Qu'est-ce que la sécurité de l'informatique dématérialisée ?

Catégories d'informatique en nuage

La sécurité de l'informatique en nuage diffère selon la catégorie d'informatique en nuage utilisée. Il existe quatre catégories principales d'informatique en nuage :

• Services en nuage public, exploités par un fournisseur de nuage public - Il s'agit de logiciels en tant que service (SaaS), d'infrastructures en tant que service (IaaS) et de plateformes en tant que service (PaaS).
• Services d'informatique en nuage privée, exploités par un fournisseur d'informatique en nuage publique - Ces services fournissent un environnement informatique dédié à un client, exploité par un tiers.
• Services de nuage privé, exploités par le personnel interne - Ces services sont une évolution du centre de données traditionnel, où le personnel interne exploite un environnement virtuel qu'il contrôle.
• Services d'informatique dématérialisée hybride - Des configurations d'informatique dématérialisée privée et publique peuvent être combinées, hébergeant des charges de travail et des données sur la base de facteurs d'optimisation tels que le coût, la sécurité, les opérations et l'accès. L'exploitation sera assurée par le personnel interne et, éventuellement, par le fournisseur de services d'informatique en nuage.

Lorsque vous utilisez un service d'informatique en nuage fourni par un fournisseur de nuage public, les données et les applications sont hébergées chez un tiers, ce qui marque une différence fondamentale entre l'informatique en nuage et l'informatique traditionnelle, où la plupart des données étaient conservées au sein d'un réseau autocontrôlé. Comprendre votre responsabilité en matière de sécurité est la première étape de l'élaboration d'une stratégie de sécurité pour l'informatique en nuage.

Segmentation des responsabilités en matière de sécurité de l'informatique dématérialisée

La plupart des fournisseurs de services en nuage tentent de créer un nuage sécurisé pour leurs clients. Leur modèle économique repose sur la prévention des violations et le maintien de la confiance du public et des clients. Les fournisseurs de services en nuage peuvent tenter d'éviter les problèmes de sécurité grâce au service qu'ils proposent, mais ils ne peuvent pas contrôler la manière dont les clients utilisent le service, les données qu'ils y ajoutent et les personnes qui y ont accès. Les clients peuvent affaiblir la cybersécurité dans l'informatique en nuage par leur configuration, leurs données sensibles et leurs politiques d'accès. Pour chaque type de service en nuage public, le fournisseur et le client partagent différents niveaux de responsabilité en matière de sécurité. Par type de service, il s'agit de

• Software-as-a-service (SaaS) - Les clients sont responsables de la sécurisation de leurs données et de l'accès des utilisateurs.
• Plate-forme en tant que service (PaaS) - Les clients sont responsables de la sécurisation de leurs données, de l'accès des utilisateurs et des applications.
• Infrastructure en tant que service (IaaS ) - Les clients sont responsables de la sécurisation de leurs données, de l'accès des utilisateurs, des applications, des systèmes d'exploitation et du trafic sur les réseaux virtuels.

Dans tous les types de services d'informatique dématérialisée, les clients sont responsables de la sécurisation de leurs données et du contrôle de l'accès à ces données. La sécurité des données dans le cadre de l'informatique en nuage est essentielle pour adopter avec succès les services en nuage et en tirer profit. Les organisations qui envisagent de recourir à des offres SaaS populaires telles que Microsoft Office 365 ou Salesforce doivent planifier la manière dont elles s'acquitteront de leur responsabilité partagée en matière de protection des données dans le nuage. Celles qui envisagent des offres IaaS comme Amazon Web Services (AWS) ou Microsoft Azure ont besoin d'un plan plus complet qui commence par les données, mais qui couvre également la sécurité des applications en nuage, les systèmes d'exploitation et le trafic des réseaux virtuels - chacun de ces éléments pouvant également introduire des problèmes potentiels de sécurité des données.

