Guide des bonnes pratiques en matière de sécurité de l'informatique dématérialisée, étape par étape

Phase 1 : Comprendre l'utilisation de l'informatique dématérialisée et les risques

La première phase de la sécurité de l'informatique dématérialisée consiste à comprendre votre situation actuelle et à évaluer les risques. En utilisant des solutions de sécurité pour l'informatique en nuage qui permettent de surveiller le nuage, vous pouvez accomplir les étapes suivantes :

1. Étape 1 : Identifier les données sensibles ou réglementées.
   Votre plus grand risque est la perte ou le vol de données qui entraîneront des sanctions réglementaires ou la perte de propriété intellectuelle. Les moteurs de classification des données peuvent classer vos données par catégories afin que vous puissiez évaluer pleinement ce risque.
2. Étape 2 : Comprendre comment les données sensibles sont consultées et partagées. Les données sensibles peuvent être conservées en toute sécurité dans l'informatique dématérialisée, mais vous devez contrôler qui y accède et où elles vont. Évaluez les autorisations sur les fichiers et les dossiers dans votre environnement en nuage, ainsi que le contexte d'accès comme le rôle de l'utilisateur, sa localisation et le type d'appareil.
3. Étape 3 : Découvrez le "shadow IT" (utilisation inconnue de l'informatique en nuage).
   La plupart des gens ne demandent pas l'avis de leur équipe informatique avant de s'inscrire à un compte de stockage en nuage ou de convertir un PDF en ligne. Utilisez votre proxy web, votre pare-feu ou les journaux SIEM pour découvrir quels services en nuage sont utilisés sans que vous le sachiez, puis procédez à une évaluation de leur profil de risque.
4. Étape 4 : Auditer les configurations des infrastructures en tant que service (IaaS) telles que AWS ou Azure.
   Vos environnements IaaS contiennent des dizaines de paramètres critiques, dont beaucoup peuvent créer une faiblesse exploitable en cas de mauvaise configuration. Commencez par auditer vos configurations pour la gestion des identités et des accès, la configuration du réseau et le chiffrement.
5. Étape 5 : Découvrir les comportements malveillants des utilisateurs.
   Les employés négligents et les attaquants tiers peuvent avoir un comportement qui indique une utilisation malveillante des données du nuage. L'analyse du comportement des utilisateurs (UBA) permet de surveiller les anomalies et d'atténuer les pertes de données internes et externes.

Phase 2 : Protégez votre nuage

Une fois que vous avez compris votre position en matière de risques liés à la sécurité de l'informatique dématérialisée, vous pouvez appliquer stratégiquement une protection à vos services dématérialisés en fonction de leur niveau de risque. Plusieurs technologies de sécurité dans l'informatique dématérialisée peuvent vous aider à mettre en œuvre les bonnes pratiques suivantes :

1. Étape 1 : Appliquer des politiques de protection des données.
   Vos données étant désormais classées comme sensibles ou réglementées, vous pouvez définir des règles régissant les données pouvant être stockées dans le nuage, mettre en quarantaine ou supprimer les données sensibles trouvées dans le nuage, et encadrer les utilisateurs s'ils commettent une erreur et enfreignent l'une de vos règles.
2. Étape 2 : Crypter les données sensibles avec vos propres clés.
   Le chiffrement disponible dans un service en nuage protégera vos données contre les tiers, mais le fournisseur de services en nuage aura toujours accès à vos clés de chiffrement. Au lieu de cela, cryptez vos données à l'aide de vos propres clés, afin d'en contrôler totalement l'accès. Les utilisateurs peuvent continuer à travailler avec les données sans interruption.
3. Étape 3 : Fixez des limites à la manière dont les données sont partagées.
   Dès que les données entrent dans le nuage, appliquez vos politiques de contrôle d'accès à un ou plusieurs services. Commencez par définir des utilisateurs ou des groupes en tant que spectateurs ou éditeurs et contrôlez les informations qui peuvent être partagées avec l'extérieur par le biais de liens partagés.
4. Étape 4 : Empêcher le transfert des données vers des appareils non gérés dont vous ignorez l'existence.
   Les services en nuage permettent d'accéder aux données depuis n'importe quel endroit disposant d'une connexion internet, mais l'accès depuis des appareils non gérés, comme un téléphone personnel, crée un angle mort pour votre dispositif de sécurité. Bloquez les téléchargements vers des appareils non gérés en exigeant une vérification de la sécurité de l'appareil avant le téléchargement.
5. Étape 5 : Appliquer une protection avancée contre les logiciels malveillants à l'infrastructure en tant que service (IaaS), telle que AWS ou Azure.
   Dans les environnements IaaS, vous êtes responsable de la sécurité de vos systèmes d'exploitation, de vos applications et de votre trafic réseau. La technologie antimalware peut être appliquée au système d'exploitation et au réseau virtuel pour protéger votre infrastructure. Déployez la liste blanche des applications et la prévention des exploits de mémoire pour les charges de travail à usage unique et la protection basée sur l'apprentissage automatique pour les charges de travail à usage général et les magasins de fichiers.

