Qu’est-ce que la sécurité du cloud (Cloud Security) ?
Classé n° 1 en parts de marché de la plateforme de protection des applications natives du cloud pendant 6 années d'affilée
Comprendre la cloud sécurisé
La sécurité du cloud est un ensemble de procédures, de politiques et de technologies qui renforcent les environnements de calcul basés sur le cloud contre les menaces de cybersécurité potentielles. En tant que composant essentiel de l'architecture cloud, les mesures de sécurité du cloud visent à protéger les données, les applications et les services cloud contre les menaces nouvelles et existantes grâce à des contrôles et des solutions appropriés. La sécurité du cloud peut être assurée via le modèle de responsabilité partagée, dans lequel les fournisseurs de services cloud (CSP) et les clients cloud ont leurs propres aspects qu’ils devraient gérer et sécuriser.
Cloud Computing - Modèles de service cloud
Le cloud computing est la pratique consistant à accéder aux logiciels, bases de données et ressources informatiques sur Internet plutôt que de s'appuyer uniquement sur du matériel local. Cette approche permet aux entreprises d'évoluer efficacement en externalisant une partie ou la totalité de leur gestion d'infrastructure à des fournisseurs de cloud externes.
Voici quelques-uns des services de cloud computing les plus utilisés :
Infrastructure as a Service (IaaS)
Le modèle IaaS permet à une société de créer son propre data center virtuel (vDC, virtual Data Center). Un data center virtuel offre des ressources basées sur le cloud au lieu des avantages physiques qu’un data center traditionnel peut fournir. Une maintenance, des mises à jour ou une mise en service des machines physiques avec un data center virtualisé sont inutiles.
Platform as a Service (PaaS)
Le modèle PaaS fournit différentes options qui permettent aux clients de provisionner, de déployer ou de créer des logiciels.
Software as a Service (SaaS)
Avec le modèle SaaS, les clients reçoivent un logiciel qui ne requiert pas l’utilisation d’un ordinateur ni d’un serveur. Quelques-uns des exemples les plus connus sont Microsoft 365 (anciennement Office 365) et Gmail. Grâce à ces options, les clients ont simplement besoin d’un ordinateur, d’une tablette ou d’un téléphone pour accéder à chaque application. Les entreprises utilisent différents termes pour mettre en avant leurs produits, de DRaaS (récupération après sinistre) à HSMaaS (module de sécurité matérielle) en passant par DBaaS (base de données) et, enfin, XaaS (tout). Selon les produits que commercialise une entreprise, il peut être difficile de déterminer si un produit est SaaS ou PaaS. Au final, le plus important est de comprendre les responsabilités contractuelles d’un fournisseur de cloud. Les fournisseurs de cloud étendent leurs contrats pour ajouter la sécurité sur les formations cloud via des services tels que HSMaaS (module de sécurité matérielle) ou DRMaaS (gestion des droits numériques).
Modèles de déploiement cloud
Les modèles de déploiement cloud définissent la façon dont les services cloud sont gérés et accessibles en fonction des besoins d’une organisation. Chaque modèle possède différents niveaux de contrôle, d’évolutivité et de sécurité, ce qui rend essentiel de choisir le bon modèle en fonction des objectifs commerciaux.
Les quatre modèles de déploiement sont les suivants :
Cloud public
Infrastructure ouverte au public ou à un grand groupe industriel, elle fonctionne sur un modèle multi-locataire ; plusieurs utilisateurs de différentes organisations accèdent au service en même temps
disponible à l’achat pour tous. Les exemples actuels les plus connus sont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP).
Cloud privé
il est conçu pour une seule entreprise et le matériel n'est pas partagé avec d'autres. Le modèle privé peut être construit sur un cloud public ou dans votre propre data center, ou dans une entreprise spécialisée dans la création de clouds privés, c'est-à-dire un fournisseur de services managés et est inaccessible à ceux qui ne sont pas dans l'organisation, car il fonctionne sur un modèle à locataire unique ; seuls les employés d'une organisation peuvent accéder au cloud privé pour différents besoins opérationnels.