Défis en matière de sécurité de l'informatique dématérialisée

Étant donné que les données du nuage public sont stockées par un tiers et accessibles via l'internet, plusieurs défis se posent quant à la capacité de maintenir un nuage sécurisé. Ces défis sont les suivants :

• Visibilité des données en nuage - Dans de nombreux cas, les services en nuage sont accessibles en dehors du réseau de l'entreprise et à partir d'appareils qui ne sont pas gérés par l'équipe informatique. Cela signifie que l'équipe informatique doit pouvoir accéder au service en nuage lui-même pour avoir une visibilité totale sur les données, contrairement aux moyens traditionnels de surveillance du trafic sur le réseau.
• Contrôle des données dans le nuage - Dans l'environnement d'un fournisseur tiers de services dans le nuage, les équipes informatiques ont moins accès aux données que lorsqu'elles contrôlent les serveurs et les applications dans leurs propres locaux. Les clients de l'informatique en nuage disposent par défaut d'un contrôle limité, et l'accès à l'infrastructure physique sous-jacente n'est pas disponible.
• Accès aux données et aux applications en nuage - Les utilisateurs peuvent accéder aux applications et aux données en nuage via l'internet, ce qui rend les contrôles d'accès basés sur le périmètre traditionnel du réseau du centre de données inefficaces. L'accès des utilisateurs peut se faire à partir de n'importe quel endroit ou appareil, y compris la technologie BYOD (bring-your-own-device). En outre, l'accès privilégié par le personnel du fournisseur de services en nuage pourrait contourner vos propres contrôles de sécurité.
• Conformité - L'utilisation de services d'informatique en nuage ajoute une nouvelle dimension à la conformité réglementaire et interne. Votre environnement en nuage peut devoir adhérer à des exigences réglementaires telles que HIPAA, PCI et Sarbanes-Oxley, ainsi qu'à des exigences émanant d'équipes internes, de partenaires et de clients. L'infrastructure des fournisseurs d'informatique en nuage, ainsi que les interfaces entre les systèmes internes et l'informatique en nuage, sont également incluses dans les processus de conformité et de gestion des risques.
• Violations natives de l'informatique en nuage - Les violations de données dans l'informatique en nuage sont différentes des violations sur site, dans la mesure où le vol de données se produit souvent en utilisant les fonctions natives de l'informatique en nuage. Une violation native de l'informatique en nuage est une série d'actions menées par un acteur malveillant qui "lance" son attaque en exploitant des erreurs ou des vulnérabilités dans un déploiement en nuage sans utiliser de logiciels malveillants, "étend" son accès par le biais d'interfaces faiblement configurées ou protégées pour localiser des données précieuses, et "exfiltre" ces données vers son propre emplacement de stockage.
• Mauvaise configuration - Les infractions liées à l'informatique dématérialisée relèvent souvent de la responsabilité du client en matière de sécurité, ce qui inclut la configuration du service dématérialisé. La recherche montre que seulement 26% des entreprises peuvent actuellement auditer leurs environnements IaaS pour détecter les erreurs de configuration. Une mauvaise configuration de l'IaaS est souvent la porte d'entrée d'une brèche dans l'informatique dématérialisée, permettant à l'attaquant d'atterrir avec succès, puis de s'étendre et d'exfiltrer des données. La recherche montre également que 99 % des erreurs de configuration passent inaperçues chez les clients de l'IaaS. Voici un extrait de cette étude montrant ce niveau de déconnexion des mauvaises configurations :

• Reprise après sinistre - La planification de la cybersécurité est nécessaire pour protéger les effets des violations négatives importantes. Un plan de reprise après sinistre comprend des politiques, des procédures et des outils conçus pour permettre la récupération des données et permettre à une organisation de poursuivre ses activités.
• Menaces internes - Un employé malhonnête est capable d'utiliser les services en nuage pour exposer une organisation à une violation de la cybersécurité. Un récent rapport de McAfee sur l'adoption de l'informatique en nuage et les risques connexes a révélé des activités irrégulières indiquant une menace d'initié dans 85 % des organisations.

