ClickCease Aligner la sécurité de l'informatique dématérialisée sur le modèle de la responsabilité partagée

Vérifier le statut des CVE. En savoir plus.

L'exploitation d'une entreprise principalement dans le nuage n'est plus un concept étranger pour de nombreuses entreprises et est devenue la norme. L'informatique en nuage ouvre de nombreuses portes aux organisations, les aidant à étendre rapidement leurs activités tout en prenant en charge un plus grand nombre de clients et en offrant une flexibilité inégalée avec des applications et des services de marque.

Cependant, lorsqu'il s'agit de la sécurité des données dans le nuage, il y a souvent des idées fausses quant à la responsabilité de l'organisation ou du CSP (Cloud Service Provider). 

Dans ce cas, les entreprises doivent comprendre le modèle de responsabilité partagée et l'impact qu'il peut avoir sur leurs efforts pour aligner les priorités en matière de sécurité informatique.

Décortiquer le modèle de responsabilité partagée

 

Un modèle de responsabilité partagée - notamment en ce qui concerne les opérations interconnectées dans le nuage - permet de répartir les tâches importantes liées à la sécurité entre les entreprises et les fournisseurs avec lesquels elles travaillent. 

Ce qu'il faut retenir des modèles de responsabilité partagée est qu'il ne s'agit pas d'une ligne stricte tracée dans le sable concernant la responsabilité de chacun. Il s'agit plutôt d'un spectre auquel on peut se référer pour s'assurer que les deux parties dans une relation qui implique l'utilisation de données clients sensibles collaborent de différentes manières pour aligner la sécurité du cloud et garantir l'intégrité des données lorsqu'elles sont collectées, stockées et transmises à la fois dans des environnements sur site et dans le cloud.

Quelles sont les obligations du fournisseur de services d'informatique en nuage ?

 

Les fournisseurs d'informatique en nuage ont généralement accès à tous les types de données d'entreprise lorsqu'ils sont engagés par des services d'abonnement. Pour faciliter cette relation, les FSC doivent assumer diverses responsabilités au nom de leurs partenaires afin d'assurer la sécurité de l'informatique en nuage :

Protection de l'infrastructure sous-jacente

 

Lorsque les données sont stockées dans différents centres de données, les FSC ont l'obligation de s'assurer de la sécurité physique et numérique de ces centres. Cela implique de prendre des mesures adéquates pour sécuriser les salles de serveurs et les systèmes de stockage sur site, ainsi que d'incorporer d'autres protections nécessaires, telles que des caméras de surveillance et des contrôles environnementaux.

Toutes les infrastructures sous-jacentes soutenues par des pare-feu ou des systèmes de détection d'intrusion sont également des dispositions nécessaires que le FSC doit prendre pour minimiser la probabilité de cyberattaques.

Mise en œuvre de diverses protections de réseau

 

La plupart des FSC adoptent une approche à plusieurs niveaux pour leurs stratégies de protection du réseau. En fonction des capacités du fournisseur, nombre d'entre eux disposeront de divers systèmes pour surveiller le trafic réseau entrant et sortant, ainsi que pour segmenter leurs réseaux afin de mieux se défendre contre les atteintes à la protection des données à grande échelle.

Une partie de cette protection comprend également la mise en œuvre de politiques concernant les sauvegardes de données et les efforts de reprise après sinistre afin de s'assurer qu'ils peuvent rapidement contenir toute cyberattaque réussie et minimiser les temps d'arrêt et les fuites de données sensibles.

Assurer la sécurité des couches de virtualisation

 

La création d'environnements informatiques virtualisés est un autre service commun fourni par les FSC. Toutefois, les fournisseurs sont tenus de s'assurer que les logiciels utilisés pour gérer l'approvisionnement virtuel des ressources informatiques sont protégés par les derniers correctifs de sécurité.

Les CSP peuvent également avoir besoin de mettre en place des environnements LAN virtuels (VLAN) et des groupes de sécurité spécifiques qui minimisent le risque que des machines virtuelles puissent accéder à des informations provenant d'autres clients pris en charge par le même serveur. 

Quelles sont les obligations d'une organisation en matière de sécurité de l'informatique dématérialisée ?

 

En tant que client de l'informatique dématérialisée, vous disposez d'un certain niveau de contrôle sur le nombre d'obligations de sécurité dont vous serez directement responsable, qui dépendront du type de modèle de service dématérialisé que vous utilisez. Pour aligner les cadres de sécurité de l'informatique dématérialisée, tenez compte des éléments suivants :

 

  • IaaS (Infrastructure-as-a-Service): Les modèles d'infrastructure en tant que service permettent à l'organisation de mieux contrôler les différents éléments opérationnels, mais ils impliquent également une plus grande responsabilité. Les entreprises contrôlent directement les différents systèmes d'exploitation, les applications et les réseaux de données, tandis que le CPS fournit le stockage, le réseau, les serveurs et la virtualisation.
  • PaaS (Plate-forme en tant que service): Dans les modèles de plateforme en tant que service, les FSC libèrent les organisations de la nécessité de gérer et de corriger les vulnérabilités de leurs systèmes d'exploitation ainsi que de toute infrastructure sous-jacente requise. Cependant, les organisations devront toujours s'assurer que leurs contrôles d'accès sont correctement configurés, en plus de sécuriser certaines applications.
  • SaaS (Software-as-a-Service): Les modèles de logiciel en tant que service confèrent la plus grande part de responsabilité aux FSC, puisqu'ils gèrent directement tous les composants nécessaires à la fourniture d'un service commercial spécifique. Toutefois, il peut subsister divers protocoles de sécurité qu'une organisation devra configurer et gérer dans le cadre de sa responsabilité partagée, y compris la mise en œuvre de certaines autorisations d'accès basées sur les rôles.

