Le directeur de la technologie de Moxtra discute de la sécurité du cloud et de certains des principaux pièges que les entreprises devraient éviter.
La migration vers le cloud est loin d’être un nouveau concept. Cependant, l’année dernière a accéléré la transformation numérique dans pratiquement tous les secteurs, dispersant une grande partie de la main-d’œuvre mondiale et décentralisant une grande partie de l’infrastructure sur site à laquelle nous étions habitués.
Cela a dynamisé les discussions autour de la création de stratégies et de solutions cloud appropriées. Cependant, cela survient également à un moment où les cyberattaques se multiplient, profitant des systèmes qui ont été contraints de s’éloigner du jour au lendemain, ainsi que d’attaques beaucoup plus importantes, plus récemment, les attaques majeures contre un important gazoduc aux États-Unis et la cyberattaque massive contre le Heath Service Executive (HSE) irlandais.
Avec l’adoption du cloud et la discussion sur la cybersécurité atteignant de nouveaux niveaux, à quoi les entreprises doivent-elles penser en termes de protection des informations qu’elles déplacent dans le cloud?
«Les entreprises partent du principe que chaque actif peut ou doit être protégé contre toutes les menaces possibles. Il n’est pas réaliste pour les entreprises de couvrir chaque actif avec une sécurité ultime », a déclaré Stanley Huang, co-fondateur et CTO de la société de logiciels basée sur le cloud, Moxtra.
«La question qui devrait être posée est« que voulons-nous protéger? ». plutôt que «comment pouvons-nous tout protéger? Les entreprises doivent hiérarchiser leurs actifs les plus essentiels et déterminer une stratégie pour les protéger, en définissant non seulement ce qui doit être protégé, mais également le niveau de protection dont chaque actif aura besoin. »
«Vous ne pouvez pas simplement acheter des titres à un fournisseur»
– STANLEY HUANG
Huang a déclaré qu’en matière de sécurité dans le cloud, il y avait souvent un décalage entre une entreprise reconnaissant les besoins de sécurité et recevant une couverture de sécurité stratégique et bien planifiée.
«Cela découle du problème de nombreuses entreprises se concentrant uniquement sur les aspects techniques lors de la mise en œuvre de la sécurité du cloud», a-t-il déclaré.
«Par exemple, quel type de service de cloud computing utilisons-nous, qu’est-ce qui est bon, qu’est-ce qui ne l’est pas, quelle technologie utilise-t-il, dans quelle mesure cela fonctionne-t-il pour les utilisateurs? Bien que tout cela soit important à comprendre, ces considérations devraient venir après que vous ayez déterminé comment la sécurité s’intègre dans une vue d’ensemble. »
Il a déclaré que de nombreuses entreprises contournent souvent l’étape consistant à définir une stratégie de sécurité avant de mettre en œuvre la technologie cloud, mais cette étape est vitale pour atténuer les risques lors de la migration vers le cloud.
Conseils pour assurer une bonne sécurité cloud
Huang a suggéré que les entreprises identifient ou embauchent un propriétaire de groupe de travail sur la sécurité en interne, qui est chargé de définir la stratégie de sécurité au niveau de l’entreprise.
«Cette personne doit être un bon organisateur avec une formation technique mais n’a pas nécessairement besoin d’être un expert en sécurité. En outre, un service de conseil tiers avec une expertise en sécurité peut travailler avec l’organisateur interne pour définir une stratégie de sécurité spécifique pour votre entreprise », a-t-il déclaré.
«Vous devez être réaliste quant à savoir si l’exécution est faisable et rentable. Passer par là à un stade précoce et ensuite définir la portée est préférable pour les petites entreprises, car elles n’ont pas l’expertise pour tout faire. En tant que propriétaire d’entreprise, vous devez comprendre comment votre entreprise fonctionne, puis collaborer avec l’aide d’autres parties pour discuter de l’actif et de sa sécurité afin de créer une carte globale sur la manière dont votre entreprise doit utiliser le service cloud. »
Stanley Huang. Image: Moxtra
En plus de penser qu’ils peuvent tout protéger au niveau le plus élevé possible, Huang a déclaré qu’une autre erreur courante des entreprises était de penser qu’ils pouvaient acheter la sécurité du cloud computing au niveau de l’entreprise auprès de chacun de leurs fournisseurs de services cloud.
«Vous ne pouvez pas simplement acheter des titres à un fournisseur. Bien que le fournisseur puisse fournir la solution de sécurité, en tant que propriétaire d’entreprise, vous devez penser différemment à la manière de tirer parti de cette solution et de prendre la meilleure décision pour votre entreprise. »
En pratique, cela signifie qu’un fournisseur de cloud peut fournir une certaine solution de sécurité telle que l’authentification multifactorielle, garantissant que les personnes qui se connectent sont bien celles qu’elles prétendent être via diverses méthodes de vérification.
Cependant, il appartient à l’entreprise elle-même de s’assurer que les salariés qui partent n’ont plus accès à ces référentiels de données.
«Le fournisseur a fait son travail en s’assurant que l’adresse e-mail et le mot de passe de l’employé correspondent et exigent une connexion, mais le propriétaire de l’entreprise doit s’assurer que les employés vérifient le statut d’emploi via un système centralisé et que seuls les employés actuels ont accès aux données de l’entreprise, » il a dit.
Une autre idée fausse contre laquelle Huang a mis en garde est l’idée qu’une entreprise peut simplement tirer parti d’une société de conseil en sécurité tierce pour leur fournir un environnement informatique en nuage sécurisé.
«Comme je l’ai mentionné précédemment, une entreprise ne peut pas simplement acheter une solution technique et s’attendre à ce qu’elle protège ses données. Les entreprises doivent définir la portée de leur plan de sécurité et prioriser les niveaux de sécurité. Ce n’est qu’après cela que les entreprises devraient investir dans des services de conseil tiers et acheter des solutions de sécurité. »
L’éducation est la clé
En ce qui concerne la cybersécurité, basée sur le cloud ou autre, les DSI et les CTO citent la formation du personnel comme un élément clé de la protection des données.
À maintes reprises, les experts de l’Infosec et les enquêtes informatiques ont mis en évidence l’erreur humaine comme un risque majeur en matière de cyberattaques. Mais c’est une chose de simplement dire que les travailleurs doivent être mieux informés sur la cybersécurité et une autre de suggérer comment s’y prendre.
«Je pense que la collaboration avec des experts est le moyen le plus efficace de faire progresser la formation de votre personnel. En répartissant les responsabilités et en éduquant les personnes avec un objectif différent en fonction de leur rôle, les employés sont en mesure de construire une vision globale d’une carte de sécurité lorsqu’ils collaborent », a déclaré Huang.
«Je pense que la partie la plus critique de l’éducation consiste à travailler en collaboration avec d’autres parties pour déterminer la cible de la sécurité de cloud computing souhaitée, puis à définir la stratégie et à l’exécuter correctement. Il s’agit plutôt d’une éducation de haut niveau, mais sans cela, il n’y a pas grand-chose d’autre qui compte. »
Auteur/autrice
