Qu’est-ce que la sécurité du cloud ?

Apprenez-en davantage sur les technologies, les procédures, les stratégies et les contrôles permettant de protéger vos systèmes et données basés sur le cloud.

Définition de la sécurité du cloud

La sécurité du cloud est une discipline de la cybersécurité qui se concentre sur la protection des systèmes et des données du cloud contre les menaces internes et externes. Elle englobe les bonnes pratiques, les stratégies et les technologies qui aident les entreprises à prévenir les accès non autorisés et les fuites de données. Lors de l’élaboration d’une stratégie de sécurité du cloud, les entreprises doivent prendre en compte quatre types d’environnements de cloud computing :

 

Environnements de cloud public

Sont gérés par des fournisseurs de services cloud. Dans ce type d’environnement, les serveurs sont partagés par plusieurs locataires.

 

Environnements de cloud privé

Peuvent se trouver dans un centre de données appartenant au client ou géré par un fournisseur de services cloud publics. Dans les deux cas, il s’agit de serveurs à un seul locataire et les organisations n’ont pas à partager l’espace avec d’autres entreprises.

 

Environnements de cloud hybride

Combinaison de centres de données locaux et de clouds tiers.

 

Environnements multicloud

Incluent deux ou plusieurs services cloud exploités par différents fournisseurs de services cloud.

 

Quel que soit le type d’environnement ou la combinaison d’environnements utilisés par une organisation, la sécurité du cloud vise à protéger les réseaux physiques, y compris les routeurs et les systèmes électriques, ainsi que les données, le stockage des données, les serveurs de données, les applications, les logiciels, les systèmes d’exploitation et le matériel.

Pourquoi la sécurité du cloud est-elle importante ?

Le cloud fait désormais partie intégrante de la vie en ligne. Non seulement il facilite la communication et les activités numériques, mais il stimule également l’innovation au sein des organisations. Cela dit, lorsque des amis partagent des photos, que des collègues collaborent sur un nouveau produit ou que des gouvernements fournissent des services en ligne, il n’est pas toujours évident de savoir où les données sont stockées. Par inadvertance, les utilisateurs peuvent déplacer des données vers un emplacement moins sécurisé, et comme tout est accessible par Internet, les risques d’accès non autorisés à ces données augmentent.

 

La confidentialité des données est également de plus en plus importante pour les citoyens et les gouvernements. Des réglementations telles que le Règlement général sur la protection des données (RGPD) et la loi américaine HIPAA (Health Insurance Portability Accountability Act) exigent des organisations qui collectent des informations qu’elles le fassent de manière transparente et qu’elles mettent en place des stratégies pour empêcher le vol ou l’utilisation abusive des données. Le non-respect de ces réglementations peut entraîner des amendes coûteuses et nuire à la réputation de l’organisation.

 

Pour rester compétitives, les organisations doivent continuer à utiliser le cloud afin d’itérer rapidement et de faciliter l’accès aux services pour les employés et les clients, tout en protégeant les données et les systèmes contre les menaces suivantes :

  • Comptes compromis : Les attaquants ont souvent recours à des campagnes d’hameçonnage pour voler les mots de passe des employés et accéder aux systèmes et aux ressources les plus précieuses de l’entreprise.
  • Vulnérabilités matérielles et logicielles : Qu’une organisation utilise un cloud public ou privé, il est essentiel que son matériel et ses logiciels soient à jour et que les correctifs les plus récents y aient été appliqués.
  • Menaces internes : L’erreur humaine est un facteur important de violation de la sécurité. Les erreurs de configuration peuvent créer des ouvertures pour les personnes malveillantes, et les employés cliquent souvent sur des liens malveillants ou déplacent malencontreusement des données vers des emplacements moins sécurisés.

Comment fonctionne la sécurité du cloud ?

La sécurité du cloud repose sur un modèle de responsabilité partagée entre les fournisseurs de services cloud et leurs clients. La responsabilité varie en fonction du type de services proposés :

 

Infrastructure as a service

Dans ce modèle, les fournisseurs de services cloud proposent des ressources de calcul, de réseau et de stockage à la demande. Le fournisseur est responsable de la sécurisation des services informatiques de base. Les clients doivent sécuriser tout ce qui se trouve au-dessus du système d’exploitation, y compris les applications, les données, les runtimes, les intergiciels et le système d’exploitation lui-même.

