Par Raymond Ma, directeur général Europe d’Alibaba Cloud
Le travail hybride est là pour perdurer et est devenu la “nouvelle norme”. Cette évolution apporte de nouvelles opportunités mais aussi de nouveaux défis aux entreprises. Il est plus facile de garder et d’attirer des talents grâce à cette possibilité de travailler de n’importe où mais cela implique que les entreprises aient un environnement informatique sûr et fiable, cela doit devenir leur priorité absolue. Surtout avec cette recrudescence de cybercrimes de plus en plus évolués et difficiles à déjouer. Si le passage au cloud et l’utilisation de technologies basées sur le cloud constituent un premier pas dans la bonne direction pour lutter contre les cyberrisques, il y a une question encore plus importante à laquelle les entreprises doivent répondre : comment peuvent-elles créer un environnement cloud sûr et fiable contre lequel même un cybercriminel acharné n’a aucune chance ?
Créer une architecture de sécurité robuste
Dès le départ, il s’agit de sécuriser la disponibilité, la confidentialité et l’intégrité des données et des systèmes d’une entreprise. L’architecture doit inclure des modules de sécurité de différents niveaux pour construire des solutions de sécurité des données fiables dans le cloud, en commençant par la sécurité de l’infrastructure, celle des données et des applications.
Outre ces modules de sécurité, il existe un certain nombre d’outils permettant aux entreprises de crypter, visualiser, prévenir les fuites de données, gérer les journaux opérationnels et effectuer des contrôles d’accès. Il est également possible d’utiliser des solutions de gouvernance informatique basées sur le cloud pour développer des systèmes de sécurité cloud personnalisés afin de répondre aux exigences de conformité en matière de sécurité des réseaux et des données. Cela permet de garantir la sécurité des données dans le cloud tout au long du cycle de vie.
Il est intéressant d’envisager la création d’un environnement multi-tenant, où le principe du moindre privilège et des normes de gestion et de contrôle uniformes s’appliquent pour se protéger contre l’accès non autorisé aux données des utilisateurs. Des règles strictes, quant à elles, sont essentielles à un environnement sécurisé en termes de propriété et d’exploitation des données, comme l’accès, la conservation et la suppression des données.
En outre, les organisations peuvent tirer parti de l’architecture de sécurité en adoptant une approche Zéro Trust dès la conception pour protéger les systèmes les plus sensibles. Ce type d’architecture exige l’authentification et l’autorisation, à l’aide de protocoles d’accès aux identités, de toute personne demandant l’accès aux systèmes internes. Cette architecture réduit la confiance automatique ou la dépendance sans vérification continue, répondant ainsi aux défis actuels de la sécurisation des environnements de travail hybrides, des paramètres de cloud hybride et contre les cybermenaces de plus en plus agressives.
Adopter des technologies de sécurité de pointe
Le chiffrement des données offre des capacités avancées pour les voies de transmission (données en mouvement), les nœuds de calcul (données en cours d’utilisation) et les nœuds de stockage (données en cours de stockage). Le service de gestion des clés (“Key Management Service”) et le service de cryptage des données (“Data Encryption Service”) aident les utilisateurs à gérer leurs clés et à utiliser divers algorithmes pour effectuer des opérations de cryptage.
De plus, l’informatique confidentielle sécurise les données lors de leur traitement, protégeant ainsi les charges de travail les plus sensibles. Ce processus basé sur les environnements d’exécution de confiance (“TEES”) garantit la sécurité, l’intégrité et la fiabilité des données, mais aussi, elle facilite le développement et le déploiement d’applications confidentielles et de confiance à moindre coût.
Renforcer la protection de ses systèmes et de ses données sensibles
Il s’agit notamment d’élaborer un système de reprise après sinistre qui permet aux entreprises de configurer des plans d’urgence pour les datacenters. Les entreprises peuvent ainsi exercer leurs activités dans plusieurs régions et mettre en place des systèmes de reprise après sinistre qui prennent en charge de nombreux modèles de récupération des données.
Il est essentiel de développer des mécanismes efficaces d’examen et de réponse aux problèmes de sécurité du cloud computing. Il faut d’abord analyser et tester les vulnérabilités pour évaluer l’état de sécurité des systèmes. Puis, il faut utiliser les outils de surveillance natifs du cloud pour détecter les comportements inhabituels ou les menaces de l’intérieur. Et enfin à l’aide des procédures propriétaires et des modèles de responsabilité partagée qui permettent d’évaluer rapidement et précisément les vulnérabilités de sécurité et leur gravité, de sorte que des mesures rapides puissent être prises lorsque des problèmes de sécurité surviennent.
Maintenant que les bases sont énoncées, il reste un point essentiel sur lequel il faut que les entreprises se concentrent : elles ne doivent plus voir le développement de l’architecture de sécurité par le prisme du coût. Elles doivent en faire leur priorité pour protéger leurs assets et aussi leurs salariés. Les dirigeants, comme les DSI, devront s’assurer de créer un plan de sécurité du cloud basé sur les meilleures pratiques du secteur et choisir un fournisseur de services cloud professionnel avec des normes de sécurité élevées.