Lorsque vous stockez des données sensibles sur un serveur cloud tiers, il est impératif que cet hôte tiers soit conforme à toutes les normes réglementaires de protection et de confidentialité des données. Les hébergeurs de cloud ont des certifications de conformité et des audits spécifiques qu'ils doivent passer pour garantir la cybersécurité, mais il incombe à l'organisation de trouver le bon fournisseur en fonction des exigences de cybersécurité du secteur d'activité.

Les organismes de santé, financiers et gouvernementaux, par exemple, doivent trouver des fournisseurs de services en cloud conformes à diverses normes industrielles. Si un fournisseur fait appel à un hôte non conforme, l'entreprise pourrait être tenue de payer des pénalités et des frais élevés après une violation des données.

Cloud Computing et sécurité des données

Les infrastructures multi-cloud ne sont pas rares pour les grandes entreprises. Les organisations tirent parti d'un stockage en cloud efficace, rapide et abordable, mais cela augmente leur surface d'attaque.

Une grande partie du risque dépend de la manière dont le cloud computing est intégré dans l'environnement actuel. Un cloud public peut être ouvert aux utilisateurs en dehors du périmètre (par exemple, les applications des clients ou les employés en déplacement), ce qui en fait une cible pour les mauvais acteurs.

L'infrastructure de cloud hybride combine un cloud privé et un cloud public. Cette configuration présente donc également ses propres risques de sécurité qui doivent être atténués.

Un fournisseur de cloud énumérera les garanties de conformité dans son accord de niveau de service (SLA), mais c'est à l'entreprise d'auditer les fournisseurs et de s'assurer que les données transférées vers des solutions tierces sont sûres. Les exigences que vous devez respecter dépendent de l'infrastructure que vous prévoyez d'exploiter.

Si vous prévoyez de travailler uniquement avec le stockage en cloud, alors le fournisseur doit avoir mis en place une sécurité pour vous protéger de la divulgation des données. En revanche, l'utilisation d'une infrastructure en tant que service (IaaS) permet d'intégrer les ressources du cloud dans les procédures quotidiennes ; il faut donc prévoir une gestion des accès, une surveillance et une détection des intrusions appropriées.

Les défis de la sécurité du cloud

La plupart des normes réglementaires prévoient des sanctions pour les organisations jugées négligentes après une violation de la sécurité. Par exemple, les violations de l'HIPAA coûtent aux organisations entre 100 et 50 000 dollars par violation (par enregistrement), en fonction de l'analyse d'un auditeur au cours des enquêtes médico-légales.

La norme PCI-DSS, qui supervise les transactions des commerçants (par exemple, les paiements par carte de crédit en ligne), impose aux entreprises des amendes allant de 5 000 à 100 000 dollars par mois jusqu'à ce que le commerçant remédie à toutes les violations.

La principale difficulté pour de nombreuses entreprises est qu'elles ne disposent pas d'un expert en mesure de les guider vers une conformité adéquate en matière de cloud computing. La première étape consiste à comprendre quelle norme de conformité au cloud couvre les données que vous stockez ou que vous allez transférer vers un hôte cloud. Il en existe plusieurs à prendre en compte, mais voici quelques-unes des plus courantes :

Après avoir identifié les données et les normes de conformité applicables à votre entreprise, l'étape suivante consiste à déterminer la manière dont les données seront stockées, transférées, affichées et archivées.

L'un des aspects clés de chaque norme de conformité est la surveillance requise pour tout système. Une piste d'audit est également essentielle pour déterminer qui a accédé aux données et quand. Par exemple, chaque fois qu'un utilisateur accède à un dossier financier ou médical, le nom du compte de l'utilisateur, les données auxquelles il a accédé, l'adresse IP de l'appareil utilisé et l'heure à laquelle il a accédé doivent être enregistrés dans une piste d'audit.

Trouver le bon fournisseur de services d'informatique en cloud

Le bon fournisseur d'informatique en cloud possède toutes les caractéristiques de sécurité des informations nécessaires à la conformité de l'informatique en cloud. La plupart des fournisseurs de cloud computing ont une responsabilité partagée, ce qui signifie que le fournisseur promet de garder l'infrastructure sécurisée et offre les bons outils de sécurité, mais qu'il incombe au client de configurer et de sécuriser ses données.

Les fournisseurs de cloud computing ont leurs propres normes de conformité qu'ils doivent respecter, mais les organisations doivent rechercher un fournisseur qui offre les bons outils. Ces outils vous permettent de mettre en œuvre la bonne sécurité des informations, les normes de stockage, les fonctions de surveillance et la structure de journalisation qui suivent les normes de conformité.

Gestion des identités et des accès

L'accès aux données doit suivre le principe du moindre privilège, mais il faut quand même trouver un moyen de gérer l'accès des utilisateurs. L'accès des utilisateurs doit être accordé et révoqué selon les besoins, y compris l'accès physique aux données.

Les accès physiques et virtuels sont tout aussi importants. Un fournisseur de cloud computing disposera de contrôles de sécurité physiques, mais il incombe à l'organisation de gérer correctement les autorisations et l'accès aux données à l'aide des contrôles du cloud computing. Ces contrôles doivent consigner chaque fois qu'un utilisateur s'authentifie dans le système, accède aux données et échoue à s'authentifier.

