Sécurité du cloud Qu’est-ce que la sécurité du cloud ?
La sécurité du cloud est un sous-domaine de la cybersécurité qui applique une approche à plusieurs volets pour protéger tous les actifs placés sur un cloud : IP virtualisées, données, applications, services et infrastructure cloud.
- Pourquoi la sécurité du cloud est-elle importante ?
- Quel est l’impact de la sécurité dans le cloud hybride ?
- Quels sont les types de sécurité du cloud ?
- Comment fonctionne la sécurité du cloud ?
- Quels sont les avantages de la sécurité du cloud ?
- Quels sont les défis à relever en matière de sécurité du cloud ?
- Quels sont les risques relevant de la sécurité du cloud ?
- Quelles sont les meilleures pratiques de sécurité du cloud ?
- À quoi correspond l’approche zero trust dans le domaine de la sécurité du cloud ?
- Comment HPE aide-t-elle ses clients en matière de sécurité du cloud ?
Pourquoi la sécurité du cloud est-elle importante ?
Selon une étude récente, 97 % des entreprises dans le monde entier utilisent une forme de service cloud. Sur ce total, 25 % se sont fait voler des données et 20 % ont vu leur infrastructure cloud attaquée.
L’utilisation d’une plateforme cloud introduit de nouveaux risques auxquels les entreprises doivent accorder la priorité dans leurs programmes de cybersécurité. Un programme solide de sécurité du cloud définit les politiques, les technologies, les applications et les contrôles utilisés pour protéger une entreprise contre les menaces.
L’impact de la sécurité dans le cloud hybride
La sécurité est un processus continu et non une destination. Le cloud hybride offre une grande flexibilité en matière de sécurité pour les données stockées sur site et permet de tirer parti de l’expertise des fournisseurs cloud pour les données basées dans le cloud. Les services informatiques peuvent ainsi se concentrer sur les besoins essentiels de l’entreprise. En outre, le cloud hybride permet d’assurer la conformité, la sécurité du transfert de données (VPN) et la redondance, tout en atténuant les différents risques et en assurant des frais généraux gérables.
Les différents types de sécurité du cloud
Les entreprises modernes utilisent le cloud computing pour des raisons d’évolutivité, de flexibilité et d’accessibilité financière. Au fur et à mesure que les entreprises adoptent le cloud, la sécurité des données et de l’infrastructure devient cruciale. La sécurité du cloud comporte plusieurs niveaux, chacun ayant trait à des questions spécifiques. Voici quelques informations sur la sécurité des réseaux, des données, des applications, des identités et des accès.
- Sécurité du réseau
- Pertinence – La première ligne de défense du cloud computing est la sécurité du réseau. Elle protège les canaux de communication de l’infrastructure cloud contre les accès indésirables, les violations de données et les cyberattaques.
– Approche : Les pare-feux, les systèmes de détection et de prévention des intrusions (IDPS), les réseaux privés virtuels (VPN) et le chiffrement SSL assurent la protection des données pendant leur transmission. L’identification et l’atténuation des problèmes de sécurité éventuels sont renforcées par des audits et une surveillance de routine du trafic sur le réseau.
- Sécurité des données
– Pertinence – Les données sont l’élément vital de toute entreprise ou organisation ; il est donc essentiel de les protéger. La sécurité des données dans le cloud protège les données sensibles contre l’accès non désiré, la perte et la corruption.
– Approche : Le chiffrement des données au repos et en transit renforce la sécurité. Un plan solide de sécurité des données dans le cloud comprend des limites d’accès, des technologies DLP et des sauvegardes fréquentes. La conformité aux lois et aux normes industrielles renforce l’intégrité et la confidentialité des données.
- Sécurité des applications
– Pertinence : Les services cloud dépendent des applications. Celles-ci doivent être sécurisées pour empêcher les attaquants d’exploiter les vulnérabilités.
– Approche : Pour éliminer les vulnérabilités, les applications doivent être mises à jour et corrigées régulièrement. Les WAF, les revues de code et les tests de pénétration permettent de trouver et de résoudre les failles de sécurité. La conteneurisation et les microservices permettent de concevoir des composants isolés, ce qui optimise la sécurité des applications.
