Par Bernard Montel, Directeur Technique EMEA chez Tenable
Je ne vous apprends rien : l’adoption du cloud, du cloud hybride et du multicloud par les entreprises continue de s’accélérer en 2024, Saas, IaaS, PaaS, quelque soit la forme. Par contre, ce changement de paradigme ne s’accompagne pas systématiquement d’une adaptation de la stratégie de sécurité de ces entreprises. Et c’est une erreur, surtout face au nombre croissant d’incidents cyber sophistiqués ! En sachant qu’il faut en moyenne 210 jours pour identifier une violation de données en France et 72 jours pour la contenir*, je vous laisse imaginer les dégâts causés !
Un grand nombre de ces incidents auraient pu être évités si les entreprises se questionnaient sur la sécurisation de leurs données sensibles où qu’elles soient. Elles ignorent souvent qu’il existe un modèle de responsabilité partagée (SRM) qui offre un cadre de sécurité et de conformité et établit les responsabilités des fournisseurs de services cloud et de leurs clients. Ce modèle est crucial car il protège à la fois les entreprises fournisseurs de services cloud (CSP) et leurs clients, y compris le matériel, l’infrastructure, les données, le système d’exploitation, les droits d’accès, etc.
Les questions à se poser avant d’implémenter un modèle de responsabilité partagée
Avant de mettre en œuvre le modèle de responsabilité partagée, il est essentiel pour les entreprises de se poser les bonnes questions et de développer une stratégie qui leur corresponde. Comment les données sensibles seront-elles protégées dans le cloud ? Quels sont les contrôles de sécurité mis en place par le fournisseur de services cloud et quels sont ceux que l’entreprise doit gérer elle-même ? En examinant de près les détails de la structure informatique de l’entreprise, il est possible d’identifier les vulnérabilités potentielles et de prendre des mesures pour les atténuer.
Pour cela, il est impératif de mener une évaluation minutieuse de l’environnement cloud de l’organisation. Le diable se cache souvent dans les détails et même de simples configurations par défaut peuvent exposer à des risques significatifs. Par exemple, dans de nombreux systèmes de gestion de bases de données cloud, les paramètres de sécurité par défaut peuvent être définis de manière à favoriser la facilité d’utilisation plutôt que la sécurité. Cela peut se traduire par des autorisations trop permissives, permettant à un large éventail d’utilisateurs d’accéder aux données sensibles. De plus, le chiffrement des données peut ne pas être activé par défaut, ce qui expose les entreprises à un risque accru d’intrusions réussies et de compromission.
Afin de prévenir ces risques, il est important d’identifier clairement les domaines que l’entreprise peut contrôler pour mieux appréhender la répartition des responsabilités entre son équipe de sécurité et le CSP. Elle pourra ainsi déterminer les mesures de sécurité appropriées à mettre en place. Dans un modèle de responsabilité partagée, le CSP peut par exemple être responsable de la sécurité physique de l’infrastructure sous-jacente, tandis que l’entreprise est responsable de sécuriser les données et les applications qu’elle déploie dans le cloud.
Le rôle des certifications CSP pour alléger la charge de conformité
Les certifications des fournisseurs de services cloud (CSP) jouent un rôle crucial pour aider les entreprises à alléger leur charge de conformité. Plutôt que de consacrer des efforts considérables via des processus d’examens détaillés et autres audits d’assurance pour des domaines qu’elles ne contrôlent pas directement, les entreprises peuvent avoir recours aux attestations de plusieurs organismes comme base de leur conformité. Par exemple, en choisissant un CSP certifié ISO 27001 pour héberger leurs données sensibles, elles peuvent s’assurer que celui-ci respecte des normes de sécurité strictes et alignées sur le RGPD. En intégrant ces certifications dans leur processus de sélection de fournisseurs cloud, les entreprises peuvent réduire les risques liés à la sécurité et se conformer plus facilement aux réglementations en vigueur. Ces normes offrent également une assurance supplémentaire aux clients de l’entreprise, renforçant ainsi la confiance dans la sécurité des services cloud proposés.
Comment garantir l’efficacité à long terme du modèle de responsabilité partagée (SRM)
L’automatisation joue un rôle clé dans ce processus, en permettant une amélioration continue du modèle. Elle peut permettre à une entreprise d’automatiser la surveillance des journaux d’audit (logs) pour détecter les activités suspectes dans le cloud et déclencher des alertes en temps réel en cas de violation de la politique de sécurité. En investissant dans des solutions d’automatisation adaptées, les organisations peuvent renforcer leur posture de sécurité et réduire les risques d’incidents cyber. Parallèlement, en évitant les pièges courants et en innovant constamment, elles peuvent maintenir un niveau élevé de sécurité dans leur environnement cloud.
Au-delà de l’aspect technologique, il ne faut pas non plus négliger le facteur humain qui est à l’origine de nombreuses atteintes aux données. C’est là que la formation et la sensibilisation des employés deviennent primordiales, pour garantir une utilisation sécurisée et conforme du cloud. Ils doivent être informés des politiques de sécurité en vigueur et formés à reconnaître les menaces potentielles, telles que les tentatives de phishing ou les malwares. En encourageant une culture de sécurité au sein de l’entreprise, les risques liés aux erreurs humaines peuvent être réduits et la défense contre les cyberattaques renforcée.
En conclusion, le modèle de responsabilité partagée est un facteur clé pour assurer un environnement cloud sécurisé. En posant les bonnes questions, en s’appuyant sur les certifications CSP et en utilisant l’automatisation pour garantir une efficacité à long terme, les entreprises peuvent renforcer leur posture de sécurité dans le cloud et réduire les risques d’incidents cyber dont les conséquences sur les activités et le coût peuvent être dévastatrices. Il est temps d’adopter une approche proactive et collaborative en matière de sécurité cloud pour protéger les données sensibles et garantir la continuité des activités. En mettant en place les bonnes pratiques de sécurité et en restant vigilants face aux menaces émergentes, les entreprises peuvent tirer pleinement parti des avantages du cloud tout en atténuant les risques associés à son utilisation.
*Source: le rapport Cost Of A Data Breach d’IBM paru en 2023.