Les systèmes informatiques en nuage remplissent des fonctions importantes dans presque toutes les industries modernes. Les entreprises, les organisations à but non lucratif, les gouvernements et même les établissements d’enseignement utilisent le cloud pour étendre la portée du marché, analyser les performances, gérer les ressources humaines et proposer de meilleurs services. Naturellement, une gouvernance efficace de la sécurité dans le cloud est essentielle pour toute entité souhaitant tirer parti des avantages de l'informatique distribuée.
Comme tous les domaines informatiques, le cloud computing a des problèmes de sécurité uniques. Bien que l'idée même de sécuriser les données dans le nuage ait longtemps été considérée comme une contradiction impossible, les pratiques généralisées de l'industrie révèlent de nombreuses techniques offrant une sécurité efficace du nuage. Comme l'ont démontré des fournisseurs de services cloud commerciaux tels qu'Amazon AWS en maintenant la conformité à FedRAMP, une sécurité cloud efficace est à la fois réalisable et pratique dans le monde réel.
$config[code] not foundTracer une feuille de route de sécurité percutante
Aucun projet de sécurité informatique ne peut fonctionner sans un plan solide. Les pratiques impliquant le cloud doivent varier en fonction des domaines et des implémentations qu’elles cherchent à protéger.
Par exemple, supposons qu'une agence gouvernementale locale instaure une politique Apportez votre propre appareil ou BYOD. Il se peut qu'il doive mettre en place des contrôles de surveillance différents de ceux qui seraient imposés s'il interdisait simplement à ses employés d'accéder au réseau de l'entreprise à l'aide de leurs smartphones, ordinateurs portables et tablettes personnels. De même, une entreprise qui souhaite rendre ses données plus accessibles aux utilisateurs autorisés en les stockant dans le cloud devra probablement suivre des étapes différentes pour surveiller l'accès, par rapport à si elle maintenait ses propres bases de données et serveurs physiques.
Cela ne veut pas dire, comme certains l’ont suggéré, que la sécurité du cloud reste moins probable que le maintien de la sécurité sur un réseau local privé. L’expérience a montré que l’efficacité des différentes mesures de sécurité dans le cloud dépend de leur adhésion à certaines méthodologies éprouvées. Pour les produits et services en nuage qui utilisent des données et des ressources du gouvernement, ces meilleures pratiques sont définies dans le cadre du programme fédéral de gestion des risques et des autorisations, ou FedRAMP.
Qu'est-ce que le programme fédéral de gestion des risques et des autorisations?
Le programme fédéral de gestion des risques et des autorisations est un processus officiel utilisé par les agences fédérales pour juger de l'efficacité des services et des produits de l'informatique en nuage. Les normes définies par l'Institut national de la normalisation et de la technologie, ou NIST, dans divers documents de publication spéciale, ou SP, et la norme fédérale de traitement de l'information, ou FIPS, sont au cœur de ce concept. Ces normes se concentrent sur une protection efficace basée sur le cloud.
Le programme fournit des instructions pour de nombreuses tâches de sécurité du cloud courantes. Celles-ci incluent le traitement correct des incidents, l'utilisation de techniques judiciaires pour enquêter sur les violations, la planification d'éventualités pour maintenir la disponibilité des ressources et la gestion des risques. Le programme comprend également des protocoles d'accréditation pour les organisations d'accréditation tierces, ou 3PAO, qui évaluent les implémentations en nuage au cas par cas. Le maintien de la conformité certifiée 3PAO est un signe certain qu'un intégrateur ou un fournisseur informatique est prêt à protéger ses informations dans le cloud.
Pratiques de sécurité efficaces
Comment les entreprises assurent-elles la sécurité des données auprès des fournisseurs de cloud? Bien qu'il existe d'innombrables techniques importantes, quelques-unes méritent d'être mentionnées ici:
Vérification du fournisseur
Des relations de travail solides sont fondées sur la confiance, mais cette bonne foi doit avoir son origine quelque part. Quel que soit le degré d’établissement d’un fournisseur de cloud, il est important que les utilisateurs authentifient leurs pratiques de conformité et de gouvernance.