 

Platform as a service

De nombreux fournisseurs proposent également un environnement complet de développement et de déploiement dans le cloud. Ils sont alors responsables de la protection des runtimes, des intergiciels et du système d’exploitation, en plus des services informatiques de base. Les clients, quant à eux, doivent protéger leurs applications, leurs données, l’accès utilisateur, ainsi que les appareils et les réseaux des utilisateurs finaux.

 

Software as a service

Les organisations peuvent également accéder à des logiciels reposant sur un modèle de paiement à l’utilisation, comme Microsoft Office 365 ou Google Drive. Dans ce modèle, il incombe aux clients d’assurer la sécurité de leurs données, utilisateurs et appareils.

 

Quel que soit le responsable, les quatre principaux piliers de la sécurité du cloud sont les suivants :

  • Limitation des accès : Dans la mesure où le cloud permet d’accéder à tout par Internet, il est extrêmement important de veiller à ce que seules les bonnes personnes aient accès aux bons outils au bon moment.
  • Protection des données : Les organisations doivent savoir où se trouvent leurs données et mettre en place les contrôles appropriés pour protéger à la fois les données proprement dites et l’infrastructure où elles sont hébergées.
  • Récupération des données : Une bonne solution de sauvegarde et un bon plan de récupération des données sont essentiels en cas de violation de la sécurité.
  • Plan de réponse : Lorsqu’une organisation est attaquée, il lui faut un plan pour réduire l’impact de l’attaque et empêcher que d’autres systèmes ne soient compromis.

Types d’outils de sécurité du cloud

Les outils de sécurité du cloud traitent les vulnérabilités provenant des employés et des menaces externes. Ils permettent également d’atténuer les erreurs qui surviennent pendant le développement et de réduire le risque que des personnes non autorisées accèdent à des données sensibles.

  • Gestion de la posture de sécurité cloud

    Les erreurs de configuration du cloud sont fréquentes et elles augmentent les risques de compromission. Beaucoup de ces erreurs sont dues au fait que les utilisateurs ne savent pas que le client est responsable de la configuration du cloud et de la sécurisation des applications. Il est également facile de faire des erreurs dans les grandes entreprises aux environnements complexes.

     

    Une solution de gestion de la posture de sécurité cloud permet de réduire les risques en recherchant en permanence les erreurs de configuration susceptibles d’entraîner une violation de la sécurité. En automatisant le processus, ces solutions réduisent les risques d’erreurs liées aux processus manuels et améliorent la visibilité dans les environnements comportant des milliers de services et de comptes. Une fois les vulnérabilités détectées, les développeurs peuvent corriger les erreurs en suivant les recommandations. En outre, la solution de gestion de la posture de sécurité cloud surveille en permanence l’environnement à la recherche d’activités malveillantes ou d’accès non autorisés.

  • Plateforme de protection de la charge de travail du cloud

    Les organisations ont mis en place des processus qui permettent aux développeurs de créer et de déployer des fonctionnalités plus rapidement, ce qui augmente le risque d’omission de certaines vérifications de sécurité pendant le développement. Une plateforme de protection de la charge de travail du cloud permet de sécuriser les capacités de calcul, de stockage et de mise en réseau nécessaires aux applications situées dans le cloud. Elle fonctionne en identifiant les charges de travail dans les environnements de cloud public, privé et hybride, et en les analysant pour détecter les vulnérabilités. Si des vulnérabilités sont découvertes, la solution propose des contrôles pour les corriger.

  • Cloud Access Security Broker

    Compte tenu de la facilité que représentent la recherche de services cloud et l’accès à ceux-ci, il n’est pas toujours simple pour le service informatique de connaître tous les logiciels utilisés au sein de l’organisation.

     

    Les solutions Cloud Access Security Broker (CASB) permettent au service informatique de gagner en visibilité en termes d’utilisation des applications cloud et fournissent une évaluation des risques pour chaque application. Ces solutions contribuent également à protéger les données et à atteindre les objectifs de conformité grâce à des outils qui montrent comment les données se déplacent dans le cloud. Les organisations utilisent également ces outils pour détecter les comportements inhabituels des utilisateurs et remédier aux menaces.

