Comment faire face aux défis de la cybersécurité dans le nuage?

Les défis de la cybersécurité sont un enjeu de taille de nos jours, comme nous le rappelle la multiplication par 4 du nombre d’attaques par des pirates informatiques depuis la pandémie de coronavirus1. Une manière efficace pour y répondre est le modèle de John McCumber, mieux connu sous le nom de « Cube de la cybersécurité ».

Or, comment celui-ci s’adapte-t-il aux technologies infonuagiques? Tour de la question de l’angle des contre-mesures du cube : politiques & bonnes pratiques, personnes et technologies.

Le Security-as-Code (SaC) comme pratique gagnante

Une pratique gagnante à implanter dans son entreprise dans le but de sécuriser applications et systèmes infonuagiques est celle du Security-as-Code (SaC). Par opposition à l’Infrastructure-as-Code (IaC), axée sur l’automatisation et la prévention des erreurs manuelles, le SaC va plus loin et intègre les politiques de sécurité aux programmes de déploiement IaC2. Un exemple d’une telle politique pourrait contrôler le nom de l’utilisateur administrateur d’une base de données lors de la définition de celle-ci dans le programme IaC afin de s’assurer qu’il n’est pas simplement « admin. »

Le défi du SaC? Développer puis maintenir l’engin capable de scanner tous les programmes IaC et y appliquer les politiques.

Capitalisez sur vos employés grâce au DevSecOps

La philosophie DevOps visant à unifier les employés effectuant le développement d’une application « Dev » avec celles qui en font l’opération « Ops », est bien connue des entreprises ayant effectué le virage agile. N’est cependant pas le cas de la philosophie DevSecOps, qui vient y ajouter les équipes effectuant la sécurisation [3]. Le bénéfice recherché? Maintenir la cadence de livraison accélérée par les équipes DevOps sans compromettre l’application des contrôles ou encore augmenter les risques liés aux nouveaux déploiements. Toutefois, notons que ces philosophies sont d’abord et avant tout établies sur la responsabilisation des employés et non pas des outils tendance et logiciels nouveaux genres.

4 technologies de bases dans le nuage à maîtriser

L'entreprise IBM définit 4 technologies de bases qu’il faudrait maîtriser afin de poser les bonnes bases technologiques en vue de la sécurisation de son nuage [4] :

  1. La gestion des identités et accès (IAM), qui se matérialise en octroyant ou restreignant l’accès aux utilisateurs via leur identité numérique, et ce, lors de toutes les interactions de ces derniers avec de la donnée.
  2. La prévention de la perte de données (DLP), qui cherche à garantir la sécurité des données réglementées grâce, entre autres, au chiffrement au repos de celles-ci. 
  3. La gestion des informations et événements liés à la sécurité (SIEM), qui permet aux équipes de sécurité d’automatiser la surveillance ainsi que la détection de vulnérabilités dans le nuage. 
  4. Les solutions de reprise après sinistre, qui sont la dernière base essentielle puisqu’elles permettent à l'entreprise de rapidement récupérer les données perdues et de reprendre ses activités lorsqu’une panne survient.

Vous aimeriez aller plus loin sur le sujet? Genium360 offre une formation : La cybersécurité : le rôle central de l’humain.

Sources

  1. https://www.aspeninstitute.org/events/fight-back-how-to-stop-cyber-criminals-during-the-pandemic/
  2. https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/security-as-code-the-best-and-maybe-only-path-to-securing-cloud-applications-and-systems
  3. https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/agile-reliable-secure-compliant-it-fulfilling-the-promise-of-devsecops
  4. https://www.ibm.com/ca-fr/topics/cloud-security

 

Abonnez-vous à nos infolettres pour ne rien manquer