Communautaire
Implique le concept de partage entre les entreprises. Le service peut être partagé, ou les données peuvent être partagées sur ce service. Les clouds conçus par le gouvernement, partagés entre plusieurs agences, en sont un exemple.
Cloud hybride
implique l’utilisation d’au moins deux des trois modèles de déploiement répertoriés ci-dessus : publique et privé, privé et communautaire, ou public et communautaire. Par exemple, avec le privé et le public, il permet de mettre en évidence la nature fiable du cloud privé et la capacité à la demande du cloud public
Il est idéal pour les entreprises qui fournissent des services ou proposent des produits
Sécurité du cloud : Comprendre la responsabilité partagée
De manière générale, les concepts de « sécurité du cloud » par rapport à « sécurité dans le cloud » ont été lancés par Amazon pour clarifier la responsabilité partagée des fournisseurs et des clients en matière de sécurité et de conformité du cloud. Les fournisseurs sont principalement responsables de l’infrastructure physique et réseau qui composent le service cloud, puis une échelle mobile est appliquée en fonction du service cloud spécifique acheté, ce qui détermine ensuite la responsabilité de sécurité directe du client.
En termes plus pratiques, comme indiqué dans cet article « Le cloud : Ce que c’est et ce que c’est pour », les différents modèles de service cloud, l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS), déterminent quels composants, de l’infrastructure physique hébergeant le cloud jusqu’aux données créées, traitées et stockées dans celui-ci, seront la responsabilité du fournisseur ou du client, et donc qui sera responsable de les sécuriser.
La sécurité du cloud fait partie de l’offre des fournisseurs de cloud. Cela est assuré par des accords et obligations contractuels, y compris des accords de niveau de service (SLA) avec le fournisseur et le client. Les indicateurs de performance tels que la disponibilité ou la latence, ainsi que les attentes concernant la résolution des problèmes qui peuvent survenir, les capacités de sécurité documentées, et peut-être même les pénalités pour sous-performance, peuvent généralement être gérés par les deux parties grâce à la définition de normes acceptables.
Pour la plupart des utilisateurs du cloud, le reste de cette base aborde les défis, les menaces et d’autres domaines couverts par la « sécurité dans le cloud ».
Défis liés à la sécurité du cloud
Surface d'attaque accrue
L'adoption du cloud étend la surface d'attaque d'une organisation en introduisant davantage de points d'entrée pour les attaquants. Par exemple, l’utilisation de plusieurs applications SaaS peut exposer des liens faibles. Les organisations doivent adopter des principes Zero Trust, segmenter les ressources et évaluer régulièrement leur posture de sécurité pour minimiser l’exposition.
Erreurs de configuration
Les erreurs de configuration sont une cause majeure de vulnérabilités du cloud, exposant souvent des données sensibles à un accès non autorisé. Par exemple, un compartiment Amazon S3 mal configuré pourrait laisser des fichiers confidentiels accessibles au public. Les organisations peuvent éviter les erreurs de configuration en automatisant la gestion des configurations, en effectuant des audits réguliers et en formant le personnel aux bonnes pratiques.
Modèles de responsabilité partagée
Les fournisseurs de cloud sécurisent l’infrastructure, tandis que les clients sont responsables de la sécurisation de leurs données et applications. Une mauvaise compréhension de cette responsabilité partagée peut exposer des zones critiques. Par exemple, le fait de ne pas chiffrer les données stockées peut entraîner des violations. Des définitions claires des rôles, des examens approfondis des SLA et une surveillance continue sont essentiels pour atténuer ce risque.
Complexités liées à la conformité
Comprendre les exigences de conformité telles que le RGPD, l’HIPAA et la norme PCI-DSS peut être difficile dans les environnements cloud. Bien que les fournisseurs de cloud proposent souvent des outils et des cadres pour soutenir la conformité, la responsabilité ultime en matière de confidentialité et de sécurité des données incombe aux entreprises qui utilisent le cloud. Les organisations doivent travailler en étroite collaboration avec les fournisseurs pour s’assurer que les normes de conformité sont respectées, utiliser le chiffrement et d’autres mesures de sécurité pour protéger les données sensibles, et rester informées de l’évolution des réglementations pour éviter les violations potentielles.