Surveillance et notifications

Tout fournisseur de services en cloud conforme a mis en place des dispositions pour surveiller le trafic réseau. Les données sensibles auxquelles on accède trop souvent ou pour lesquelles plusieurs demandes d'accès ont échoué doivent donner lieu à une alerte envoyée à un administrateur qui peut examiner et analyser le problème.

Dans les environnements de grandes entreprises, plusieurs composants peuvent interagir. Ces composants doivent également être surveillés en tant que vecteur d'attaque potentiel lors d'une violation de données.

Détection et prévention des intrusions

Dans les menaces persistantes avancées, les attaquants conservent l'accès à l'infrastructure pendant des mois. Il ne faut que quelques minutes à un attaquant pour exfiltrer des données, de sorte que le fait de disposer de plusieurs mois pour compromettre divers systèmes peut être dévastateur pour l'organisation. La détection et la prévention des intrusions permettent de stopper les brèches avant qu'elles ne se produisent.

Il ne suffit pas d'avoir ces systèmes en place. Vous pouvez disposer de tous les composants nécessaires à la sécurité de l'information et les configurer, mais comment savoir s'ils sont efficaces contre une attaque réelle ? L'organisation doit procéder à des tests de pénétration en utilisant des tests automatisés et manuels pour s'assurer que les fonctions de sécurité sont correctement configurées et mises en œuvre. Les logiciels doivent être soumis à des tests de pénétration afin d'éviter toute compromission due aux vulnérabilités des applications internes.

Solutions supplémentaires importantes pour la cloud compliance

Un bon fournisseur de services en cloud dispose de plusieurs centres de données dans le monde entier pour assurer la fiabilité et l'intégrité. L'emplacement physique de ces centres de données et de l'endroit où sont stockées vos données est un autre facteur de conformité, mais les centres de données doivent également être situés à proximité de la principale base de clients de l'organisation et des lieux de travail des employés. La géolocalisation la plus proche de la plupart des utilisateurs améliorera la vitesse pour ces derniers.

Le fait de disposer de plusieurs centres de données offre également une meilleure fiabilité, et de nombreux fournisseurs de cloud computing offrent une disponibilité de 100 % grâce aux multiples contrôles de basculement entre les centres de données. Même avec la fiabilité et la stabilité offertes par les fournisseurs de cloud computing, la corruption des données et les failles de sécurité peuvent nécessiter une reprise après sinistre.

Un plan de reprise après sinistre décrit toutes les étapes à suivre en cas de sinistre, afin que la reprise puisse se faire en douceur et le plus rapidement possible, sans perte de données. Les plans de reprise après sinistre sont exigés dans certaines normes de conformité du cloud.

Enfin, le chiffrement doit être l'un des principaux facteurs de sécurité dans le transfert et le stockage des données. En fonction des données stockées, les dispositifs de stockage doivent être chiffrés. Le transfert de données sur le réseau doit toujours être chiffré pour éviter les attaques de type “man-in-the-middle” (MitM) et la compromission. Les mots de passe, les secrets, les jetons d'accès, les clés API et toute donnée privée permettant d'accéder au système doivent également être chiffrés.

Évitez de stocker ces données dans des fichiers non chiffrés dans les répertoires d'applications et les dépôts de codebase.

Examinez les accords de niveau de service (SLA) et parlez-en à votre fournisseur

L'accord de niveau de service (SLA) d'un fournisseur détaillera toutes les garanties et assurances offertes aux clients, mais lorsque vous avez besoin de protections spécifiques, il est préférable de contacter un fournisseur et de lui demander s'il offre des fonctions de sécurité spécifiques.

N'oubliez pas que les fournisseurs ont une responsabilité partagée avec votre organisation. Ainsi, les fournisseurs vous fournissent les outils et la fiabilité, mais la configuration adéquate relève de la responsabilité du personnel informatique de l'organisation.

Une fois que vous avez déployé toutes les ressources, effectuez toujours des tests de pénétration des composants de sécurité à l'aide d'outils manuels et automatisés. Vous vous assurerez ainsi que vos données sont protégées contre les exploits courants et complexes. Grâce à la surveillance, un attaquant ayant un accès non autorisé devrait être détecté et une notification envoyée aux administrateurs.

Supports de sensibilisation à la conformité

Nos supports de sensibilisation à la conformité offrent un excellent moyen de renforcer la formation sur les mots de passe, de réduire les risques posés par les utilisateurs finaux et de protéger les données sensibles. N'attendez plus pour les essayer !

Qu'est-ce que la conformité informatique (IT compliance) ?

Découvrez la définition de la conformité informatique ou IT compliance, ces directives à suivre pour garantir la sécurité des processus d’une organisation.

Qu'est-ce que le contrôle de conformité ?

Les normes de conformité se sont étendues pour protéger les données et la confidentialité des utilisateurs, ce qui rend vital le contrôle de la conformité.

Services de conformité et d'archivage Proofpoint

Les Services de conformité et d'archivage Proofpoint mettent à votre disposition une équipe d'experts pour vous aider à évoluer efficacement dans le paysage complexe de la conformité et de l'archivage, en perpétuelle mutation.

Plateforme Proofpoint Information and Cloud Security

Face à la mobilité des effectifs et à l'adoption croissante des applications cloud, les collaborateurs sont devenus le nouveau périmètre de sécurité.