- Gestion des identités et des accès
– Pertinence : La gestion des identités des utilisateurs et la restriction de l’accès aux ressources sont des éléments clés de la sécurité du cloud. Les accès non autorisés peuvent mettre en péril l’infrastructure et donner lieu à des violations de données.
– Approche : L’authentification multifactorielle (MFA) limite l’accès aux ressources cloud aux seuls utilisateurs autorisés. Le système RBAC permet d’attribuer des droits en fonction des responsabilités professionnelles, ce qui limite les accès non désirés. L’évaluation et la modification régulières des privilèges des utilisateurs améliorent la sécurité.
Un plan complet de sécurité du cloud tient compte de la sécurité des réseaux, des données, des applications, des identités et des accès. Les entreprises doivent utiliser les technologies, les réglementations et la surveillance continue pour protéger leurs actifs numériques dans l’environnement en constante évolution qu’est le cloud. Afin de conserver une infrastructure cloud solide et sécurisée, il est essentiel de rester informé et de modifier les mesures de sécurité en fonction de l’évolution des technologies.
Comment fonctionne la sécurité du cloud ?
Un programme de sécurité du cloud surveille toutes les activités dans le cloud et dispose de plans établis pour réagir rapidement en cas de violation. En général, la sécurité du cloud répond à quatre objectifs principaux : protéger, détecter, contenir et restaurer.
Pour atteindre ces quatre objectifs, les entreprises déploient un ensemble de politiques, d’outils et de contrôles qui s’appliquent en continu.
- Politique : Les entreprises devraient intégrer la sécurité dans le processus de développement de tout produit ou service. Autrement dit, plutôt que de s’appuyer sur une équipe distincte de vérification de la sécurité, leurs règles devraient exiger que le DevOps et le DevSecOps soient intégrés à l’unité opérationnelle qui crée la nouvelle offre. Une politique qui exige que les services et le personnel participent à l’identification, à la classification des actifs et à la responsabilisation à leur égard contribue également à la sensibilisation et à la protection.
- Configuration appropriée : Les services informatiques doivent configurer les actifs du cloud de façon à séparer les données des opérations, définir et octroyer automatiquement l’accès uniquement aux personnes et aux systèmes qui en ont besoin pour accomplir leurs tâches.
- Gestion centralisée : De nombreuses entreprises mettent en place différentes solutions cloud, avec différents prestataires qui proposent leurs propres outils de gestion. L’unification de la sécurité du cloud pour tous les services et prestataires offre aux départements informatiques une visibilité sur chaque point d’accès à partir d’un seul endroit, ce qui facilite la surveillance et la détection des menaces.
- Surveillance constante : À l’aide d’outils facilement disponibles, le service informatique peut savoir à quelles plateformes et à quels services de cloud computing les utilisateurs accèdent ainsi que les activités qui pourraient mettre l’entreprise en danger. En outre, ces outils peuvent garantir que tous les prérequis en matière de sécurité et de conformité sont respectés 24 heures sur 24 et 7 jours sur 7. Il convient également de procéder à des audits réguliers des applications et des appareils utilisés ainsi qu’à des évaluations des risques.
- Protection des données : Les entreprises utilisent diverses tactiques pour prévenir la perte ou la divulgation de données. Il s’agit notamment du VPN, du chiffrement, du masquage (chiffrement des informations d’identification) et de la sécurité de la couche de transport (TLS) pour empêcher l’écoute clandestine et la falsification des messages.
- Maintenance : Il est essentiel de maintenir la redondance et les sauvegardes complètes de données stockées ailleurs. De nombreux fournisseurs de services intègrent ces éléments dans leurs abonnements. De plus, la mise à jour et l’application de correctifs de sécurité sont généralement prises en charge par le prestataire de services, mais les départements informatiques internes sont chargés d’appliquer les correctifs à leurs propres services.
Quels sont les avantages de la sécurité du cloud ?
La capacité à atténuer les menaces profite à l’entreprise, qui peut ainsi continuer à mener ses opérations à plein régime malgré les risques liés à l’utilisation des services cloud. Les principaux avantages de la sécurité du cloud se résument à ce qu’elle empêche : les utilisateurs non autorisés et les activités malveillantes. Voici un ensemble d’avantages liés à la mise en œuvre d’un programme de sécurité du cloud.