Les normes de sécurité informatique du gouvernement intègrent généralement des stratégies d'audit et de scoring. Vérifier les performances passées de votre fournisseur de cloud est un bon moyen de savoir s’ils sont dignes de votre activité future. Les personnes qui détiennent des adresses électroniques.gov et.mil peuvent également accéder aux packages de sécurité FedRAMP associés à différents fournisseurs pour corroborer leurs revendications de conformité.
Assumer un rôle proactif
Bien que des services tels qu'Amazon AWS et Microsoft Azure prétendent adhérer aux normes établies, la sécurité globale du cloud requiert plus d'une partie. Selon le package de services cloud que vous achetez, vous devrez peut-être diriger la mise en œuvre de certaines fonctionnalités clés de votre fournisseur ou lui indiquer qu'il doit suivre des procédures de sécurité spécifiques.
Par exemple, si vous êtes un fabricant d’appareils médicaux, des lois telles que la loi sur la portabilité et la responsabilité en matière d’assurance maladie ou la loi HIPAA peuvent vous obliger à prendre des mesures supplémentaires pour protéger les données relatives à la santé des consommateurs. Ces exigences existent souvent indépendamment de ce que votre fournisseur doit faire pour conserver sa certification du Programme fédéral de gestion des risques et des autorisations.
Au minimum, vous serez seul responsable du maintien des pratiques de sécurité couvrant l’interaction de votre organisation avec les systèmes en nuage. Par exemple, vous devez instituer des stratégies de mot de passe sécurisées pour votre personnel et vos clients. Laisser tomber la balle de votre côté peut compromettre la mise en œuvre de la sécurité cloud la plus efficace, alors prenez vos responsabilités dès maintenant.
Ce que vous faites avec vos services cloud a finalement une incidence sur l'efficacité de leurs fonctionnalités de sécurité. Vos employés peuvent adopter des pratiques informatiques fantômes, telles que le partage de documents via Skype ou Gmail, pour des raisons de commodité, mais ces actes apparemment anodins pourraient entraver vos plans de protection du cloud soigneusement élaborés. En plus de former le personnel à l'utilisation appropriée des services autorisés, vous devez également lui apprendre à éviter les pièges liés aux flux de données non officiels.
Comprendre les termes de votre service cloud pour contrôler les risques
L'hébergement de vos données sur le cloud ne vous accorde pas nécessairement les mêmes privilèges que ceux que vous aviez inhérents au self storage. Certains fournisseurs conservent le droit de contrôler votre contenu afin de pouvoir diffuser des annonces ou analyser votre utilisation de leurs produits. D'autres peuvent avoir besoin d'accéder à vos informations dans le cadre de l'assistance technique.
Dans certains cas, l’exposition des données n’est pas un problème énorme. Lorsque vous traitez avec des informations de consommateur ou des données de paiement personnellement identifiables, il est facile de voir comment un accès tiers pourrait provoquer un désastre.
Il peut être impossible d'empêcher totalement tout accès à un système distant ou à une base de données. Néanmoins, travailler avec des fournisseurs qui publient des enregistrements d'audit et des journaux d'accès au système vous permet de savoir si vos données sont gérées de manière sécurisée. Une telle connaissance permet dans une large mesure aux entités d’atténuer les effets négatifs de toute violation.
Ne présumez jamais que la sécurité est une affaire ponctuelle
La plupart des gens intelligents changent régulièrement de mot de passe personnel. Ne devriez-vous pas être aussi attentif à la sécurité informatique dans le cloud?
Quelle que soit la fréquence à laquelle la stratégie de conformité de votre fournisseur l’impose de procéder à des auto-audits, vous devez définir ou adopter votre propre ensemble de normes pour les évaluations de routine. Si vous êtes également lié par les exigences de conformité, il vous incombera de mettre en place un régime rigoureux garantissant que vous pourrez respecter vos obligations, même si votre fournisseur de cloud ne le fait pas systématiquement.
Créer des implémentations de sécurité cloud qui fonctionnent
Une sécurité en nuage efficace n’est pas une ville mystique qui se trouve à l’horizon. En tant que processus bien établi, il est à la portée de la plupart des utilisateurs et des fournisseurs de services informatiques, quelles que soient les normes auxquelles ils se conforment.
En adaptant les pratiques décrites dans cet article à vos objectifs, il est possible d’obtenir et de maintenir des normes de sécurité garantissant la sécurité de vos données sans augmenter considérablement les frais généraux opérationnels.
Image: SpinSys
1 commentaire ▼
