Qu’est-ce que la sécurité du cloud ?

• Permettre à l’intelligence artificielle (IA) et au machine learning (ML) de s’adapter automatiquement aux menaces de sécurité et d’y remédier
• Utiliser des fonctionnalités autonomes pour faire évoluer les réponses de sécurité, réduire les risques et éliminer les erreurs
• Protéger les données de manière proactive avec des contrôles d’accès, gérer les risques et la visibilité des utilisateurs et fournir des outils de découverte et de classification
• Suivre le modèle de responsabilité de sécurité partagée cloud pour couvrir en toute connaissance de cause les activités de sécurité entre le client et le fournisseur de services cloud
• Intégrer la sécurité dans la conception de l'architecture pour une approche qui privilégie la sécurité

La sécurité du cloud permet aux entreprises de répondre aux exigences de sécurité et de s’assurer que les organisations respectent les exigences de conformité réglementaire. Une sécurité du cloud efficace nécessite plusieurs couches de défense dans l’ensemble de la pile technologique cloud comprenant :

• Des contrôles préventifs conçus pour bloquer l’accès autorisé aux systèmes et données sensibles
• Des contrôles de détection conçus pour révéler les systèmes non autorisés, l’accès aux données et les modifications grâce à l’audit, la surveillance et reporting
• Des contrôles automatisés conçus pour empêcher, détecter et répondre aux mises à jour de sécurité, standard et critiques
• Des contrôles administratifs conçus pour gérer les stratégies de sécurité, les référentiels, les pratiques et les procédures

Le machine learning et l’intelligence artificielle étendent les technologies de sensibilisation contextuelle à un portefeuille de sécurité cloud. Grâce à la sécurité du cloud, les entreprises bénéficient d’une protection sur IaaS, PaaS, et SaaS, et étendent la sécurité au réseau, au matériel, à la puce, au système d’exploitation, au stockage et aux couches d’application.

La sécurité du cloud est une responsabilité de sécurité partagée entre le fournisseur cloud et le client. Le modèle de responsabilité de sécurité partagée du cloud est une construction fondamentale de la sécurité du cloud et de la gestion des risques pour la transmission de la division du travail entre le fournisseur de services cloud et l’abonné aux services. Il est essentiel pour les programmes de sécurité du cloud que le modèle de responsabilité partagée de la sécurité soit bien compris pour tous les types de services cloud. Malheureusement, on peut aussi affirmer que le modèle de responsabilité partagée de la sécurité est l’un des concepts de sécurité les moins bien compris dans le cloud. En fait, seuls 8 % des responsables de la sécurité des systèmes d’information comprennent parfaitement le rôle qu’ils ont à jouer dans la sécurisation du SaaS par rapport au fournisseur de service cloud. En termes simples, le modèle de responsabilité partagée de la sécurité décrit le domaine de responsabilité du fournisseur de services cloud concernant le maintien de la sécurité et de la disponibilité du service, et la responsabilité du client de garantir une utilisation sécurisée du service, ainsi que les aspects communs aux deux.

Il est indispensable que les entreprises prennent conscience de leurs responsabilités. Le fait de ne pas protéger correctement les données peut entraîner des conséquences graves et coûteuses. De nombreuses organisations qui subiront le résultat d’une violation peuvent ne pas être en capacité d’absorber le coût, même les grandes entreprises peuvent en subir l’impact financier. L’intérêt d’un modèle responsabilité partagée de sécurité est d’offrir la flexibilité grâce à une sécurité intégrée permettant un déploiement rapide. Par conséquent, les entreprises doivent comprendre leurs responsabilités en matière de sécurité du cloud, que l'on appelle généralement la sécurité « du » cloud ou la sécurité « dans » le cloud.

Aujourd’hui, les entreprises se voient proposer une large gamme d’outils de sécurité du cloud pour sécuriser leurs environnements lors du transfert de charges de travail et de données vers le cloud. Cependant, certains de ces outils sont accompagnés d’instructions sur mesure et sont proposés sous forme de services individuels. Les utilisateurs et les administrateurs de cloud doivent savoir comment fonctionnent les services de sécurité du cloud, comment les configurer correctement et comment gérer leurs déploiements de cloud. Alors que le choix d’options de sécurité est conséquent, celles-ci peuvent être compliquées à mettre en place et il est facile de faire une erreur dans un domaine. En outre, le cycle incessant des attaques de phishing, de logiciels malveillants, de la cyber-fraude croissante et d’un ensemble de services cloud accroissent encore la charge pesant sur les programmes de cybersécurité déjà fortement sollicités. Ces éléments ont eu pour conséquence des violations de données d’entreprise, avec leur lot de dommage à la marque, coûts de récupération et amendes. Vous trouverez ci-dessous plusieurs critères importants pour assurer la sécurité des données dans le cloud :

• Responsabilité partagée de la sécurité et confiance : la confiance est primordiale dans le choix d’un partenaire cloud, qui doit assumer sa part de responsabilité dans le modèle de sécurité partagée. Les organisations doivent comprendre parfaitement les rôles et responsabilités et avoir accès à des audits et des attestations de sécurité tiers indépendants.
• Automatisation et machine learning : les menaces dans le cloud évoluent à la vitesse de la machine, alors que la sécurité d’entreprise traditionnelle analyse et réagit à une vitesse humaine. La sécurité innovante dans les environnements cloud doit automatiser la détection et la réponse aux menaces. Les menaces avancées nécessitent des solutions de sécurité qui apportent un nouveau niveau de sophistication à la prédiction, la prévention, la détection et la réponse aux menaces grâce au machine learning.
• Défense en profondeur : de multiples couches de sécurité à travers l'ensemble de la pile technologique doivent inclure des contrôles préventifs, détectifs et administratifs pour les personnes, les processus et la technologie appropriés afin de contribuer à sécuriser les centres de données physiques des fournisseurs de cloud.
• Gestion des identités : à mesure que les appareils mobiles, les applications et les profils d'utilisateurs deviennent plus omniprésents, l'identité est devenue le nouveau périmètre. Il est primordial de disposer d’un contrôle des accès et des privilèges dans le cloud et on-premise basé sur des informations d’identification sécurisées.
• Visibilité : un courtier en sécurité d'accès au cloud et une solution de gestion de la posture de sécurité du cloud étendent la visibilité et le contrôle à l'ensemble de l'environnement cloud d'une entreprise.
• Conformité continue : la conformité réglementaire n’est pas facultative, et conformité et sécurité sont deux choses différentes. Les organisations peuvent être confrontées à des violations de conformité sans faille de sécurité, par exemple en raison de dérives et d’erreurs de configuration. Il est essentiel pour les entreprises de disposer d’une solution de gestion cloud qui fournit des données de conformité complètes, opportunes et exploitables dans leur environnement cloud.
• Sécurité par défaut : les contrôles de sécurité devraient être activés par défaut par le fournisseur de services cloud, au lieu d'obliger l'entreprise à se souvenir d'activer la sécurité. Tout le monde n’a pas une bonne compréhension des différents contrôles de sécurité et de la manière dont ils travaillent ensemble pour atténuer les risques et mettre en œuvre une posture de sécurité complète. Par exemple, le chiffrement des données doit être activé par défaut. Des contrôles et des politiques cohérents de protection des données doivent être appliqués dans les clouds.
• Suivi et migration : les administrateurs doivent mettre en place et appliquer des stratégies de sécurité pour les locations et les compartiments du cloud afin de sécuriser les charges de travail. Une vue unifiée de la posture de sécurité du cloud dans l’ensemble des locataires cloud est également essentielle pour détecter les ressources mal configurées et les activités non sécurisées entre les locataires et offrir aux administrateurs de la sécurité la visibilité permettant de trier et résoudre les problèmes de sécurité du cloud.
• Séparation des tâches et accès au moindre privilège : les principes de séparation des tâches et d'accès au moindre privilège sont des bonnes pratiques de sécurité qui doivent être mises en œuvre dans les environnements cloud. Cela permet de s’assurer que les individus ne se voient pas octroyer des droits administratifs excessifs et ne peuvent pas accéder aux données sensibles sans autorisation supplémentaire.

Webcast : Cloud Guard et Security Zones (21:37)

Alors que l’adoption du cloud continue de s’accélérer en raison des priorités liées à la transformation digitale, les entreprises doivent anticiper et gérer les difficultés de la sécurisation de leurs environnements cloud. Il est essentiel de choisir un fournisseur cloud qui a conçu la sécurité de sorte qu’elle soit intégrée automatiquement dans toute la pile cloud (IaaS, PaaS, SaaS). Les autres éléments à prendre en compte pour l’avenir de la sécurité cloud sont les suivants :

• Sécurité des infrastructures cloud : protéger les charges de travail grâce à une approche axée sur la sécurité des ordinateurs, du réseau et du stockage de l'infrastructure cloud, en commençant par l'architecture. Tirer parti des services de sécurité essentiels pour fournir les niveaux de sécurité requis pour les charges de travail les plus critiques pour votre entreprise.
• Sécurité des bases de données cloud : réduire le risque de violation des données et accélérer la mise en conformité dans le cloud. Adopter des solutions de sécurité de base de données qui comprennent le chiffrement, la gestion des clés, le masquage des données, les contrôles d’accès des utilisateurs privilégiés, la surveillance des activités et l’audit.
• Sécurité des applications cloud : la sécurisation des applications critiques contre la fraude et l'utilisation abusive est essentielle pour protéger les données essentielles à l'activité de votre entreprise. Les contrôles d'accès à grain fin, la visibilité et la surveillance sont des éléments essentiels des défenses en couches actuelles.
• Sécurité et confidentialité des entreprises : protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes hébergés dans le cloud, quel que soit le produit choisi.
• Service client avancé : lors de la transition vers des environnements cloud ou multi-cloud, les équipes de sécurité sont confrontées à une surface d'attaque croissante, à des surcharges d'alertes et à une pénurie de compétences en cybersécurité. Adoptez les services avancés de votre fournisseur de services cloud pour vous aider à relever ces défis.
• Gestion des identités et des accès (IAM) : contrôler les personnes qui ont accès à vos données, le type d'accès dont elles disposent et les ressources spécifiques auxquelles elles ont accès à l'aide d'informations d'identification sécurisées, qu'elles soient hébergées dans le cloud ou sur site.

1. Oracle et KPMG : Rapport sur les menaces dans le cloud (PDF)
2. Présentation technique : Sécuriser Oracle Database (PDF)