- Prévention des attaques DDoS : Grâce à des outils de surveillance, d’analyse et d’atténuation permanentes, les programmes de sécurité du cloud peuvent enrayer la menace croissante de ces attaques sophistiquées.
- Protection des données : Comme les données des utilisateurs sont isolées des applications, les données sensibles sont regroupées dans un endroit sécurisé où l’accès est systématiquement contrôlé.
- Meilleure visibilité : Avec un programme intégré de sécurité du cloud, le service informatique utilise un point unique à partir duquel il peut surveiller toute l’activité, au lieu d’avoir à surveiller plusieurs clouds.
- Disponibilité accrue : Grâce aux redondances intégrées à la sécurité du cloud, les ressources et les applications sont toujours en service et prêtes à l’emploi.
- Conformité réglementaire : En chiffrant automatiquement les données pendant leur transmission et en contrôlant leur accès lorsqu’elles sont stockées, les entreprises respectent les réglementations gouvernementales et celles du ministère de la Défense.
- Continuité de l’activité : Les redondances intégrées à la sécurité du cloud protègent non seulement les données et les ressources contre les intervenants malveillants, mais elles permettent également de garantir la continuité des opérations malgré les interruptions météorologiques et électriques.
Quels sont les défis à relever en matière de sécurité du cloud ?
Le volume et le rythme des déploiements du cloud augmentent, tout comme les risques pour les ressources globales placées dans le cloud. Les sociétés utilisent souvent plusieurs clouds en même temps, avec différents clouds pour différentes fonctions, ce qui multiplie encore ces risques. Voici quelques-uns des défis que présente la sécurité du cloud.
- Manque de visibilité – En plaçant autant de ressources et d’activités hors site et dans le cloud, les équipes informatiques ont une faible visibilité sur chaque point d’accès. Leur contrôle est beaucoup plus facile à assurer lorsque tout se déroule sur site.
- Attaques DDoS – Le nombre record d’attaques par déni de service distribué (DDOS) met à rude épreuve tous les intervenants concernés par le cloud, notamment les fournisseurs et les abonnés. La vitesse et l’agilité nécessaires ne cessent d’augmenter et la charge doit être répartie entre les entreprises et les fournisseurs.
- Besoins d’intégration – Pour réduire le risque de flux d’informations sensibles avec les services cloud et y transitant, il est indispensable que les services cloud intègrent la prévention des pertes de données sur site. Les équipes informatiques doivent procéder à une classification manuelle ou automatisée de données avant même de les télécharger vers le cloud, et conserver les contrôles d’autorisation des utilisateurs en interne.
- Menaces internes – Parfois, la menace vient des utilisateurs internes, que ce soit intentionnel ou accidentel. Pour atténuer ce risque, les équipes informatiques doivent adopter une approche à trois volets :
– restriction des données sensibles aux seuls appareils gérés ;
– exploitation de l’analyse comportementale pour surveiller l’activité ;
– formation régulière des utilisateurs.
Risques associés à la sécurité du cloud
Le cloud computing offre de nombreux avantages, mais les entreprises doivent aussi faire face à diverses menaces de sécurité pour protéger leurs actifs numériques. Voici les principaux risques liés à la sécurité du cloud.
- Violations de données
– Risques – Les risques associés au cloud computing tiennent à l’exposition des données sensibles, aux accès non autorisés, au vol et à la divulgation dus à des violations. Les attaquants peuvent exploiter les vulnérabilités des services cloud ou un stockage mal configuré.
– Types de violations de données – Les violations de données peuvent résulter d’événements internes, souvent provoqués par des paramètres mal configurés ou des restrictions d’accès insuffisantes, ou bien d’agressions externes, au cours desquelles des pirates informatiques compromettent l’infrastructure cloud.
- Accès non autorisés
– Risques – Un accès non autorisé est l’accès de personnes ou d’organisations aux ressources cloud sans l’autorisation requise. Il peut en résulter une altération des données, un vol ou des interruptions de service.
– Types d’accès non autorisé – Les techniques courantes d’accès non autorisé comprennent le vol de données d’identification, ainsi que l’exploitation des procédures d’authentification faibles ou des failles de sécurité des plateformes cloud. Des restrictions d’accès insuffisantes et une mauvaise gestion des autorisations des utilisateurs peuvent accroître ce danger.
