in

Étapes à suivre lors du transfert de données sensibles vers le cloud

 

Les services de cloud public se sont désormais fermement établis en tant que solutions efficaces, efficaces et abordables pour les organisations de tous types. Cela se reflète dans les taux d’adoption récents; Cette année, Gartner s’attend à ce que le marché du cloud public augmente de 17% pour une valeur totale de 266,4 milliards de dollars, avec plus des deux cinquièmes des PME favorisant le cloud public et 45% des entreprises privilégiant une stratégie de cloud hybride (utilisant à la fois le cloud public et services sur site).

Cependant, une préoccupation qui empêche souvent les entreprises d’adopter le cloud public – que ce soit en gros ou dans le cadre d’une stratégie de cloud hybride – est la sécurité des informations. Une enquête récente auprès des professionnels de la cybersécurité a révélé que 93% étaient moyennement à très préoccupés par la sécurité du cloud public, et plus des trois cinquièmes des personnes interrogées étaient spécifiquement préoccupées par les fuites et la confidentialité des données. Ces craintes sont particulièrement aiguës lorsqu’il s’agit d’héberger des charges de travail sensibles telles que des informations financières, personnelles ou de paie, où une fuite ou une brèche pourrait causer des dommages majeurs à votre équipe et à l’organisation dans son ensemble.

Nous savons que certaines charges de travail sensibles peuvent être hébergées sur un cloud public. Cependant, étant donné les dommages qui peuvent être causés en cas d’erreur, vous devez aborder les risques systématiquement avant une migration et pendant toute la durée de l’utilisation d’un cloud public pour héberger des informations sensibles. Pour ce faire, une organisation doit effectuer régulièrement des analyses de risque de son environnement de cloud public.

La nature de votre analyse des risques dépendra fortement de vos charges de travail et de la nature exacte de votre environnement. Cependant, plusieurs problèmes surviennent régulièrement lorsque l’on examine les risques d’un environnement de cloud public: les contrôles contractuels que vous avez avec un fournisseur, les contrôles architecturaux dont vous disposez dans votre environnement logiciel et les contrôles techniques dont vous disposez sur votre matériel.

Contrôles contractuels

Dès le départ, vous devez vous assurer de travailler avec un fournisseur de services de cloud public (CSP) capable de répondre à vos besoins en matière de sécurité des informations. Cependant, cet examen ne devrait pas s’arrêter une fois le processus d’approvisionnement terminé. Au lieu de cela, vous devez évaluer les termes, conditions et conditions contractuelles de votre fournisseur de services de communication pour vous assurer que la norme de sécurité dont vous avez besoin est respectée.

L’une des premières choses à prendre en compte dans votre évaluation des risques sont les normes de sécurité ISO que votre CSP promet de respecter. Vous devrez passer en revue vos propres risques et obligations et vous assurer que votre CSP est conforme à toutes les normes pertinentes pour votre organisation. Les normes qui reviennent régulièrement dans ces revues incluent ISO 27001, qui est la norme internationale de gestion de la sécurité de l’information; ISO 27701, qui garantit qu’un système conforme à ISO 27001 respecte également les normes de confidentialité des données (telles que le RGPD); ISO 27017, qui fournit des contrôles de sécurité de l’information spécifiques au cloud; et ISO 27018, qui fournit des pratiques axées sur la protection des données personnelles dans le cloud.

Au-delà de ces normes, vérifiez votre contrat pour voir quelles dispositions votre CSP prend en cas de fuite. Vous devriez examiner les questions concernant la responsabilité en cas de fuite, la réponse recommandée en cas de fuite d’informations et le processus d’examen après une fuite. Au-delà de cela, vous devez également vérifier comment votre CSP gère la sécurité des informations, telles que les politiques de filtrage du personnel, dans le centre de données lui-même.

