D’après les études, la plupart des incidents de sécurité dans le nuage sont dus à un manque de connaissances de la part des utilisateurs. À moins d’avoir une stratégie globale et cohérente, la complexité du multicloud aggrave ces difficultés. Voici huit bonnes pratiques pour minimiser les risques.
Après des années de stratégie cloud first, les entreprises se sont tournées ver des stratégies multicloud pour des raisons qui semblent évidentes à présent. Aucun fournisseur cloud unique, aussi immense soit-il, n’est à l’abri d’une interruption de service. En mai 2019, une panne de DNS a touché un large éventail de services Microsoft Azure : Azure Active Directory, SharePoint et OneDrive étaient inaccessibles pendant 2 heures, suite à une mise à jour ratée. Le 22 octobre 2019, c’était au tour des services S3 d’AWS qui étaient en rade, pour cause d’attaque DDoS. Ceci sans citer les exemples d’innombrables fournisseurs locaux.
Avec le multicloud, les entreprises profitent des avantages de plusieurs fournisseurs, préservent leur souveraineté sur leurs données, répartissent les risques en cas d’indisponibilité et profitent de la concurrence pour obtenir de meilleurs tarifs. Cependant, le multicloud n’est pas la panacée. Il porte en lui ses propres désavantages comme la complexité de la gestion de plusieurs fournisseurs (erreurs de configuration, difficulté de planification des coûts, multiplication des outils, manque de compétences, etc.).
Le facteur humain est le principal risque de sécurité
Même si ses vertus restent plus conséquentes que ses peines, le multicloud doit être abordé avec la prudence indispensable pour sauvegarder la sécurité. Car en définitive, la plupart des incidents de sécurité sont imputables à un manque de connaissances, voire de compétences, de la part des utilisateurs. La myriade d’options de configuration peut augmenter la probabilité d’erreur de l’utilisateur. D’après le Gartner, d’ici 2025, 90 % des organisations qui ne parviendront pas à contrôler l’utilisation du cloud public partageront de manière involontaire des données sensibles. De plus, dans l’environnement concurrentiel du cloud, les fournisseurs améliorent constamment leurs services, compliquant le suivi des modifications.
Voici les huit meilleures pratiques que préconise Checkpoint, l’éditeur de solutions de sécurité, pour un usage plus sécurisé du multicloud.
1Synchroniser les politiques et les paramètres
Si vous utilisez le multicloud pour la disponibilité, avec des opérations identiques sur deux nuages, les mêmes paramètres de sécurité doivent être maintenus sur les deux. Cela peut être réalisé en synchronisant les politiques et les paramètres entre les fournisseurs.
2Utilisez des politiques de sécurité différentes pour chaque service
Si votre organisation utilise différentes applications, des politiques de sécurité individuelles doivent être créées pour chaque service. Par exemple, si vous envisagez de mettre en place un nouveau service de veille stratégique, il convient d’examiner en premier lieu les avantages qu’il y a à le développer sur chaque plateforme. Les politiques de sécurité doivent ensuite être basées sur la plateforme choisie.
3Automatisez, automatisez, automatisez
L’utilisation d’un système qui automatise diverses tâches réduit le facteur de risque humain et vous permet de rester agile. Mais assurez-vous d’aborder l’automatisation non seulement du point de vue DevOps, mais plus largement en adoptant une vision DevSecOps, afin de garantir que la sécurité soit une considération et un moteur essentiels tout au long du processus.
4Choisissez les bons outils
Trouvez des outils et des produits qui vous permettent de synchroniser vos politiques de sécurité entre différents fournisseurs. Vos politiques de sécurité doivent être rédigées en termes généraux, les outils les interprétant en fonction du mode de fonctionnement de vos différents fournisseurs.
5Établissez une surveillance consolidée
Établir une stratégie de surveillance de la sécurité qui consolide les journaux, les alertes et les événements de différentes plateformes en un seul endroit. Les outils qui remédient automatiquement aux problèmes ou qui fournissent des conseils sur les stratégies de remédiation sont encore meilleurs.
6Cultivez la conformité
Trouvez des outils pour vous aider à maintenir la conformité de manière cohérente et efficace sur différentes plateformes.
7Établissez un point de contrôle unique
Simplifiez-vous la vie en utilisant un guichet unique, qui donne aux administrateurs un point d’accès et de contrôle unifié pour gérer la sécurité des applications et des données dans tous leurs déploiements sur le cloud.
8Réduisez au minimum le nombre de solutions de sécurité
Disperser sa sécurité entre plusieurs solutions individuelles c’est prendre le risque qu’elles ne s’intègrent pas entre elles. Chacune de ces solutions nécessite du personnel spécialisé ainsi que des intégrations et des déploiements individualisés. Cela ajoute à la complexité et augmente la probabilité d’erreur.
Source : Checkpoint