L’explosion de la consommation d’infrastructures et de services cloud impose d’adopter une approche hybride. A la condition de minimiser le risque de perte de données !
Quand les environnements informatiques étaient normalisés, les stratégies de protection pouvaient s’appliquer de manière plutôt cohérente. Puis sont venus la virtualisation, les infra privées et publiques, le cloud, le SaaS, la mobilité… Il en résulte un environnement hybride, dans lequel la cohérence et le contrôle ne peuvent s’appliquer que sur certaines parties.
En environnement hybride, les risques de perte de données sont bien réels. Voici 5 risques et comment les atténuer :
1Utilisateurs à privilège non contrôlés
Panama Papers, WikiLeaks, Snowden, Anthem..., dans toutes ces affaires un utilisateur a abusé intentionnellement de ses droits, avec un résultat désastreux. L’utilisation des accès à privilège doit se faire en cohérence avec les systèmes en place, tout comme les contrôles.
- Authentification à deux facteurs pour les données sensibles ;
- Gestion des applications à privilèges qui limite et enregistre les sessions à privilèges ;
- Gouvernance des accès à privilèges pour détecter les comptes orphelins, ceux qui ont un accès excessif par rapport à leurs pairs, et ceux qui se situent en dehors de la politique.
2Incohérences dans la gouvernance et la gestion de accès
Entre les solutions en SaaS, IaaS et PaaS, les accès ouverts aux partenaires, et la pratique du shadow IT, l’intégration entre les environnements cloud et distribués, les environnements hybrides sont souvent l’objet de contournements sur les contrôles et les politiques permissives. Pour appliquer de façon cohérente et assurer les politiques de visibilité sur les accès à privilèges, une approche centralisée est nécessaire.
- Extension de la gouvernance et l'administration des identités à tous les environnements, ainsi que l’analyse des valeurs aberrantes ;
- Connexion unique administrée de manière centralisée, quel que soit le lieu d'exécution de l'application ;
- Intégration avec les systèmes RH, afin que l'accès puisse être attribué et révoqué de manière cohérente.
3Procédures de réponse aux incidents qui n'incluent pas les fournisseurs de services
Pour minimiser les dommages en cas d’attaque, les entreprises ont investi dans les processus de surveillance et de réponse aux incidents. Mais dans les environnements hybrides ont-elles pris en compte les fournisseurs de services ? Et si ces derniers ont des contrôles plus élevés, leur interaction en cas de violation est toujours possible.
- Définir où se termine la responsabilité du fournisseur de services en matière de sécurité et où la sécurité de l'entreprise commence ;
- Mettre en place des exercices qui comprennent la communication avec les fournisseurs de services et l'interaction avec leur personnel ;
- Surveillance de l'accès aux services de cloud et à toutes les données pertinentes que le fournisseur de cloud offre.
4Cryptographie irrégulière des applications
La cryptographie des données stockées est une option proposée par les fournisseurs de cloud. Les données sensibles qui transitent doivent également être cryptées. La difficulté consiste à appliquer cette politique avec cohérence sur l’ensemble des environnements hybrides, et en particulier sur le partage de fichiers.
- Application cohérente à travers l'environnement informatique hybride et à travers le cycle de vie des données ;
- Transparence jusqu’à l'utilisateur final afin qu'il ne cherche pas à contourner les contrôles ;
- Prise en charge des données structurées et non structurées.
5Configurations mal entretenues
Les configurations, les systèmes et les applications doivent être créés conformément aux règles en vigueur. Ils doivent être corrigés et mis à jour dès que de nouvelles vulnérabilités sont détectées. Et en application des nouvelles règles de gouvernance, un registre doit être tenu à disposition des vérificateurs pour démontrer l’application des politiques, quelle que soit l’infrastructure et où qu’elle se trouve.
- Des alliances étroites entre les équipes d'exploitation qui gèrent l'automatisation du déploiement des serveurs et les responsables de la maintenance des stratégies de sécurité ;
- Formation des équipes opérationnelles sur les points à rechercher dans la couverture de l'environnement hybride ;
- Gestion de la configuration qui inclut des analyses automatisées pour les configurations hors de la stratégie, compatible avec le cloud et le datacenter.
Source : Virtual Strategy
Image d’entête 856935482 @ iStock sidop