Violations de données
La nature multitenant des environnements cloud, où plusieurs clients partagent la même infrastructure, augmente le risque de violation de données, car les vulnérabilités dans le système d’un locataire peuvent potentiellement avoir un impact sur les autres. Les attaquants peuvent exploiter des identifiants faibles, des API non sécurisées ou des vulnérabilités dans des ressources partagées pour obtenir un accès non autorisé.
Aspects clés de la sécurité de l'informatique dématérialisée
Tous les aspects d’une politique de sécurité du cloud individuelle sont importants, mais tous les fournisseurs doivent proposer certains piliers. Ils sont considérés comme essentiels et comme faisant partie des aspects les plus importants d’une infrastructure de sécurité du cloud. Il est essentiel de s'assurer que le fournisseur de votre choix couvre tous ces piliers, pour vous permettre de mettre en place la stratégie de sécurité du cloud la plus complète possible.
Surveillance constante : Les fournisseurs de sécurité du cloud peuvent offrir un aperçu des événements sur vos plateformes cloud en conservant les journaux en permanence. Si un incident se produit, votre équipe de sécurité peut inspecter les journaux internes et les comparer aux enregistrements de votre fournisseur, afin de chercher des informations sur les attaques ou modifications potentielles. Cela peut aider à détecter et à traiter rapidement les éventuels incidents.
Gestion des modifications : Votre fournisseur de sécurité du cloud doit proposer des protocoles de gestion des modifications afin de surveiller les contrôles de conformité lorsque des modifications sont demandées, que des actifs sont modifiés ou déplacés, ou que de nouveaux serveurs ou provisionnés ou mis hors service. Il est possible de déployer des applications de gestion des modifications dédiées afin de surveiller automatiquement les comportements inhabituels. Ainsi, votre équipe et vous-même pouvez agir rapidement pour atténuer et corriger ces problèmes.
Contrôles de sécurité Zero Trust : Isolez vos actifs et applications stratégiques de votre réseau cloud. En gardant les charges de travail sécurisées privées et inaccessibles, vous pouvez appliquer des politiques de sécurité qui protègent votre environnement basé sur le cloud.
Protection des données globale : votre fournisseur doit proposer une protection des données améliorée avec un chiffrement supplémentaire pour toutes les couches de transport, une bonne hygiène des données, une surveillance continue de la gestion des risques, un partage de fichiers sécurisé et des communications étanches. Pour résumer, votre fournisseur doit être extrêmement performant en matière de protection des données de votre entreprise, sous toutes les formes.
Posez-vous la question : « Quelles sont mes préoccupations ? » Cela vous aidera à déterminer les questions à poser à votre fournisseur de cloud, qui pourront vous permettre de comprendre les aspects les plus importants à garder à l’esprit.
Pourquoi choisir Trend Vision One™– Cloud Security ?
Cloud Security fait évoluer la sécurité des data centers aux charges de travail cloud, aux applications et aux architectures cloud natives, en fournissant une protection, une gestion des risques, ainsi qu’une détection et une réponse multi-cloud, le tout basé sur une plateforme.
Passez des produits uniques déconnectés à une plateforme de cybersécurité complète, offrant une étendue et une profondeur de fonctionnalités inégalées : CSPM, CNAPP, CWP, CIEM, EASM et bien plus encore. Beaucoup plus.
Dites adieu à la détection et aux inventaires morcelés. Cette console unique, dotée de capteurs natifs et de sources tierces, offre une visibilité hybride et multicloud complète pour déterminer quels actifs peuvent être exposés aux attaques.
La première plateforme de cybersécurité qui évalue et hiérarchise les risques pour les actifs sur site et cloud, d'après la probabilité d’impact potentiel des attaques. Mappez les risques de plusieurs sources de données dans un seul et même index pour mieux surveiller vos améliorations.
Articles associés
Recherches associées