Quelques Considérations de sécurité pour le « cloud hybride ».
Jean-Yves Mathieu
RSSI (CRISC, ISO 27001 - Lead Auditor) KeyNote Speaker Master in Information System Security Management, NIS2 & DORA
Même si votre infrastructure, vos applications et vos données sont éteintes dans le cloud, ne pensez pas que vous pourrez échapper aux règles de conformité. Vous êtes toujours responsable de ces données.
Si au niveau de la sécurité de votre réseau de votre société vous avez toutes les ‘’cartes en main’’, les choses sont beaucoup plus compliquées quand il s’agit de la sécurité au niveau du « cloud ».
Il faut faire attention quant à l'impact global sur la sécurité des données et ce qui peut être fait à ce sujet.
Alors que de plus en plus d’entreprises se dirigent vers des architectures de « cloud hybrides », il faut prendre en compte plusieurs considérations quant à la sécurité des données.
Conformité des données
Avant même de déplacer des données ou/et des applications vers un fournisseur de service cloud, assurez-vous de bien comprendre toutes les règles de conformité relatives à vos données. Si vous traitez des informations relatives à la santé des patients ou encore des données de carte de crédit des clients, si vous travaillez avec des données réparties dans plusieurs pays, souvenez-vous qu’en dernier, c’est le cloud client qui doit prouver que le niveau minimal pour sécuriser les données est respecté. Dans de nombreux cas, votre fournisseur de cloud vous dira qu'il répond aux normes de conformité, mais vérifiez quand même.
Gestion de la stratégie multi-cloud
Ce n’est pas parce que vous avez la main sur vos politiques et procédures de sécurité au sein de votre centre de données que vos données vont être transférées facilement vers le cloud. L'objectif principal d'un « cloud hybride » est d'être en mesure de configurer et de maintenir une politique de sécurité uniforme à travers l'ensemble du réseau. Cela comprend la politique d'infrastructure, tels que les règles de pare-feu, IPS, signatures et identification/authentification de l'utilisateur. Mais malheureusement, c'est souvent plus facile à dire qu'à faire surtout lorsqu'il s'agit d'un ou plusieurs fournisseurs de services de cloud computing.
Les fuites de données
Le problème le plus urgent pour les administrateurs de sécurité des données est de protéger la visibilité des données dans un ‘’cloud hybride’’. Une chose importante avant de commencer quoi que ce soit est de décider où les données vont être stockées. Faites attention, car il peut être facile de perdre la trace sans la visibilité appropriée. Ainsi, lorsque vous déplacez des données sensibles vers votre fournisseur de services ‘’cloud’’, procédez à la surveillance nécessaire afin de pouvoir tracer l’emplacement de vos centres de données et les flux de trafic entrant et sortant.
Chiffrement de vos données
De toute évidence, une excellente façon de contribuer à la protection de vos données est le chiffrement de celles-ci. Cependant, n’oubliez pas de protéger vos données ‘’en mouvement’’, je veux dire lorsque vous les déplacez de votre réseau vers votre ‘’cloud hybride’’. Les méthodes de chiffrements disponibles varient d'un fournisseur à l'autre. Donc, si vous avez planifié de chiffrer vos données en place, il vous faudra comprendre les méthodes de chiffrement proposées et trouver les fournisseurs de cloud qui pourront vous fournir la version appropriée à vos besoins.
Conclusion
Heureusement, tous les problèmes de sécurité que je viens de mentionner ont une solution. La partie difficile va être d'identifier le plus rapidement possible vos besoins en matière de sécurité afin que vos idées, les choix techniques ainsi que le choix de votre fournisseur soient réalisés avant de débuter le déploiement de votre ‘’cloud hybride‘’ en production. Prenez votre temps, déterminer une stratégie et ensuite passez à l'exécution. En respectant ceci, vous devriez obtenir à la fin un « cloud hybride » incroyablement puissant qui fonctionne, et est qui devrait être facile à gérer, mais surtout, et pour moi ce qui devrait être le plus important, c’est un ‘’cloud hybride’’ sécurisé.
Si vous avez besoin de plus d'iformation, vous pouvez m'envoyer vos questions à l'adresse suivante : jy.mathieu@aubay.lu