Solutions de sécurité pour l'informatique en nuage

Les entreprises qui recherchent des solutions de sécurité pour l'informatique dématérialisée doivent tenir compte des critères suivants pour résoudre les principaux problèmes de visibilité et de contrôle des données de l'informatique dématérialisée.

• Visibilité des données en nuage - Une vue complète des données en nuage nécessite un accès direct au service en nuage. Les solutions de sécurité en nuage y parviennent grâce à une interface de programmation d'applications (API) qui permet de se connecter au service en nuage. Avec une connexion API, il est possible de visualiser :
  • Quelles sont les données stockées dans le nuage.
  • Qui utilise les données du nuage ?
  • Les rôles des utilisateurs ayant accès aux données du nuage.
  • Avec qui les utilisateurs de l'informatique en nuage partagent-ils leurs données ?
  • L'endroit où se trouvent les données du nuage.
  • L'endroit où les données du nuage sont consultées et téléchargées, y compris à partir de quel appareil.
• Contrôle des données dans le nuage - Une fois que vous avez une visibilité sur les données du nuage, appliquez les contrôles qui conviennent le mieux à votre organisation. Ces contrôles sont les suivants
  • Classification des données - Classifiez les données à plusieurs niveaux (sensibles, réglementées ou publiques) au fur et à mesure de leur création dans le nuage. Une fois classées, les données peuvent être empêchées d'entrer ou de sortir du service en nuage.
  • Data Loss Prevention (DLP) - Mettez en œuvre une solution DLP en nuage pour protéger les données contre les accès non autorisés et désactiver automatiquement l'accès et le transport des données lorsqu'une activité suspecte est détectée.
  • Contrôles de collaboration - Gérez les contrôles au sein du service en nuage, tels que la rétrogradation des autorisations de fichiers et de dossiers pour les utilisateurs spécifiés en tant qu'éditeur ou spectateur, la suppression des autorisations et la révocation des liens partagés.
  • Chiffrement - Le chiffrement des données dans le nuage peut être utilisé pour empêcher l'accès non autorisé aux données, même si ces données sont exfiltrées ou volées.
• Accès aux données et aux applications en nuage- Comme pour la sécurité interne, le contrôle d'accès est un élément essentiel de la sécurité de l'informatique dématérialisée. Les contrôles typiques sont les suivants
  • Contrôle de l'accès des utilisateurs - Mettez en place des contrôles d'accès aux systèmes et aux applications qui garantissent que seuls les utilisateurs autorisés accèdent aux données et aux applications du nuage. A Cloud Access Security Broker (CASB) peut être utilisé pour appliquer les contrôles d'accès.
  • Contrôle d'accès des appareils - Bloquez l'accès lorsqu'un appareil personnel non autorisé tente d'accéder aux données du nuage.
  • Identification des comportements malveillants - Détectez les comptes compromis et les menaces internes grâce à l'analyse du comportement des utilisateurs (UBA) afin d'éviter l'exfiltration de données malveillantes.
  • Prévention des logiciels mal veillants - Empêchez les logiciels malveillants de pénétrer dans les services cloud à l'aide de techniques telles que l'analyse des fichiers, la mise en liste blanche des applications, la détection des logiciels malveillants basée sur l'apprentissage automatique et l'analyse du trafic réseau.
  • Accès privilégié - Identifiez toutes les formes possibles d'accès que les comptes privilégiés peuvent avoir à vos données et applications, et mettez en place des contrôles pour atténuer l'exposition.
• Conformité - Les exigences et pratiques existantes en matière de conformité devraient être renforcées pour inclure les données et les applications résidant dans l'informatique dématérialisée.
  • Évaluation des risques - Réviser et mettre à jour les évaluations des risques pour y inclure les services en nuage. Identifiez et traitez les facteurs de risque introduits par les environnements et les fournisseurs de services en nuage. Des bases de données de risques pour les fournisseurs de services en nuage sont disponibles pour accélérer le processus d'évaluation.
  • Évaluations de la conformité - Examinez et mettez à jour les évaluations de la conformité pour PCI, HIPAA, Sarbanes-Oxley et d'autres exigences réglementaires.