  • Identité et accès

    Il est essentiel de contrôler qui a accès aux ressources pour protéger les données situées dans le cloud. Les organisations doivent être en mesure de s’assurer que les employés, les sous-traitants et les partenaires commerciaux disposent tous du bon accès, qu’ils soient sur place ou qu’ils travaillent à distance.

     

    Les organisations utilisent des solutions de gestion des identités et des accès pour vérifier les identités, limiter l’accès aux ressources sensibles, et appliquer l’authentification multifacteur et les stratégies basées sur le principe des privilèges minimum.

  • Gestion des droits d’utilisation de l’infrastructure cloud

    La gestion des identités et des accès devient encore plus compliquée lorsque les utilisateurs accèdent à des données réparties sur différents clouds. Une solution de gestion des droits d’utilisation de l’infrastructure cloud permet à une entreprise de savoir quelles identités accèdent à quelles ressources sur ses plateformes cloud. Les équipes informatiques utilisent également ces produits pour appliquer l’accès basé sur le principe des privilèges minimum et d’autres stratégies de sécurité.

Quels sont les défis de la sécurité du cloud ?

L’interconnectivité du cloud facilite le travail et l’interaction en ligne, mais elle entraîne également des risques en matière de sécurité. Les équipes de sécurité ont besoin de solutions capables de les aider à relever les défis suivants dans le cloud :

  • Manque de visibilité sur les données

    Pour que les organisations restent productives, les équipes informatiques doivent permettre aux employés, aux partenaires commerciaux et aux sous-traitants d’accéder aux ressources et aux informations de l’entreprise. La plupart de ces personnes travaillent à distance ou en dehors du réseau de l’entreprise, et dans les grandes entreprises, la liste des utilisateurs autorisés évolue constamment. Compte tenu de grand nombre de personnes qui utilisent plusieurs appareils pour accéder aux ressources de l’entreprise sur différents clouds publics et privés, il peut être difficile de surveiller quels services sont utilisés et comment les données se déplacent dans le cloud. Les équipes techniques doivent veiller à ce que les données ne soient pas déplacées vers des solutions de stockage moins sécurisées et empêcher les personnes non autorisées d’accéder aux informations sensibles.

  • Environnements complexes

    Le cloud a facilité le déploiement de l’infrastructure et des applications. Avec une telle profusion de fournisseurs et de services, le service informatique peut choisir l’environnement qui répond le mieux aux exigences de chaque produit et service. Cela se traduit par un environnement complexe dans les clouds locaux, publics et privés. Un environnement hybride et multicloud nécessite des solutions de sécurité qui fonctionnent dans l’ensemble de l’écosystème et protègent les personnes qui accèdent à différentes ressources depuis différents emplacements. Les erreurs de configuration sont plus probables, et il peut être difficile de surveiller les menaces qui se déplacent latéralement dans ces environnements complexes.

  • Innovation rapide

    Une combinaison de facteurs a permis aux organisations d’innover et de déployer rapidement de nouveaux produits. L’intelligence artificielle, l’apprentissage automatique et l’Internet des objets ont donné aux entreprises les moyens de collecter et d’utiliser les données plus efficacement. Les fournisseurs de services cloud proposent des services à faible code et sans code pour faciliter l’utilisation de technologies avancées par les entreprises. Les processus DevOps ont raccourci le cycle de développement. Et comme une plus grande partie de leur infrastructure est hébergée dans le cloud, de nombreuses organisations ont réaffecté des ressources à la recherche et au développement. L’inconvénient de l’innovation rapide est que la technologie évolue si vite que les normes de sécurité sont souvent ignorées ou négligées.

  • Conformité et gouvernance

    Bien que la plupart des grands fournisseurs de services cloud adhèrent à différents programmes connus de certification de la conformité, il incombe toujours aux clients du cloud de s’assurer que leurs charges de travail sont conformes aux normes gouvernementales et internes.

