Cinq piliers de la transformation cloud sécurisée.
Entreprises' nuage Les ambitions de transformation se sont accélérées ces dernières années grâce à un appétit accru pour les technologies numériques améliorées, ainsi qu'à une pression accrue pour soutenir le travail à distance. Selon l'Office of National Statistics, 85 % des employés s'attendent désormais à des options de travail hybride, ce qui démontre que même si la pandémie passe, la demande de services flexibles basés sur le cloud ne montre aucun signe de ralentissement.
Cependant, les services cloud nécessaires pour faciliter les nouvelles méthodes de travail numériques soulèvent également de nouveaux défis en matière de cybersécurité, qui peuvent sembler décourageants. Les organisations qui laissent ces défis les dissuader d'adopter les options de transformation du cloud ne feront que se retrouver de plus en plus loin derrière leurs concurrents. En effet, Gartner prédit que, d'ici 2025, les plates-formes cloud natives fourniront une base pour plus de 95 % des nouvelles initiatives numériques.
Les défis de sécurité présentés par le cloud sont différents de ceux associés à la sécurité traditionnelle sur site, où tout se trouve derrière un pare-feu. Pour atténuer ces nouveaux risques, les organisations doivent introduire et suivre un cadre d'adoption du cloud sécurisé (S-CAF) basé sur les cinq piliers clés suivants :
Pilier 1: Adoptez un état d'esprit zéro confiance Active Directory fonctionne sur l'hypothèse que tous les utilisateurs, appareils et activités sont malveillants jusqu'à preuve du contraire. Cela peut sembler dur, mais le paysage des menaces modernes a rendu cette approche nécessaire afin d'éviter les pièges du travail à distance, où tant de terminaux ne sont pas surveillés.
Pilier 2: Détection des menaces et réponse Les cyberattaques évoluant de plus en plus vite, la meilleure approche en matière de cybersécurité pour de nombreuses organisations consiste à s'assurer que les outils utilisés pour atténuer les attaques sont tout aussi puissants que les outils utilisés pour les détecter en premier lieu. Il est logique que plus tôt une menace est repérée, plus vite elle peut être traitée, mais là où ce niveau de détection avancée n'est pas possible, les organisations doivent au moins être positionnées pour
réduire les dommages.
Pilier 3: Protection des actifs Les organisations doivent mettre en place des politiques et des processus appropriés afin de rendre compte de tous leurs actifs tout au long de leur cycle de vie respectif. Du point de vue de la cybersécurité, ces politiques devraient couvrir les logiciels, le matériel et les données d'entreprise.
Pilier 4: Identité et gouvernance La visibilité de l'autorisation d'accès de chaque utilisateur est cruciale pour sécuriser tous les terminaux au sein d'une organisation. Il en va de même pour la capacité d'ajuster rapidement et facilement les niveaux d'accès en réponse aux employés qui rejoignent, quittent ou changent de rôle. Ce pilier est essentiel car il minimise la possibilité pour les employés d'abuser de leurs droits d'accès.
Pilier 5: Sécurité de l'innovation L'innovation peut prendre diverses formes, mais lors de la préparation et du déploiement de mesures de sécurité réussies, il est prouvé que le développement, la sécurité et les opérations (DevSecOps) permettent aux organisations de garder une longueur d'avance sur les attaquants potentiels.
Cuire en toute sécurité avec DevSecOps
Pour qu'un parcours de transformation cloud basé sur le modèle S-CAF soit réussi, il est essentiel que les contrôles et les mesures de sécurité soient intégrés aux opérations d'une organisation. DevSecOps fournit cette base. Dans un environnement où les services basés sur le cloud peuvent être provisionnés rapidement via des portails en libre-service, DevSecOps joue un rôle central pour garantir que les risques de sécurité sont identifiés et corrigés dans les plus brefs délais.
Cette approche oblige les organisations à réfléchir de manière critique à la sécurité de leur infrastructure dès le début du parcours de transformation. Cependant, comme il s'agit de plus qu'un ensemble de nouveaux outils, il devrait intégrer des facteurs culturels, tels que la politique et la gouvernance. Par exemple, les politiques doivent être définies au niveau de l'architecture afin qu'elles puissent évoluer parallèlement au parcours de transformation du cloud. Cela signifie qu'à mesure que les organisations évoluent, les directives restent pertinentes et utiles, plutôt qu'un obstacle nécessitant des mises à jour manuelles régulières. Avec DevSecOps, les processus peuvent être dynamiques et constamment adaptés aux applications et aux exigences d'infrastructure spécifiques de l'organisation.
La clé du développement de ces domaines est de se concentrer sur les contrôles de sécurité qui doivent être en place lors du passage d'une architecture sur site à une architecture hybride à un ou plusieurs clouds. L'accent initial doit être mis sur les actifs techniques plutôt que sur le concept de Zero Trust, et avec lui la détection des menaces, l'identité et la gouvernance, qui sont importantes à d'autres étapes du parcours de transformation du cloud.
Conclusion
Bien que le S-CAF ne soit qu'une approche d'une transformation cloud sécurisée, son approche est inclusive et bien positionnée pour relever les défis associés au passage à un environnement basé sur le cloud. Les cinq piliers s'appliquent à une organisation de toute taille, opérant dans n'importe quel secteur, et ils fourniront aux équipes de sécurité une base solide pour peaufiner et adapter sécurité cloud pour répondre aux besoins et aux demandes des clients et des employés aujourd'hui et à l'avenir.
Les organisations qui s'isolent des dangers d'un Internet ouvert découvriront qu'il ne s'agit plus d'ériger une frontière et d'empêcher les gens de la franchir. La transformation vers le cloud exige une approche plus agile et moderne et plus tôt une approche est sélectionnée et déployée, plus tôt les organisations peuvent garantir la sécurité des données et informations importantes.
