30 novembre 2023
Par Claire Hatcher - Directrice régionale des ventes, Royaume-Uni, Skyhigh Security
La responsabilité partagée est un concept que nous comprenons tous intuitivement, mais que de nombreuses organisations ne maîtrisent pas totalement lorsqu'il s'agit de sécuriser l'informatique dématérialisée. Soit les cadres qui l'expliquent sont relativement nouveaux, soit les attentes n'ont pas été suffisamment clarifiées. Malheureusement, de nombreuses organisations ne saisissent pas pleinement leurs rôles et responsabilités, ce qui se traduit par des lacunes et des failles de sécurité.
Étant donné que 90 % des professionnels de l'informatique ont été victimes d'une atteinte à la cybersécurité, l'informatique en nuage - comme toute technologie - n'est pas infaillible. Bien que les fournisseurs de services en nuage (FSC) proposent des outils et des services de sécurité avancés, il y a manifestement un malentendu du côté des clients sur ce que les FSC protègent réellement. Une analogie peut peut-être aider à clarifier qui fait quoi et à dissiper certains mythes et confusions.
Comment un cadre mental adéquat peut prévenir une catastrophe
Prenons l'exemple de la location d'une propriété de vacances sur une place de marché en ligne. La place de marché en ligne fournit l'infrastructure sous-jacente pour faciliter la transaction. Vous entrez en contact avec le propriétaire par l'intermédiaire de la plateforme. La place de marché en ligne est chargée de fournir une plateforme sécurisée pour effectuer cette transaction. Le propriétaire est responsable du bien lui-même. Par exemple, il est censé installer des serrures sur les portes et les fenêtres de la location - et vous êtes responsable de l'utilisation de ces serrures. Vous ne pouvez pas attendre du marché en ligne qu'il s'assure que vous n'êtes pas cambriolé lorsque vous séjournez dans une propriété, surtout si vous n'utilisez pas les mécanismes fournis - les serrures en l'occurrence - pour sécuriser la propriété et vos biens.
Une autre analogie est l'achat ou la location d'outils dans une quincaillerie. Les vendeurs peuvent avoir une certaine responsabilité si l'outil se casse ou ne fonctionne pas, mais c'est toujours à vous de porter des lunettes de protection, d'assurer un environnement de travail sûr et d'utiliser les outils de manière responsable.
Les organisations doivent comprendre que la situation n'est pas si différente pour elles en ce qui concerne les plateformes de services en nuage qu'elles utilisent. Les fournisseurs de services en nuage ne sont pas responsables de toutes les failles de sécurité. Le client a un rôle important à jouer et partage la responsabilité de la sécurisation de son environnement de cloud public.
Entrez dans le modèle de la responsabilité partagée
Les FSC ont clairement défini leurs responsabilités en matière de sécurité. Amazon Web Services (AWS ) et Microsoft Azure ont tous deux publié des modèles de partage des responsabilités en matière de sécurité dans l'informatique dématérialisée afin de déterminer qui est responsable de quoi. Bien que les détails varient selon qu'il s'agit d'un logiciel-service (SaaS), d'une infrastructure-service (IaaS) ou d'une plateforme-service (PaaS), c'est généralement l'entreprise cliente qui est responsable de ces aspects de la sécurité de l'informatique dématérialisée :
- Sécurité des points finaux
- Sécurité des réseaux
- Configurations
- Gestion des identités et des accès (IAM)
- Classification des données et responsabilité
- Contrôle de la collaboration des données
- Machines virtuelles
- Sécurité des charges de travail et des conteneurs
Le fournisseur de services en nuage, quant à lui, est responsable de :
- Sécurité physique et entretien de leurs propres installations, y compris l'alimentation électrique et la connexion à l'internet
- Infrastructure informatique hôte, y compris serveurs, systèmes d'exploitation, correctifs, équilibrage de la charge, mise à l'échelle, stockage et configuration des services de la plate-forme.
- Contrôles du réseau et services aux fournisseurs
Pour revenir à notre analogie avec les serrures de la porte et de la fenêtre de la location de vacances, les FSC ont intégré diverses défenses de sécurité dans leurs services, mais c'est au client de les mettre en œuvre pour protéger ses propres réseaux, ses utilisateurs, ses données vitales et ses applications.
Pour bien comprendre vos rôles et responsabilités en tant que client d'un service en nuage, il est important d'examiner attentivement l'accord de niveau de service (SLA). Ne faites aucune supposition. L'accord de niveau de service précisera exactement les aspects de la sécurité dont vous êtes responsable et les fonctions et politiques que vous devez configurer correctement dès le départ pour bénéficier de tous les avantages de la plateforme. Dans un monde multicloud complexe, cela peut s'avérer difficile d'un point de vue administratif, mais le fait d'assumer vos responsabilités dès le départ pour garantir la sécurité de vos données dans le nuage vaut bien le temps et les efforts que cela demande.
La sécurité du cloud est un sport d'équipe, et chacun doit porter le ballon quand c'est son tour. Les modèles de responsabilité partagée fournissent un cadre pour vous aider à comprendre les règles du jeu.
Pour savoir comment Skyhigh Security peut vous aider à assumer vos responsabilités et à sécuriser vos données sur les plateformes de cloud public, visitez notre site web.
Retour à Blogs