Le Cloud First signifie également la sécurité avant tout : voici les étapes à suivre pour y parvenir

5 MIN. LIRE

Le cloud est devenu un élément incontournable de la conduite des affaires, tout comme la sécurité du cloud.

Déplacer une application vers le cloud ou adopter un nouveau service cloud peut être une bénédiction mitigée. Dans la plupart des cas, les fournisseurs de services cloud ont tendance à rendre leurs applications plus sécurisées que ne le ferait l'équipe de sécurité d'une entreprise individuelle. Cependant, les statistiques suggèrent que la plupart des applications cloud utilisées par les employés (environ 94,8 %) ne sont pas entièrement adaptées à l’entreprise. De nombreuses entreprises ne disposent pas des politiques nécessaires pour être aussi sécurisées que possible.

Les entreprises qui n’ont pas de politique cloud regorgent d’employés qui apportent leurs propres appareils mobiles et utilisent leurs services préférés. Une main-d'œuvre de plus en plus mobile et l'émergence d'appareils professionnels connectés, des imprimantes au système de chauffage de votre entreprise en passant par le réfrigérateur de la salle de pause (l'Internet des objets), sont alimentés par des services à la demande, ce qui rend le cloud encore plus important au travail. Selon le courtier en sécurité d'accès au cloud Netskope, au troisième trimestre 2016, l'entreprise moyenne comptait 1 031 applications cloud utilisées par ses employés.

Les attaquants devenant de plus en plus sophistiqués, vous devez sécuriser vos applications cloud et prendre des décisions intelligentes sur la manière de dépenser les ressources en matière de sécurité. Bien qu’une grande partie de l’attention portée à la sécurité du cloud porte sur de meilleures pratiques de développement par les créateurs d’applications, pour de nombreuses entreprises qui sont des consommateurs d’applications et de services cloud (et non des créateurs), les applications doivent souvent être sécurisées sans aucune visibilité sur leur fonctionnement interne : la proverbiale « boîte noire ». Pour cette raison, la sécurisation des applications dans le cloud doit être traitée de la même manière que la sécurisation des appareils sur site.

2. Crypter toutes les données et identités

Les données commerciales conservées dans les applications(et les données nécessaires pour accéder à ces applications, telles que l’identité) deviennent de plus en plus importantes lorsqu’elles sont déplacées vers le cloud.

Ces mêmes données peuvent également être soumises aux lois sur la confidentialité, telles que le règlement général sur la protection des données de l’Union européenne, entré en vigueur en 2018. Il est donc essentiel de vous assurer que toutes les données sont cryptées de manière sécurisée.
Accès à distance aux services cloud étant la nouvelle norme, la sécurité des données stockées dans le cloud repose également sur la capacité à identifier de manière fiable les utilisateurs. Les équipes de sécurité ne doivent pas supposer qu’un utilisateur disposant des bonnes informations d’identification est autorisé. D’autres processus d’authentification tels que l’authentification à deux facteurs, la détection d’anomalies et la géolocalisation peuvent tous contribuer à rendre l’accès aux services cloud plus sécurisé et doivent être utilisés lorsqu’ils ne surchargent pas excessivement le flux de travail.

3. Créer des politiques et éduquer les utilisateurs

Le déplacement des applications vers le cloud donne aux équipes de sécurité la possibilité (certains pourraient dire l’obligation) d’étendre leurs politiques en dehors du réseau de l’entreprise. Étant donné que tout employé disposant d’une carte de crédit peut déployer un nouveau service cloud, vous avez besoin de politiques flexibles et d’une technologie capable de détecter les services non autorisés, plus communément appelés « shadow IT ».

Que les données soient stockées sur site ou dans le cloud, les mêmes politiques globales doivent s’appliquer. Bien que le respect des réglementations soit un point de départ évident, vos politiques cloud doivent garantir la sécurité et pas seulement la conformité.

Robert Haynes est un architecte de solutions avec plus de vingt ans d'expérience en informatique. Ayant débuté au bas de l'échelle en tant qu'analyste du service d'assistance technique, sa carrière peu brillante l'a conduit à l'administration des systèmes UNIX, à la sauvegarde et au stockage, et enfin à la mise en réseau des application . Ayant soutenu, conçu et vendu des systèmes informatiques complexes dans un large éventail d’industries et sur plusieurs continents, Robert se concentre toujours sur la mise en œuvre pratique et l’utilisation réelle de la technologie. Même si cela peut sembler totalement en contradiction avec son rôle actuel dans le marketing pour F5 Networks, il aime penser qu'il est principalement employé pour apporter l'équilibre à la Force.

Robert est titulaire d'un B.Sc. en biologie appliquée de l'Université du Pays de Galles à Cardiff et d'un certificat en « Éviter les collisions en marche arrière et en stationnement » de la Driving Dynamics Interactive Advanced Driving School, ce dernier s'étant avéré considérablement plus utile que le premier.