  • Menaces internes

    Les employés constituent l’un des plus grands risques pour la sécurité d’une entreprise. De nombreuses violations de la sécurité commencent lorsqu’un employé clique sur un lien qui télécharge un logiciel malveillant. Malheureusement, les organisations doivent également se méfier des initiés qui divulguent délibérément des données.

Implémentation de la sécurité du cloud

Le choix de la bonne combinaison de processus, contrôles et technologies peut permettre de réduire le risque de cyberattaque auquel s’expose un environnement cloud.

 

Une plateforme d’applications natives du cloud comprenant une plateforme de protection de la charge de travail du cloud, une solution de gestion des droits d’utilisation de l’infrastructure cloud et une solution de gestion de la posture de sécurité cloud vous permettra de réduire les erreurs, de renforcer la sécurité et de gérer efficacement les accès. 

 

Pour soutenir votre investissement technologique, organisez régulièrement des formations afin d’aider les employés à reconnaître les campagnes d’hameçonnage et autres techniques de piratage psychologique. Faites en sorte qu’il soit facile pour les employés d’avertir le service informatique s’ils pensent avoir reçu un e-mail malveillant. Effectuez des simulations d’hameçonnage pour contrôler l’efficacité de votre programme.

 

Développez des processus qui vous aident à prévenir, détecter et répondre à une attaque. Appliquez régulièrement les correctifs logiciels et matériels afin de réduire les vulnérabilités. Chiffrez les données sensibles et élaborez des stratégies de mots de passe forts pour réduire les risques de compromission des comptes. L’authentification multifacteur rend l’accès beaucoup plus difficile pour les utilisateurs non autorisés, et les technologies sans mot de passe sont plus simples à utiliser et plus sûres qu’un mot de passe traditionnel.

 

Avec les modèles de travail hybrides qui offrent aux employés la possibilité de travailler tant au bureau qu’à distance, les organisations ont besoin d’un nouveau modèle de sécurité qui protège les personnes, les appareils, les applications et les données en tout lieu. Une infrastructure Confiance Zéro part du principe que l’on ne peut plus faire confiance à une demande d’accès, même si elle provient de l’intérieur du réseau. Pour limiter les risques, partez du principe que vous êtes victime d’une violation et vérifiez explicitement toutes les demandes d’accès. Utilisez l’accès basé sur le principe des privilèges minimum afin de ne donner aux utilisateurs que l’accès aux ressources dont ils ont besoin et à rien de plus.

Solutions de sécurité du cloud

Le cloud vous expose à de nouveaux risques en matière de sécurité, mais ceux-ci peuvent être considérablement réduits grâce à l’utilisation des solutions, processus et stratégies de sécurité du cloud appropriés. Commencez par suivre les étapes ci-dessous :

  • Identifiez tous les fournisseurs de services cloud utilisés dans l’organisation et familiarisez-vous avec leurs responsabilités en matière de sécurité et de confidentialité.
  • Investissez dans des outils tels qu’une solution Cloud App Security Broker pour gagner en visibilité sur les applications et les données utilisées par votre organisation.
  • Déployez une solution de gestion de la posture de sécurité cloud pour identifier et corriger les erreurs de configuration.
  • Implémentez une plateforme de protection de la charge de travail du cloud pour intégrer la sécurité dans le processus de développement.
  • Appliquez régulièrement les correctifs des logiciels et mettez en place des stratégies pour maintenir les appareils des employés à jour.
  • Mettez en place un programme de formation pour permettre aux employés d’être au fait des menaces et tactiques de hameçonnage les plus récentes.
  • Implémentez une stratégie de sécurité Confiance Zéro et utilisez le système de gestion des identités et des accès pour gérer et protéger les accès.

En savoir plus sur la Sécurité Microsoft

Forum aux questions

|

La sécurité du cloud repose sur un modèle de responsabilité partagée entre les fournisseurs de services cloud et leurs clients. La responsabilité varie en fonction du type de services proposés :

 

Infrastructure as a service. Dans ce modèle, les fournisseurs de services cloud proposent des ressources de calcul, de réseau et de stockage à la demande. Le fournisseur est responsable de la sécurité des services informatiques de base. Les clients doivent sécuriser tout ce qui se trouve au-dessus du système d’exploitation, y compris les applications, les données, les runtimes, les intergiciels et le système d’exploitation lui-même.

