de votre espace d’entreposage. Cependant, ces mesures ne couvrent pas toutes les manières d’accéder à vos biens. Par exemple, un voleur pourrait louer l’espace adjacent au vôtre et percer un trou dans le mur, faire le tri de vos possessions et voler ce qui semble détenir de la valeur.

Si vos possessions ont une valeur intrinsèque supérieure, comme des pièces d’or, elles exigent une protection accrue. Celles-ci pourraient être déposées dans un coffre bancaire par exemple. Ces coffres-forts assurent une meilleure sécurité physique et des processus d’authentification et de contrôle d’accès supérieurs à ceux de l’entreposage en libre-service. Une clé distincte de celle de la banque est également nécessaire pour ouvrir le coffre. En fait, l’accès n’est autorisé que lorsque les deux clés sont utilisées de façon simultanée. Dans cet exemple, votre investissement en sécurité est déterminé en fonction du risque lié au bien à protéger.

Puisque la transparence des processus de gestion du risque des fournisseurs de services infonuagiques est un luxe auquel nous n’avons pas accès, des investissements supplémentaires sont nécessaires pour nous assurer d’avoir le niveau de sécurité approprié. Ces couches de sécurité supplémentaires vous offrent l’assurance que vos voisins de l’espace infonuagique ne peuvent accéder à votre information essentielle pour la voler ou la compromettre.

Retour aux mesures de protection de base

Quelles sont donc les couches supplémentaires de sécurité requises pour le nuage?

Les processus de sécurité et de conformité de base pour l’information et les applications essentielles hébergées dans un centre de traitement de données de gestion devraient être les suivants : contrôle d’accès, gestion de la configuration, détection et correction continues des vulnérabilités, cryptage, inventaire, droit d’accès minimal, contrôle des journaux et authentification à facteurs multiples.

Selon le modèle de prestation du fournisseur de services infonuagiques (IaaS, Paas ou SaaS), ces processus de sécurité et de conformité de base pourraient ne pas être offerts. Et s’ils le sont, protègent-ils vos actifs dans une mesure de risque acceptable?

La migration vers le nuage devrait être une occasion pour les organisations de réfléchir à la façon dont elles gèrent le risque pour leurs applications essentielles dans un environnement traditionnel. Avez-vous recours à l’authentification à facteurs multiples? Chiffrez-vous les données inactives? Combien d’utilisateurs ont des droits d’administrateur? Est-ce que vos capacités de réaction aux incidents sont suffisantes en cas de brèche majeure? Avez-vous une bonne connaissance de la situation de votre organisation?

Si ces processus de sécurité et de conformité de base ne sont pas maîtrisés au sein de votre organisation, la transition vers le nuage constitue l’occasion rêvée pour vous mettre à jour. Laissez tomber les anciens outils et processus et remplacez-les par de nouveaux. Considérez également avoir recours à des services offerts par des tiers. Investissez dans le coffre bancaire et oubliez l’entreposage en libre-service.

Demeurez à l’affût pour notre prochain billet de blogue sur la sécurité infonuagique au début du mois prochain. Rédigé par mon collègue John Evans, il portera sur les meilleures pratiques de vérification de la sécurité du logiciel service.

*Ce contenu est d’abord paru dans un article similaire du magazine CIO Review.

**en anglais

À propos de l’auteur

Picture of Paul Douthit

Paul Douthit

Paul Douthit est directeur de la sécurité infonuagique pour la suite CGI Unify360 de gestion des environnements informatiques hybrides. Ses équipes soutiennent les clients pour l’évaluation et l’atténuation des risques ainsi que pour la conformité lors de la migration des applications vers le nuage. ...

Ajouter un commentaire

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Règle de modération du blog et conditions d'utilisation