Sécurité cloud
Une question d’affaires
Utilisez le nuage, mais sans perdre le contrôle.
L’utilisation des services cloud est une mégatendance en informatique. La plupart des entreprises ont déjà sous-traité ou sont sur le point d’externaliser des parties de leur itE vers le cloud. Cela risque de perdre le contrôle des données et des processus, car vous n’avez aucune certitude quant à qui a accès aux données et aux systèmes dans le cloud. La sécurité cloud est le moyen qui permet à une entreprise d’utiliser le cloud sans souci.
Défi
Pratiquement aucune entreprise ne peut se passer de services informatiques. Avec la numérisation continue des processus d’affaires, la dépendance à l’informatique devient encore plus grande. En outre, la complexité des systèmes informatiques, tant du côté matériel que du côté logiciel, augmente et donc les coûts de l’informatique.
Les services cloud offrent un moyen de sortir de ce dilemme. L’utilisation des services cloud est de plusieurs avantages, notamment :
- Utilisation de logiciels standard qu’une entreprise seule n’aurait pas pu développer; un certain nombre de (grands) fabricants n’offrent leurs logiciels que comme services cloud, une tendance qui s’accroît;
- Variabilisation des coûts informatiques par le biais du principe de la rémunération à l’utilisation;
- réduction des coûts informatiques, car le développement, l’exploitation et la maintenance des systèmes n’ont pas à être financés par eux-mêmes.
Pour une entreprise, l’utilisation de services cloud signifie l’externalisation de systèmes et de données importants vers un cloud; il élargit massivement ses propres limites de système, et elles deviennent diffuses.
Cela pose un dilemme majeur dans la gestion d’entreprise :
D’une part, il veut /doit aller au cloud afin de suivre la numérisation. D’autre part, il y a un risque de perdre le contrôle sur l’informatique. Et à une époque où l’informatique est un facteur critique de réussite, elle risque la réputation ou même l’existence de l’ensemble de l’entreprise.
La solution à ce dilemme est l’objectif de la sécurité cloud.
Approche
La sécurité cloud est plus qu’un simple outil
Cloud Security n’est pas un outil qui peut être installé et tous les risques associés à l’utilisation des services Cloud sont inclus. Cloud Security est un ensemble de mesures individuelles qui doivent être coordonnées. Une bonne sécurité cloud est basée sur une approche stratégique et résulte d’une combinaison de codes de conduite, de processus et d’outils coordonnés.
Identifier les risques d’utilisation du cloud
La protection contre les risques ne peut être assurée que si une entreprise connaît les risques. En informatique, le terme « vecteurs d’attaque » a été formé; chaque vecteur est une approche de la façon dont un attaquant peut accéder illégalement aux systèmes et aux données dans le cloud. Des exemples bien connus de ces vecteurs d’attaque incluent l’hameçonnage, les réseaux de bots, les logiciels malveillants, les attaques DDoS. Les services cloud sont exposés à des vecteurs d’attaque spécifiques. Ceux-ci doivent être déterminés de manière structurée afin de concevoir un bouclier résilient.
Les spécialistes de l’e3 connaissent les vecteurs d’attaque de la théorie et de la pratique. L’expérience acquise grâce à de nombreux projets est intégrée à ces analyses.
Définir les mesures de protection
De nombreux fournisseurs de cloud offrent une bonne protection contre les attaques au niveau technique (réseau, système d’exploitation, bases de données). Cependant, ils ne couvrent qu’une partie des vecteurs d’attaque connus. Au niveau de l’application et des données, la sécurité est beaucoup plus difficile à atteindre. Une entreprise doit donc se protéger contre de nombreuses menaces. À quoi sert un réseau crypté lorsque les employés transfèrent des données sensibles à une application cloud non sécurisée ?
L’e3 analyse les vecteurs d’attaque pertinents avec vos spécialistes et dérive des mesures de protection spécifiques. Les mesures comportementales (p. ex. les campagnes de sensibilisation) sont combinées à des processus (adaptation des processus au cloud) avec un ensemble d’outils appropriés de l’e3 et d’autres fournisseurs (détection des technologies de l’ombre, cryptage, etc.).
Contrôle et optimisation du succès
l’e3 continuera d’accompagner ses clients après la mise en œuvre des mesures de protection pour s’assurer que les objectifs de protection ont été atteints. En outre, de nouveaux vecteurs d’attaque apparaissent constamment, c’est une course entre les pirates et les experts en cyberdéfense. Il est important d’analyser les nouveaux développements en temps voulu et d’adapter les mesures de protection aux nouvelles menaces.
Client
L’informatique devient de plus en plus complexe, malgré ou à cause de l’utilisation des services cloud. Dans le même temps, une seule entreprise peut réduire la capacité de ses propres spécialistes en TI en utilisant des servicescloud. En outre, les spécialistes de la sécuritéinformatique sont coûteux et une ressource rare sur le marché du travail.
L’e3 dispose d’un bassin d’experts éprouvés ensécurité informatique. Non seulement ils sont bien éduqués, mais ils ont aussi une expérience pratique dans la sécurité cloud qu’ils ont acquis dans de nombreux projets clients.
l’e3 a développé des concepts qui servent de base à l’analyse des scénarios de menace et des mesures de défense. Par exemple, le concept de « Communauté fermée » fournit un cadre pour protéger les données sensibles sur l’ensemble de son cycle de vie numérique, des appareils d’utilisateur final (incl. BYOD) au stockage et à l’utilisation dans diverses unités organisationnelles et législatures selon le principe de la nécessité de savoir.
Crispin Tschirky
Crispin Tschirky possède de nombreuses années d’expérience dans la cybersécurité, le système et l’architecture d’applications. Ses connaissances techniques et méthodologiques approfondies dans les domaines les plus divers – en particulier en ce qui concerne l’utilisation sûre du cloud – vous aideront à rendre votre environnement informatique plus sûr et à utiliser le cloud en toute sécurité.
Réservez une interview d’expert.
Voulez-vous en savoir plus sur la sécurité en nuage ou sur l’un de nos autres domaines clés ? Réservez maintenant un entretien d’experts avec Crispin Tschirky ou l’un de nos autres experts.
Crispin Tschirky
Crispin Tschirky possède de nombreuses années d’expérience dans la cybersécurité, le système et l’architecture d’applications. Ses connaissances techniques et méthodologiques approfondies dans les domaines les plus divers – en particulier en ce qui concerne l’utilisation sûre du cloud – vous aideront à rendre votre environnement informatique plus sûr et à utiliser le cloud en toute sécurité.
Contactez nos experts
Vous n’êtes pas connecté. Inscrivez-vous pour entrer en contact avec nos experts :
Cyril Marti
Cyril Marti est né à Zurich en 1977. Il vit près de Berne, est marié et père d’une fille. Cyril Marti a obtenu sa maîtrise en informatique en 2005 en mettant l’accent sur l’intelligence artificielle.
Au cours de ses études, Cyril Marti a travaillé comme consultant informatique dans des mandats pour divers clients. Il a ensuite conseillé de grandes entreprises dans le domaine de l’entreposage de données avant de se concentrer sur la sécurité informatique et l’architecture d’entreprise à partir de 2009.
Cyril Marti attache une grande importance à l’entraînement continu. Les certifications en ITIL, TOGAF et IREB ne sont que quelques-uns de ses récents cours de formation.
