Powered By Blogger

Rechercher sur ce blogue

samedi 29 avril 2017

Les règles d’or de la sécurité dans le cloud




Sécurité : À l’heure de migrer vos données vers le cloud, examinez avec attention l’environnement proposé par votre fournisseur. Pour éviter les mauvaises surprises, quelques bonnes pratiques de sécurité doivent immanquablement figurer dans le cahier des charges.


Le cloud a pendant longtemps été perçu comme un risque pour les données. Après des années de maturation, et poussés par une demande accrue du marché, les principaux CSP (Cloud Service Provider) ont donc bâti des plateformes plus solides que ce que la plupart des entreprises peuvent se targuer de posséder en interne. Malgré tout, face à la multitude de solutions disponibles, les responsables IT peinent parfois à identifier le partenaire le plus à même d’héberger leurs données en toute sécurité. Pour y voir plus clair, voici 5 règles d’or que tout bon prestataire se doit de respecter.

Règle n°1 : centralisation

Après l’âge d’or du mainframe, l’informatique s’est tournée vers un modèle essentiellement distribué et décentralisé. Une transformation qui a permis aux utilisateurs de gagner en productivité mais qui a généré de véritables défis en termes de sécurité. Il suffit pour s’en convaincre de considérer le nombre de DSI qui bataillent quotidiennement pour sécuriser l’utilisation des appareils mobiles ou limiter le shadow IT. Une plateforme de gestion de contenus dans le cloud, comme celle que peut proposer Box, permet de recentraliser l’information, de façon à mieux la contrôler et à réduire au maximum la surface d’attaque à protéger. Tout l’arsenal de défense contre les intrusions (DLP, SIEM, chiffrement…) peut être concentré sur ce périmètre. Les utilisateurs et terminaux accédant à la plateforme peuvent également être facilement authentifiés et l’utilisation des données maîtrisée grâce à l’importante granularité des autorisations.

Règle n°2 : confidentialité

Si l’accès non autorisé aux données de l’entreprise doit évidemment être parfaitement verrouillé, l’utilisation des informations par le fournisseur doit lui aussi être strictement encadré. Pour assurer le bon fonctionnement de la solution, celui-ci doit accéder à certaines informations, qu’il s’agisse de renseignements fournis par le client pour la création de comptes ou à des fins de communication par exemple, comme d’informations collectées automatiquement pour surveiller l’état du service. La collecte, l’utilisation, le stockage ou encore le transfert à des tiers de ces informations ne peut se faire qu’en toute transparence vis-à-vis de l’utilisateur et avec son consentement. Pour s’en assurer, un examen attentif de la politique de confidentialité et des BCR (Binding Corporate Rules) permettent de vérifier le caractère « privacy by design » de l’offre.

Règle n°3 : conformité

Chaque entreprise évolue dans un environnement réglementaire qui lui est propre et qui associe des contraintes de différents niveaux : politique interne, règlementation sectorielle, légalisation nationale, droit international… Concrètement, une banque n’évolue pas dans le même cadre qu’un établissement de santé, qui lui-même diffèrera d’une université. C’est pourquoi il existe certains référentiels fondamentaux sur lesquels les entreprises, selon la nature des données qu’elles manipulent, peuvent s’appuyer pour vérifier la conformité d’un service cloud. Pour une société comme Box, qui vise à centraliser toute la gestion des contenus d’une entreprise, la certification PCI DSS garantit par exemple sa capacité à stocker des données de cartes bancaires, de même que la norme HIPAA démontre son aptitude à traiter des données de santé. Les normes ISO 27001 et ISO 27018 sont quant à elles des standards en matière de protection des données et des informations personnelles. Avant d’aller vers le cloud, les entreprises doivent donc s’assurer que le fournisseur dispose de certifications en adéquation avec leur activité mais aussi qu’il assure une veille continue sur les évolutions réglementaires. En mai 2018 entrera notamment en vigueur le nouveau Règlement Général sur la Protection des Données (RGPD/GDPR) de l’Union Européenne. Autant s’assurer dès maintenant que le service désiré en respectera les principes.

Règle n°4 : gouvernance

La sécurité des données dans le cloud passe par une gouvernance efficace et cohérente. La mise à disposition de données de n’importe où et à partir de n’importe quel device ne doit pas être synonyme de prise de contrôle anarchique sur le patrimoine informationnel de la société. Le fournisseur doit pouvoir donner à l’administrateur principal la capacité de réguler les droits d’accès, d’édition ou de suppression des documents, de déléguer certains pouvoirs, d’automatiser l’application de politiques de sécurité ou encore de journaliser les évènements. L’objectif pour le DSI est de conserver la main sur l’intégralité du cycle de vie d’un contenu, au moment de sa création (allocation d’espaces de stockage, localisation des données, etc.), lors de son utilisation (authentification des utilisateurs, intégration aux applications métier, etc.), et jusqu’à son retrait (planning de conservation, suppression automatique, etc.).

Règle n°5 : écosystème

L’imagination des pirates pour s’introduire dans un système d’information est sans limite. De nouvelles techniques font constamment leur apparition et obligent les fournisseurs à proposer des contre-mesures adaptées. Mais face à la diversité des risques, la combinaison de différentes solutions s’impose. Plus que des fonctionnalités de protection, c’est un véritable écosystème de sécurité que doit offrir une solution cloud, particulièrement lorsque celle-ci vise à permettre à tous les collaborateurs d’une entreprise de collaborer autour de fichiers parfois critiques pour le business. La plateforme Box peut ainsi renforcer sa sécurité en s’associant à un DLP comme celui de Symantec, en analysant ses logs via une solution SIEM comme Sumo Logic, Domo ou Splunk, ou encore en s’intégrant dans les outils de gestion de la mobilité comme AirWatch ou MobileIron. La solution cloud a beau être externalisée, elle est ainsi pleinement intégrée à la stratégie de sécurité globale de l’entreprise.
 
 
 
Source.:

Aucun commentaire: