Quatre points concernant la sécurité cloud que les RSSI seraient bien inspirés de faire valoir auprès de leurs conseils d’administration

0

Lorsque je rencontre des administrateurs pour aborder la question de la sécurité cloud, je m’aperçois qu’ils se répartissent généralement en deux groupes. Le premier, de moindre envergure, réunit ceux qui ne cautionnent pas la migration de leurs données d’entreprise sur des plates-formes cloud pour des questions de sécurité. Le second groupe, qui est aussi le plus important, rassemble ceux qui se disent préoccupés par la sécurité cloud, mais se sont tout de même ralliés au cloud, volontairement ou non. Leurs entreprises et ces derniers utilisent des plates-formes comme Office 365, Salesforce et Amazon Web Services, ce qui signifie qu’ils associent le cloud à un espace de stockage des données. Et s’ils ont d’ores et déjà « sauté le pas », ils n’ont pas nécessairement pesé les risques de sécurité induits par cette décision.

Quel que soit le groupe dans lequel s’inscrit votre conseil d’administration, il est primordial d’associer les RSSI à la réflexion menée sur le cloud afin qu’ils puissent exposer aux plus hauts responsables de l’entreprise les raisons pour lesquelles la sécurité ne peut être négligée. À cette fin, voici les quatre points que les RSSI seraient, à mon sens, bien inspirés de faire valoir auprès des administrateurs lors de ces entretiens (quelque peu délicats) concernant la sécurité cloud. 


  1. Le cloud est un risque comme un autre

Les conseils d’administration perçoivent plus facilement l’importance de la sécurité cloud lorsque la formulation employée fait référence aux risques encourus par l’entreprise. Les administrateurs arbitrent des risques au quotidien, dont le cloud fait partie. Dans les réflexions autour de la sécurité cloud, ils doivent se poser la même question qu’ils soulèveraient dans tout autre contexte à risques : Dans quelle mesure réduisons-nous la gravité des risques encourus par l’entreprise en déployant des données dans le cloud ?

À chaque application cloud correspond un jeu de données différent que chaque établissement devra évaluer différemment. Par exemple, si une entreprise stocke dans le cloud des documents marketing orientés grand public, les répercussions d’une éventuelle fuite documentaire ne seraient pas gravissimes. En revanche, si cette société stocke en mode cloud la bibliothèque du code source d’un nouveau produit, une fuite du code source en question aurait une incidence plus dramatique.


  1. La sécurité native d’un cloud public est insuffisante

Les conseils d’administration doivent connaître les mécanismes de base du cloud public et ses modalités de sécurisation. La quasi-totalité des opérateurs cloud intègrent, sous une forme une autre, une sécurité native à leurs plates-formes. Bien souvent, le type de sécurité proposé par ces acteurs est estimé suffisant — à tort. En fait, la sécurité cloud relève de la responsabilité partagée des entreprises et des fournisseurs de cloud public, au sens où la sécurité de l’infrastructure de la plate-forme est gérée par l’opérateur cloud et celle des données est du ressort de l’entreprise.

En réalité, les données dans le cloud ne sont ni plus, ni moins sécurisées que celles stockées par ailleurs dans l’entreprise. Par conséquent, si vous entendez renforcer la protection des données ne résidant pas dans le cloud par des mesures de sécurité supplémentaires, faites de même pour celles qui sont stockées en mode cloud. Sans compter que vos mesures de sécurité dans le cloud doivent être parfaitement intégrées au reste de votre architecture de sécurité et communiquer avec elle de manière ultra-automatisée. Ce faisant, votre entreprise a nettement plus de chances d’empêcher qu’une cyberattaque éventuelle n’entraîne une fuite de données.


  1. La sécurité cloud n’est pas un type de sécurité différent

Bien souvent, la sécurité cloud est perçue comme un « type » de sécurité différent exigeant une approche différente. Face à un interlocuteur qui exprime cette opinion, je lui pose invariablement la même question : L’idéal ne serait-il pas de gérer la sécurité des services cloud de la même manière que l’entreprise gère la sécurité à l’intérieur de son périmètre, dans le Data Center et sur les appareils mobiles ?

Non seulement c’est possible, mais s’il existe une manière d’empêcher que des cyberattaques soient menées avec succès – dans le cloud, sur le réseau ou sur des postes de travail – les conseils d’administration se doivent de cautionner une approche de gestion cohérente de la sécurité à l’échelle de l’entreprise. Les RSSI n’ignorent pas que la gestion et l’orchestration de multiples stratégies de sécurité et produits compliquent les environnements de sécurité, laissant la porte ouverte aux erreurs, risques et coûts afférents. En attirant l’attention des administrateurs sur ces risques et coûts potentiels, ceux-ci seront mieux à même d’apprécier, de cerner et, ce faisant, de hiérarchiser correctement les priorités.


  1. Le principe de prévention implique de sécuriser le cloud

Les conseils d’administration les plus novateurs qu’il m’ait été donné de rencontrer adhèrent au principe de prévention en matière de cybersécurité. Ce principe consiste à faire en sorte de jouir d’une visibilité et de protections constantes à l’échelle de l’entreprise, que ce soit au niveau du Data Center, à l’intérieur de son périmètre, sur les mobiles ou dans le cloud. Avec l’aide de leurs RSSI, ces administrateurs comprennent que, pour faire obstacle aux intrusions, l’objectif de prévention doit conditionner toute décision d’investissement dans le domaine de la sécurité. Pour convaincre leurs conseils d’administration, les RSSI doivent impérativement leur démontrer qu’une démarche de sécurité globale – sécurisation du cloud incluse – est, en définitive, à même de neutraliser les risques pour l’entreprise et de faire obstacle aux cyberattaques.

Share.

About Author

Alexandre Delcayre est actuellement Directeur Avant-Vente pour l’Europe du Sud, la Russie, CIS & Israël chez Palo Alto Networks. Il était précédemment Directeur Avant-Vente Europe du Sud chez Riverbed Technology. Il a occupé chez FalconStor Software, Auspex et Dell.... Différents postes à responsabilité dont Vice-Président Avant-Vente EMEA, Directeur Technique EMEA, Directeur Avant-Vente Europe du Sud ainsi que Product Manager au niveau mondial. Alexandre Delcayre possède des connaissances variées : sur les réseaux d’Enterprise (LAN/WAN), le stockage et la protection des données, les applications (type ERP, Messagerie, Base de Données, etc), les infrastructures Data center en général, les architectures Cloud (Privé, Public IaaS et SaaS) et plus récemment depuis plus de 2 ans la sécurité des réseaux et du poste de travail.

Leave A Reply