 

Platform as a service. De nombreux fournisseurs proposent également un environnement complet de développement et de déploiement dans le cloud. Ils sont alors responsables de la protection des runtimes, des intergiciels et du système d’exploitation, en plus des services informatiques de base. Les clients, quant à eux, doivent protéger leurs applications, leurs données, l’accès utilisateur, ainsi que les appareils et les réseaux des utilisateurs finaux.

 

Software as a service. Les organisations peuvent également accéder à des logiciels reposant sur un modèle de paiement à l’utilisation, comme Microsoft Office 365 ou Google Drive. Dans ce modèle, il incombe aux clients d’assurer la sécurité de leurs données, utilisateurs et appareils.

Quatre outils aident les entreprises à protéger leurs ressources dans le cloud :

  • Une plateforme de protection de la charge de travail du cloud permet de sécuriser les capacités de calcul, de stockage et de mise en réseau nécessaires aux applications situées dans le cloud. Elle fonctionne en identifiant les charges de travail dans les environnements de cloud public, privé et hybride, et en les analysant pour détecter les vulnérabilités. Si des vulnérabilités sont découvertes, la solution propose des contrôles pour résoudre les problèmes.
  • Les solutions Cloud App Security Broker permettent au service informatique de gagner en visibilité en termes d’utilisation des applications cloud et fournissent une évaluation des risques pour chaque application. Ces solutions contribuent également à protéger les données et à atteindre les objectifs de conformité grâce à des outils qui montrent comment les données se déplacent dans le cloud. Les organisations utilisent également des solutions Cloud App Security Broker pour détecter les comportements inhabituels des utilisateurs et remédier aux menaces.
  • Une solution de gestion de la posture de sécurité cloud permet de réduire les risques en recherchant en permanence les erreurs de configuration susceptibles d’entraîner une violation de la sécurité. En automatisant le processus, ces solutions réduisent les risques d’erreurs liées aux processus manuels et améliorent la visibilité dans les environnements comportant des milliers de services et de comptes. Une fois les vulnérabilités détectées, ces solutions fournissent des recommandations pour aider les développeurs à corriger les erreurs.
  • Les solutions de gestion des identités et des accès fournissent des outils qui permettent de gérer les identités et d’appliquer des stratégies d’accès. Les organisations utilisent ces solutions pour limiter l’accès aux ressources sensibles ainsi que pour appliquer l’authentification multifacteur et l’accès basé sur le principe des privilèges minimum.

Lors de l’élaboration des procédures et stratégies visant à protéger leurs clouds, les organisations doivent s’appuyer sur les quatre piliers suivants :

  • Limitation des accès : Dans la mesure où le cloud permet d’accéder à tout par Internet, il est extrêmement important de veiller à ce que seules les bonnes personnes aient accès aux bons outils au bon moment.
  • Protection des données : Les organisations doivent savoir où se trouvent leurs données et mettre en place les contrôles appropriés pour protéger l’infrastructure où les données sont hébergées et stockées ainsi que les données proprement dites.
  • Récupération des données : Une bonne solution de sauvegarde et un bon plan de récupération des données sont essentiels en cas de violation de la sécurité.
  • Plan de réponse : Lorsqu’une organisation est victime d’une violation de la sécurité, il lui faut un plan pour en réduire l’impact et empêcher que d’autres systèmes ne soient compromis.

Les organisations qui utilisent le cloud s’exposent aux risques suivants :

  • Comptes compromis : Les attaquants ont souvent recours à des campagnes d’hameçonnage pour voler les mots de passe des employés et accéder aux systèmes et aux ressources les plus précieuses de l’entreprise.
  • Vulnérabilités matérielles et logicielles : Qu’une organisation utilise un cloud public ou privé, il est essentiel que son matériel et ses logiciels soient à jour et que les correctifs les plus récents y aient été appliqués.
  • Menaces internes : L’erreur humaine est un facteur important de violation de la sécurité. Les erreurs de configuration peuvent créer des ouvertures pour les personnes malveillantes. Les employés cliquent souvent sur des liens malveillants ou déplacent malencontreusement des données vers des emplacements moins sécurisés.