Sécurité cloud

Une question d’affaires

Utilisez le nuage, mais sans perdre le contrĂ´le.

L’utilisation des services cloud est une mégatendance en informatique. La plupart des entreprises ont déjà sous-traité ou sont sur le point d’externaliser des parties de leur itE vers le cloud. Cela risque de perdre le contrôle des données et des processus, car vous n’avez aucune certitude quant à qui a accès aux données et aux systèmes dans le cloud. La sécurité cloud est le moyen qui permet à une entreprise d’utiliser le cloud sans souci.

Défi

Pratiquement aucune entreprise ne peut se passer de services informatiques. Avec la numérisation continue des processus d’affaires, la dépendance à l’informatique devient encore plus grande. En outre, la complexité des systèmes informatiques, tant du côté matériel que du côté logiciel, augmente et donc les coûts de l’informatique.

Les services cloud offrent un moyen de sortir de ce dilemme. L’utilisation des services cloud est de plusieurs avantages, notamment :

  • Utilisation de logiciels standard qu’une entreprise seule n’aurait pas pu dĂ©velopper; un certain nombre de (grands) fabricants n’offrent leurs logiciels que comme services cloud, une tendance qui s’accroĂ®t;
  • Variabilisation des coĂ»ts informatiques par le biais du principe de la rĂ©munĂ©ration Ă  l’utilisation;
  • rĂ©duction des coĂ»ts informatiques, car le dĂ©veloppement, l’exploitation et la maintenance des systèmes n’ont pas Ă  Ăªtre financĂ©s par eux-mĂªmes.

Pour une entreprise, l’utilisation de services cloud signifie l’externalisation de systèmes et de données importants vers un cloud; il élargit massivement ses propres limites de système, et elles deviennent diffuses.

Cela pose un dilemme majeur dans la gestion d’entreprise :

D’une part, il veut /doit aller au cloud afin de suivre la numĂ©risation. D’autre part, il y a un risque de perdre le contrĂ´le sur l’informatique. Et Ă  une Ă©poque oĂ¹ l’informatique est un facteur critique de rĂ©ussite, elle risque la rĂ©putation ou mĂªme l’existence de l’ensemble de l’entreprise.

La solution à ce dilemme est l’objectif de la sécurité cloud.

Approche

La sécurité cloud est plus qu’un simple outil

Cloud Security n’est pas un outil qui peut Ăªtre installĂ© et tous les risques associĂ©s Ă  l’utilisation des services Cloud sont inclus. Cloud Security est un ensemble de mesures individuelles qui doivent Ăªtre coordonnĂ©es. Une bonne sĂ©curitĂ© cloud est basĂ©e sur une approche stratĂ©gique et rĂ©sulte d’une combinaison de codes de conduite, de processus et d’outils coordonnĂ©s.

Identifier les risques d’utilisation du cloud

La protection contre les risques ne peut Ăªtre assurĂ©e que si une entreprise connaĂ®t les risques. En informatique, le terme « vecteurs d’attaque » a Ă©tĂ© formĂ©; chaque vecteur est une approche de la façon dont un attaquant peut accĂ©der illĂ©galement aux systèmes et aux donnĂ©es dans le cloud. Des exemples bien connus de ces vecteurs d’attaque incluent l’hameçonnage, les rĂ©seaux de bots, les logiciels malveillants, les attaques DDoS. Les services cloud sont exposĂ©s Ă  des vecteurs d’attaque spĂ©cifiques. Ceux-ci doivent Ăªtre dĂ©terminĂ©s de manière structurĂ©e afin de concevoir un bouclier rĂ©silient.

Les spĂ©cialistes de l’e3 connaissent les vecteurs d’attaque de la thĂ©orie et de la pratique. L’expĂ©rience acquise grĂ¢ce Ă  de nombreux projets est intĂ©grĂ©e Ă  ces analyses.

Définir les mesures de protection

De nombreux fournisseurs de cloud offrent une bonne protection contre les attaques au niveau technique (réseau, système d’exploitation, bases de données). Cependant, ils ne couvrent qu’une partie des vecteurs d’attaque connus. Au niveau de l’application et des données, la sécurité est beaucoup plus difficile à atteindre. Une entreprise doit donc se protéger contre de nombreuses menaces. À quoi sert un réseau crypté lorsque les employés transfèrent des données sensibles à une application cloud non sécurisée ?

L’e3 analyse les vecteurs d’attaque pertinents avec vos spécialistes et dérive des mesures de protection spécifiques. Les mesures comportementales (p. ex. les campagnes de sensibilisation) sont combinées à des processus (adaptation des processus au cloud) avec un ensemble d’outils appropriés de l’e3 et d’autres fournisseurs (détection des technologies de l’ombre, cryptage, etc.).

Contrôle et optimisation du succès

l’e3 continuera d’accompagner ses clients après la mise en Å“uvre des mesures de protection pour s’assurer que les objectifs de protection ont Ă©tĂ© atteints. En outre, de nouveaux vecteurs d’attaque apparaissent constamment, c’est une course entre les pirates et les experts en cyberdĂ©fense. Il est important d’analyser les nouveaux dĂ©veloppements en temps voulu et d’adapter les mesures de protection aux nouvelles menaces.

Client

L’informatique devient de plus en plus complexe, malgrĂ© ou Ă  cause de l’utilisation des services cloud. Dans le mĂªme temps, une seule entreprise peut rĂ©duire la capacitĂ© de ses propres spĂ©cialistes en TI en utilisant des servicescloud. En outre, les spĂ©cialistes de la sĂ©curitĂ©informatique sont coĂ»teux et une ressource rare sur le marchĂ© du travail.

L’e3 dispose d’un bassin d’experts éprouvés ensécurité informatique. Non seulement ils sont bien éduqués, mais ils ont aussi une expérience pratique dans la sécurité cloud qu’ils ont acquis dans de nombreux projets clients.

l’e3 a développé des concepts qui servent de base à l’analyse des scénarios de menace et des mesures de défense. Par exemple, le concept de « Communauté fermée » fournit un cadre pour protéger les données sensibles sur l’ensemble de son cycle de vie numérique, des appareils d’utilisateur final (incl. BYOD) au stockage et à l’utilisation dans diverses unités organisationnelles et législatures selon le principe de la nécessité de savoir.

Cripsin Tschirky

Crispin Tschirky

Crispin Tschirky possède de nombreuses années d’expérience dans la cybersécurité, le système et l’architecture d’applications. Ses connaissances techniques et méthodologiques approfondies dans un large éventail de domaines, en particulier lorsqu’il s’agit de tirer parti du cloud en toute sécurité, vous aident à rendre votre environnement informatique plus sûr et à utiliser le cloud en toute sécurité.