- Menaces internes
– Risques – Les menaces internes sont des actes nuisibles commis par des personnes ayant un accès légitime à l’environnement cloud. Il peut s’agir d’employés, de sous-traitants ou de partenaires qui abusent de leurs pouvoirs ou causent des dommages.
– Types de menaces internes – Outre les actes involontaires tels que les clics sur des liens d’hameçonnage, les utilisateurs internes malveillants peuvent délibérément divulguer des informations confidentielles. Ils peuvent utiliser leur pouvoir à des fins de gain financier, de vengeance ou d’espionnage, ce qui rend difficile l’identification des auteurs et l’évitement des attaques.
Une authentification forte, le chiffrement, des contrôles d’accès et une surveillance continue sont impératifs pour atténuer ces menaces. Afin de faire face à l’évolution des problèmes de sécurité du cloud, les entreprises doivent rester vigilantes, renforcer leur sécurité et sensibiliser les utilisateurs.
Meilleures pratiques en matière de sécurité du cloud
Dans le cadre du cloud computing, les entreprises doivent mettre en œuvre de solides mesures de sécurité afin de protéger leurs données et processus essentiels. Voici les meilleures pratiques en matière de sécurité du cloud.
- Définir des mots de passe complexes
Importance – Les mots de passe complexes constituent la première ligne de sécurité contre les accès non autorisés. Ils protègent les comptes d’utilisateurs de la plateforme cloud contre les accès illégaux.
Conseils pour créer des mots de passe complexes :
- utilisez des lettres majuscules et minuscules, des chiffres et des symboles ;
- évitez les informations faciles à deviner, comme les dates d’anniversaire ou les expressions courantes ;
- veillez à ce que chaque compte soit associé à un mot de passe unique ;
- mettez régulièrement vos mots de passe à jour et évitez les séquences faciles à deviner.
- Mettre en place une authentification multifactorielle (MFA) :
Importance – L’authentification multifactorielle renforce la sécurité en ligne en exigeant des utilisateurs qu’ils fournissent plusieurs formes d’identification. Cela permet d’éviter considérablement les accès non désirés, même avec des informations d’identification compromises.
Types d’authentification multifactorielle :
- codes e-mail ou messages textuels, c’est-à dire codes à usage unique délivrés à une adresse électronique ou à un numéro de téléphone portable enregistré ;
- authentification biométrique, par reconnaissance numérique des empreintes digitales, du visage ou de la rétine ;
- jetons matériels, ou dispositifs physiques générant des codes valables pour une courte durée ;
- authentification par application, soit utilisation d’applications mobiles telles qu’Authy ou Google Authenticator.
- Sauvegarder régulièrement les données :
Importance – La perte de données peut résulter de cyberattaques, de problèmes d’appareils ou de suppressions accidentelles. Des sauvegardes régulières permettent aux entreprises de récupérer leurs données et de rétablir leurs activités rapidement dans cette situation.
Méthodes de sauvegarde :
- planifier des sauvegardes automatiques fréquentes pour limiter la perte de données ;
- réaliser des sauvegardes hors site, notamment dans le cloud, pour éviter les défaillances à point unique ;
- instaurer une gestion des versions, en sauvegardant les fichiers plusieurs fois pour éviter leur corruption.
Le respect de ces bonnes pratiques renforce la sécurité du cloud. Les entreprises doivent donner la priorité à l’authentification des utilisateurs, à la sécurité des données et à la reprise après sinistre pour concevoir une architecture cloud robuste, capable de résister à l’évolution du monde numérique. Un système cloud sécurisé requiert une surveillance constante et une capacité d’adaptation aux nouvelles menaces de sécurité.
Comment HPE aide-t-elle ses clients en matière de sécurité du cloud ?
La sécurité zero trust remet en question la stratégie basée sur le périmètre en présumant que les attaques peuvent provenir aussi bien de l’intérieur que de l’extérieur du réseau d’une entreprise ou organisation. Cela est particulièrement important pour la sécurité du cloud, car les données et les services sont répartis dans plusieurs environnements.
La sécurité zero trust implique l’authentification de toute personne cherchant à accéder à une ressource, indépendamment de sa localisation ou de sa connectivité réseau. L’informatique cloud est dynamique. Par conséquent, une authentification forte, des restrictions d’accès et une surveillance continue sont nécessaires.