Obligations standard à respecter

 

Quel que soit le modèle de déploiement de l'informatique dématérialisée que vous choisissez pour votre entreprise, il existe toujours des responsabilités fondamentales que chaque organisation doit assumer pour renforcer la sécurité de l'informatique dématérialisée et réduire les risques associés à l'exploitation de l'informatique dématérialisée. réduire les risques associés à l'exploitation du nuageLa sécurité dans l'informatique dématérialisée est un enjeu majeur, notamment en raison des menaces croissantes contre la sécurité dans l'informatique dématérialisée, qui ciblent les points faibles des infrastructures partagées.

Garantir la sécurité des données

 

Les organisations devraient donner la priorité à leur responsabilité de sécuriser toutes les formes de données de l'entreprise. Elles peuvent notamment classer les données en fonction de leur niveau de confidentialité et mettre en œuvre des mesures de protection supplémentaires pour s'assurer qu'elles ne peuvent être consultées que par les bonnes personnes. 

L'intégration de méthodes de cryptage dans la mesure du possible sur les documents sensibles est une stratégie importante pour protéger les données de l'entreprise, qu'elles soient au repos ou en transit. Ce niveau de protection est essentiel pour répondre à des normes de conformité strictes telles que celles utilisées dans le cadre de la certification HITRUST et d'autres cadres de sécurité spécifiques à l'industrie.

La mise en place de procédures de sauvegarde des données et de reprise après sinistre peut également être un moyen efficace de renforcer les protocoles de sécurité de l'entreprise, en particulier lorsqu'elle est complétée par des audits de sécurité réguliers visant à identifier les lacunes et à garantir une conformité continue. Ces initiatives peuvent également être soutenues par une collaboration avec des tests de pénétration qui peuvent aider les organisations à identifier les vulnérabilités de leurs réseaux et de leurs systèmes d'entreprise, tout en leur donnant des perspectives importantes sur les priorités à donner à leurs efforts de sécurité.

 

Mise en œuvre des contrôles d'accès

 

La mise en œuvre de contrôles IAM (Identity and Access Management) est un autre moyen pour les organisations de renforcer leurs protocoles de sécurité, que l'ouverture se fasse principalement sur site ou dans le nuage. 

Les solutions IAM permettent de s'assurer que les individus ne disposent que du niveau d'accès minimum nécessaire à l'accomplissement de leurs tâches. Elles permettent également de fournir une vue unifiée dans l'ensemble de l'organisation sur les personnes disposant de certains privilèges d'accès et sur le type d'activités qu'elles effectuent sur les systèmes et les réseaux connectés.

Protection des applications du système

 

Les applications logicielles sont souvent une cible privilégiée pour les attaquants et sont fréquemment exploitées dans le cadre de diverses menaces pour la sécurité de l'informatique en nuage. Les organisations sont donc encouragées à tenir des registres détaillés des différentes solutions logicielles auxquelles elles souscrivent dans tous les départements.

Pour les organisations qui gèrent un grand nombre d'applications, les outils d'analyse des vulnérabilités peuvent être un moyen précieux d'identifier de manière proactive toute faiblesse sous-jacente dans l'ensemble des outils et solutions de l'entreprise. Comprendre la distinction entre la gestion des vulnérabilités et la gestion des correctifs peut aider les équipes à mieux allouer leurs ressources et à prioriser les correctifs pour répondre aux normes de sécurité du cloud. les normes de sécurité de l'informatique dématérialisée.

Assumez vos responsabilités en matière de sécurité 

 

Les FSC et leurs clients ont un rôle important à jouer lorsqu'il s'agit de garantir la sécurité des données des clients. En prenant le temps de comprendre les nuances de la responsabilité partagée et la manière dont elles sont liées aux stratégies de sécurité "cloud native", en collaborant efficacement avec divers fournisseurs et en mettant en place d'importantes mesures de protection, vous pouvez vous assurer que vous êtes en mesure d'aligner les efforts de sécurité "cloud", de faire évoluer votre entreprise et de minimiser la probabilité de violations de la sécurité et de problèmes de conformité.

 

Informations sur la biographie de l'auteur

Auteur Bio:

Nazy Fouladirad est président et directeur de l'exploitation de Tevoraune société de conseil en cybersécurité de premier plan au niveau mondial. Elle a consacré sa carrière à la création d'un environnement commercial et en ligne plus sûr pour les organisations à travers le pays et le monde. Elle est passionnée par le service à la communauté et siège au conseil d'administration d'une organisation locale à but non lucratif.

 

Linkedin: https://www.linkedin.com/in/nazy-fouladirad-67a66821

Résumé
Aligner la sécurité de l'informatique dématérialisée sur le modèle de la responsabilité partagée
Nom de l'article
Aligner la sécurité de l'informatique dématérialisée sur le modèle de la responsabilité partagée
Description
Aligner les efforts de sécurité dans le nuage avec le modèle de responsabilité partagée. Découvrez comment les entreprises et les fournisseurs se répartissent efficacement les tâches de sécurité.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, sans interruption du système ou sans fenêtres de maintenance programmées ?

En savoir plus sur le Live Patching avec TuxCare

Table des matières

Obtenez les réponses à vos questions sur la sécurité des logiciels libres

Posez-nous une question

Rejoignez notre bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.