Gestion de la sécurité du cloud: 8 étapes pour évaluer les fournisseurs de cloud

Le cloud computing offre de nombreux avantages aux entreprises, mais il est peu probable que ces avantages se concrétisent s’il n’existe pas de stratégies appropriées de protection de la sécurité et de la confidentialité des données lors de l’utilisation du cloud.

Lors de la migration vers le cloud, les entreprises doivent bien comprendre les risques de sécurité potentiels associés au cloud computing et définir des attentes réalistes avec les fournisseurs.

Les 8 étapes suivantes aideront les responsables informatiques et les responsables des entreprises à analyser les implications en matière de sécurité de l’information et de confidentialité du cloud computing et de la gestion de la sécurité cloud sur leur activité.

Gestion de la sécurité du cloud

1. Assurer une gouvernance et une conformité efficaces

La plupart des organisations ont des politiques et procédures de sécurité, de confidentialité et de conformité pour protéger leur propriété intellectuelle et leurs actifs.

En plus de cela, les organisations devraient établir un cadre de gouvernance formel qui définit les chaînes de responsabilité, d’autorité et de communication.

Ceci décrit les rôles et les responsabilités des personnes impliquées, comment elles interagissent et communiquent, ainsi que les règles et politiques générales.

2. Opération d’audit et processus métier

Il est important de vérifier la conformité des fournisseurs de systèmes informatiques hébergeant les applications et les données dans le cloud.

Il y a trois domaines importants qui doivent être vérifiés par les clients du service cloud: l’environnement de contrôle interne d’un fournisseur de services cloud, l’accès à la piste d’audit d’entreprise et la sécurité du service de cloud computing.

3. Gérer les personnes, les rôles et les identités

L’utilisation du cloud signifie qu’il y aura des employés du fournisseur de services cloud pouvant accéder aux données et aux applications, ainsi que des employés de l’organisation qui effectuent des opérations sur le système des fournisseurs.

Les organisations doivent s’assurer que le fournisseur dispose de processus qui déterminent qui a accès aux données et à l’application du client.

Le fournisseur doit permettre au client d’attribuer et de gérer les rôles et les autorisations pour chacun de ses utilisateurs.

Le fournisseur doit également disposer d’un système sécurisé pour gérer les identifications uniques pour les utilisateurs et les services.

4. Bonne protection des données

Les données sont au cœur de toutes les préoccupations de sécurité informatique pour toute organisation. Le cloud computing ne change pas cette préoccupation mais apporte de nouveaux défis en raison de la nature du cloud computing.

La sécurité et la protection des données tant au repos qu’en transit doivent être assurées.

5. Appliquer les règles de confidentialité

La confidentialité et la protection des informations personnelles et des données sont cruciales, d’autant plus que de nombreuses grandes entreprises et institutions financières souffrent de violations de données.

La confidentialité des informations personnelles est liée à des données personnelles détenues par une organisation, qui pourraient être compromises par négligence ou bogues.

Il est essentiel que les exigences de confidentialité soient traitées par le fournisseur de services cloud. Si ce n’est pas le cas, l’organisation devrait envisager de chercher un autre fournisseur ou de ne pas placer de données sensibles dans le nuage.

6. Évaluer les considérations de sécurité pour les applications cloud

Les entreprises protègent en permanence leurs applications métier contre les menaces internes et externes.

La sécurité des applications pose des problèmes à la fois au fournisseur et à l’organisation et, selon le type de modèle de déploiement dans le cloud (IaaS, PaaS ou SaaS), il existe différentes considérations de stratégie de sécurité.

7. Les réseaux et les connexions en nuage sont sécurisés

Les fournisseurs de services cloud doivent autoriser le trafic réseau légitime et bloquer le trafic malveillant. Malheureusement, les fournisseurs de services cloud ne sauront pas quel trafic réseau leur client prévoit d’envoyer et de recevoir.

Par conséquent, les organisations et les fournisseurs doivent travailler ensemble pour définir des mesures de sécurité et fournir les outils nécessaires pour protéger le système.

8. Évaluer les contrôles de sécurité et l’infrastructure physique

La sécurité d’un système informatique repose également sur la sécurité de l’infrastructure physique et des installations. Les organisations doivent avoir l’assurance du fournisseur que les contrôles appropriés sont en place.

Les infrastructures et les installations doivent être gardées dans des zones sécurisées et protégées contre les menaces externes et environnementales.

Par exemple, les imprimantes physiques doivent être verrouillées ou déplacées dans une zone d’accès contrôlé. Protégez davantage l’accès en utilisant une appliance de sécurité d’impression réseau pour exiger l’authentification de l’utilisateur pour l’accès à l’imprimante afin d’éliminer les failles de sécurité et de réduire les coûts d’impression.

Au fur et à mesure que les entreprises migrent leurs applications et données vers le cloud computing, il est essentiel de maintenir la protection de la sécurité et de la confidentialité dont elles disposaient dans leur environnement informatique traditionnel.