La mise en œuvre de l’approche zero trust dans le cadre de la sécurité du cloud repose sur plusieurs principes clés :
- se concentrer sur les identités des utilisateurs et sur une authentification solide pour fournir l’accès ;
- accorder aux utilisateurs autorisés l’accès minimum nécessaire pour qu’ils puissent accomplir leur travail, afin de réduire l’effet d’une compromission des identifiants ;
- surveiller l’activité des utilisateurs et le trafic réseau en temps réel pour détecter de possibles anomalies et problèmes de sécurité ;
- empêcher les violations et limiter les mouvements latéraux au sein de l’infrastructure, en microsegmentant le réseau en sections plus petites et plus isolées.
L’approche zero trust de la sécurité du cloud part du principe que la confiance ne doit jamais être présumée et que les mesures de sécurité doivent être continuellement appliquées, actualisées et validées pour s’adapter au paysage de menaces changeant de l’écosystème numérique. Cette méthode proactive renforce les infrastructures cloud contre les menaces externes et internes, en les protégeant contre des risques de cybersécurité en constante évolution.
L’approche zero trust en matière de sécurité du cloud
Hewlett Packard Enterprise (HPE) propose une large gamme de solutions et de services pour aider ses clients à améliorer leur sécurité dans le cloud. Voici un aperçu de la manière dont HPE relève les défis de la sécurité du cloud grâce à ses différentes offres.
- HPE GreenLake est une suite de solutions cloud et as-a-service qui vous fait bénéficier d’une expérience cloud dans tous les environnements où résident vos applications et vos données : edge, datacenter, colocation ou cloud public. HPE GreenLake s’appuie sur une architecture zero trust de l’edge au cloud pour combler les lacunes et limiter les violations en matière de sécurité. Cette plateforme protège la chaîne logistique numérique, et garantit la sécurité et la conformité via une stratégie de cyberrésilience et de protection des données basée sur les risques et la conformité.
- HPE Managed Security aide les entreprises à appliquer les normes de sécurité en vigueur en leur donnant la visibilité et le contrôle requis pour protéger leurs processus, grâce à des outils complets qui réduisent les coûts et libèrent des ressources humaines. HPE Managed Security fournit des outils d’administration, de visibilité et de contrôle sur une infrastructure présécurisée afin de vous permettre d’aborder la sécurité de manière globale. En conjuguant architecture de sécurité intégrée et surveillance continue, cette solution facilite la mise en œuvre d’un framework zero trust ainsi que la détection et le traitement des failles de sécurité.
- Combinant surveillance de la conformité, recommandations de remédiation proactives et accès à un expert conformité de confiance, HPE Managed IT Compliance est un service géré qui vous permet de localiser et corriger les failles de sécurité ainsi que de protéger vos données et applications. En utilisant des procédures basées sur des normes et des technologies de pointe, HPE Managed IT Compliance permet aux entreprises de garder une longueur d’avance sur les obligations de conformité croissantes, ainsi que de minimiser le temps de préparation, les coûts et la complexité des audits. HPE Managed IT Compliance assure également la conformité des clients au RGPD et au CCPA.
- HPE Data Protection protège vos données contre les attaques par ransomware et autres menaces grâce à une protection continue des données qui garantit une réplication permanente au lieu d’instantanés. Un chiffrement intégré assure en outre la sécurité des données de sauvegarde, où qu’elles se trouvent.
- HPE Zero Trust Security est une solution conçue pour aider les entreprises à mettre en œuvre un framework zero trust de l’edge au cloud. HPE Zero Trust Security offre une visibilité et un contrôle granulaires pour protéger les données, les appareils, les personnes et les applications contre les attaques. Elle vous permet également de réduire la surface d’attaque, d’identifier et contrer les menaces, ainsi que d’automatiser les opérations de sécurité.
- HPE Aruba Networking ClearPass Policy Manager fournit un contrôle d’accès réseau fondé sur les rôles et les appareils pour les salariés, les sous-traitants et les visiteurs sur les infrastructures multifournisseurs filaires, sans fil et VPN. ClearPass prend en charge des fonctionnalités de libre-service sécurisées pour le confort des utilisateurs finaux. Ces derniers peuvent configurer leurs propres appareils ou leur accès internet pour un usage professionnel.