Phase 3 : Répondre aux problèmes de sécurité de l'informatique dématérialisée

Au fur et à mesure de l'accès à vos services en nuage et de leur utilisation, il y aura régulièrement des incidents nécessitant une réponse automatisée ou guidée, comme dans n'importe quel autre environnement informatique. Suivez ces bonnes pratiques pour commencer à répondre aux incidents liés à la sécurité de l'informatique dématérialisée :

1. Étape 1 : Exigez une vérification supplémentaire pour les scénarios d'accès à haut risque.
   Si un utilisateur accède à des données sensibles dans un service en nuage à partir d'un nouvel appareil, par exemple, exigez automatiquement une authentification à deux facteurs pour prouver son identité.
2. Étape 2 : Ajustez les politiques d'accès aux services en nuage en fonction de l'apparition de nouveaux services.
   Vous ne pouvez pas prévoir tous les services en nuage auxquels vous accéderez, mais vous pouvez automatiquement mettre à jour les politiques d'accès au web, telles que celles appliquées par un site secure web gateway, avec des informations sur le profil de risque d'un service en nuage afin de bloquer l'accès ou d'afficher un message d'avertissement. Pour ce faire, vous pouvez intégrer une base de données sur les risques liés à l'informatique dématérialisée à votre site secure web gateway ou à votre pare-feu.
3. Étape 3 : Supprimez les logiciels malveillants d'un service en nuage.
   Il est possible qu'un logiciel malveillant compromette un dossier partagé qui se synchronise automatiquement avec un service de stockage en nuage, répliquant le logiciel malveillant dans le nuage sans intervention de l'utilisateur. Scannez vos fichiers dans un service de stockage en nuage avec un logiciel anti-malware pour éviter les attaques de ransomware ou de vol de données.

L'évolution des services en nuage s'accompagne de celle des défis et des menaces auxquels vous êtes confrontés en les utilisant. Restez toujours au courant des mises à jour des fonctionnalités des fournisseurs de services en nuage qui concernent la sécurité, afin d'adapter vos politiques en conséquence. Les fournisseurs de sécurité adapteront également leurs modèles de renseignement sur les menaces et d'apprentissage automatique. Dans les phases et les meilleures pratiques ci-dessus, plusieurs technologies clés peuvent être utilisées pour accomplir chaque étape, souvent en conjonction avec les fonctions de sécurité natives des fournisseurs de cloud.

1. Cloud Access Security Broker (CASB):
   Protège les données dans le nuage grâce à data loss prevention, au contrôle d'accès et à l'analyse du comportement des utilisateurs. Le CASB est également utilisé pour surveiller les configurations IaaS et découvrir l'informatique fantôme.
2. Protection des charges de travail dans le nuage :
   Découvrez les charges de travail et les conteneurs, appliquez une protection contre les logiciels malveillants et simplifiez la gestion de la sécurité dans les environnements IaaS.
3. Sécurité du réseau virtuel :
   Analyse le trafic réseau circulant entre les instances virtuelles hébergées dans les environnements IaaS, ainsi que leurs points d'entrée et de sortie.