Les défis de sécurité du cloud sont d'une classe à part. Et ils varient considérablement en fonction du type de cloud que vous utilisez. Un cloud public, un cloud privé et un cloud hybride présentent tous des défis spécifiques. Pour simplifier au maximum, nous allons principalement nous en tenir à tous les défis de sécurité liés au cloud auxquels les organisations sont susceptibles d'être confrontées.
Défi de sécurité du cloud n° 1 : Gestion des environnements complexes
Aujourd'hui, l'infrastructure informatique des entreprises modernes est généralement un mélange d'environnements multicloud ou hybrides dispersés dans quelques pays, surtout dans un contexte mondial. La gestion globale de l’ensemble n’est pas facile, notamment en matière de sécurité.
Il faut des outils capables de maîtriser tous ces environnements différents de manière sûre, même sur plusieurs continents dans certains cas. Dans un tel contexte, des dérapages peuvent se produire. Il est donc essentiel que vous utilisiez les outils d'un fournisseur qui vous permette de gérer tout cela sans risque.
Un seul paramètre mal configuré quelque part peut permettre à un acteur malveillant de violer vos défenses. Et il lui suffit de le faire une seule fois. Votre système de défense doit être opérationnel 24h/24 et 7j/7, car la moindre erreur peut être exploitée.
Défi de sécurité du cloud n° 2 : Conformité aux lois et règlements
Aux États-Unis, il y a le Health Insurance Portability and Accountability Act (HIPAA) couvrant la santé et l’assurance maladie. En Californie, il y a le California Consumer Privacy Act (CCPA), la loi californienne sur la protection de la vie privée des consommateurs. Dans l'UE, il y a le GDPR ou règlement général sur la protection des données.
En fonction de la profession elle-même, de l'endroit où vous exercez votre activité et, en outre, des données que vous traitez, ce sont des lois auxquelles vous devez vous conformer. Les lois de ce type rendent souvent obligatoire la divulgation des violations de données et vous tiennent pour responsable du stockage des données en toute sécurité.
Par exemple, pour le GDPR, les amendes peuvent aller jusqu'à 20 millions d'euros ou jusqu'à 4 % de votre chiffre d'affaires annuel mondial. Les amendes prévues par l'HIPAA sont également assez lourdes, avec un maximum de 25 000 USD par catégorie de violation et par année civile. En résumé, ce n’est pas le genre de risque que vous voulez prendre. Internet n’oublie jamais rien, et les dommages causés à votre marque persisteront pendant des années.
Il est donc judicieux de choisir des outils qui vous permettent d'obtenir un contrôle absolu de votre environnement, qu'il s'agisse d'un seul cloud public, d'un seul cloud privé, d'un environnement multicloud ou hybride.
Défi de sécurité du cloud n° 3 : Vous êtes une cible facile
Dans le monde des logiciels qui évolue rapidement, où les exploits de type « zero-day » sont vendus pour une petite fortune et où les bugs connus du public servent à traquer les logiciels qui ne sont pas actualisés dans les jours qui suivent leur sortie, vous êtes une cible facile.
Quel que soit le type d'environnement cloud que vous exploitez, des acteurs malveillants voudront accéder à vos données sensibles pour les vendre, gagner en notoriété ou peut-être même extorquer d'autres personnes. En tout cas, ils savent où chercher, ont tout le temps d'essayer différents angles d'attaque et ils leur suffit d'une tentative pour réussir.
Ils peuvent essayer de prendre pied avec des logiciels malveillants via l’hameçonnage, que ce soit par l'intermédiaire de vos employés ou de vos fournisseurs. Ils peuvent prendre le contrôle de vos comptes par l'entremise d'employés qui utilisent peut-être le même mot de passe facile pour tous leurs comptes, y compris en rendant publiques les données du dernier piratage. À l'heure actuelle, certains acteurs malveillants vont jusqu'à mener des attaques de grande envergure sur la chaîne d'approvisionnement.
Nous savons que c’est difficile. C’est pourquoi vous avez besoin des meilleurs outils disponibles pour sécuriser votre environnement cloud.
Défi de sécurité du cloud n° 4 : Manque de visibilité
Nous avons évoqué précédemment l'immense tâche consistant à assurer la sécurité de votre environnement cloud. Et cela ne se résume pas à la création d'un environnement moins complexe.
Plus l'entreprise ou l'organisation est grande et ancienne, plus vous devez travailler avec des logiciels existants ou une méthode particulière pour exécuter un processus spécifique qui n'est pas compatible avec les nouveaux outils cloud que vous utilisez actuellement pour ce processus.
L'environnement peut rapidement devenir si complexe que vous n'arrivez plus à voir la vue d'ensemble ni les informations détaillées.
C'est là que tout se dégrade, car ce manque de surveillance et de vision signifie que vous ne pouvez pas tout mettre à jour et que vous ne savez pas ce qui est ou n'est pas mal configuré.
Pour reprendre le contrôle, vous devez avoir un aperçu détaillé de chaque actif de votre environnement cloud.
Défi de sécurité du cloud n° 5 : Trop de privilèges pour les utilisateurs
Les rôles et les privilèges sont généralement configurés au sens large par les fournisseurs de logiciels pour s'assurer que leur produit est facile à utiliser. Si vous ne les affinez pas ou ne les reconfigurez pas dans la mesure du possible, des utilisateurs ou rôles spécifiques risquent d'avoir trop de privilèges.
Vous ne voulez pas que des utilisateurs inexpérimentés puissent causer des dommages importants, comme supprimer des actifs de la base de données ou avoir accès à des contrôles de sécurité essentiels.
Cela va jusqu'au niveau du dispositif. Vous ne voulez pas donner à un stagiaire commercial un compte d'utilisateur sur son ordinateur portable avec des privilèges d'administrateur, au risque de causer des dommages importants.
Défi de sécurité du cloud n° 6 : Accès non sécurisé
En ce qui concerne les utilisateurs réguliers et leurs dispositifs, cela peut être un motif d'inquiétude. Que se passe-t-il si le stagiaire est en vacances en Thaïlande et qu'il se connecte via un point d'accès pirate qu'il confond avec le WiFi public de l'aéroport ? Si ce compte n'est pas doté d'un système d'authentification automatique, l'opérateur du point d'accès pirate dispose désormais du même niveau d'accès à votre entreprise que le stagiaire.
Il se peut que rien ne se passe, mais de nos jours, les noms d'utilisateur et les mots de passe sont facilement vendus en ligne à des parties intéressées qui peuvent vouloir nuire.
Puisque nous parlons de mots de passe, ils présentent des risques réels pour la sécurité des organisations. Selon le rapport d’enquête 2021 sur les compromissions de données (DBIR) de Verizon, plus de 80 % des violations impliquent des informations d'identification faibles ou volées. Il est donc important de créer des mots de passe forts et d'utiliser de préférence l'authentification multifactorielle (AMF). Dans ce blog, je vous en dis plus sur le problème des mots de passe et je vous donne quelques conseils concrets pour améliorer vos mots de passe.
Protégez votre cloud
Voulez-vous savoir comment (mieux) sécuriser votre environnement cloud ? Nous proposons plusieurs services et outils pour sécuriser votre cloud, comme le CASB et le SD-WAN managé.