Contrôles architecturaux

Le domaine dans lequel votre audit a le plus de pouvoir pour enquêter directement et influencer sont vos contrôles architecturaux, c’est-à-dire comment le logiciel est configuré pour réguler et délimiter les données qui vont dans le cloud public. Ceci est particulièrement important dans un environnement de cloud hybride, où les charges de travail s’exécutent à la fois dans le cloud public et sur des serveurs sur site. Dans un environnement de cloud hybride, de bons contrôles architecturaux vous permettront de conserver autant de données et de charges de travail sensibles que possible sur site. Pour évaluer tous les risques pertinents dans ce domaine, vous devez travailler avec vos développeurs et vos équipes d’exploitation pour comprendre votre environnement et son architecture.

L’une des premières considérations à prendre en compte si votre organisation utilise une configuration de cloud hybride est de savoir si l’équipe s’assure que les charges de travail identifiées comme les plus sensibles restent toujours sur site, en utilisant les outils de planification trouvés dans les plates-formes cloud telles que Openstack ou Openstack. Pour vous assurer que seules les données pertinentes sont transmises entre votre cloud public et les serveurs sur site, vous devez également vérifier que l’organisation utilise des contrôles API pour réguler le flux de données, ainsi qu’une stratégie de surveillance claire et un ensemble de contrôles. Dans votre environnement, vous devez également utiliser des outils tels que le LAN virtuel (VLAN) pour partitionner et contrôler le flux de données sensibles au sein de votre organisation.

Les contrôles architecturaux évoluent constamment à mesure que la technologie et les normes s’améliorent, ce qui démontre la nécessité de réviser fréquemment votre analyse des risques. Pour ce faire, un dialogue permanent avec votre équipe logicielle est absolument essentiel.

Contrôles techniques

Enfin, votre analyse des risques doit également prendre en compte la configuration matérielle des machines de votre organisation. Ces contrôles techniques peuvent fournir une sécurité physique vitale pour les données et les charges de travail confidentielles, et fournir une défense efficace contre les attaques malveillantes contre votre organisation, que ces attaques soient menées physiquement ou dans le cyberespace.

Les considérations relatives aux contrôles techniques peuvent inclure l’utilisation de modules de sécurité matériels (HSM), qui sont des dispositifs qui peuvent réguler l’accès aux données de votre organisation. En particulier, si vous avez des données dans votre cloud public ou hybride auxquelles seule une très petite quantité de personnes de l’organisation a besoin d’accéder, un HSM peut garantir avec une certitude presque à 100% que personne en dehors de ce cercle ne peut accéder à ces informations.

De plus, les fabricants de puces commencent à déployer des environnements d’exécution de confiance (TEE) dans leurs processus informatiques. Les TEE permettent à un appareil d’exécuter du code qui est isolé des menaces sur le reste de l’appareil, ce qui signifie qu’aucun logiciel malveillant sur le reste de l’appareil ne devrait pouvoir accéder aux informations confidentielles. À l’ère des smartphones, qui fournissent de nombreux nouveaux vecteurs d’attaques, cela est inestimable. Les TEE sont de plus en plus disponibles, même si leur utilisation peut être complexe. Il est logique de garder un œil sur les développements de produits d’AMD et d’Intel et les mises à jour du Consortium de calcul confidentiel, un projet de la Fondation Linux qui suit la technologie dans cet espace et encourage les initiatives et projets open source à utiliser les TEE.

Votre analyse des risques va probablement révéler de nombreuses choses que votre organisation doit surveiller dans votre migration vers le cloud public, y compris et bien au-delà des domaines des contrôles contractuels, architecturaux et techniques. La migration va être le premier et le plus grand obstacle, mais vous ne devez pas considérer l’analyse des risques comme une tâche achevée; votre approche du risque dans votre environnement va évoluer en permanence en fonction des évolutions contractuelles, architecturales et techniques.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

La dernière Nintendo Direct présente huit minutes de bonté de jeu tiers

Mozilla vient de lancer un tout nouveau VPN