jeudi, 28 mars 2024

Le GCSB renforce les directives sur la sécurité dans le cloud public

GCSB HQ, Wellington.

Crédit : fourni

Le Bureau de la sécurité des communications du gouvernement fédéral a publié une assistance mettant en évidence les risques du cloud public qui doivent être compris et gérés.

Un nouveau chapitre a contribué au manuel de sécurité des informations de l’agence indiquant que les services de cloud public pourraient offrir agences gouvernementales avec des avantages de sécurité substantiels lorsqu’elles sont adoptées d’une  » manière contrôlée et bien comprise « .

 » En raison des différences dans la façon dont les fournisseurs de services cloud fonctionnent, il n’existe pas de conception unique qui puisse décrire pleinement la frontière entre la sécurité de l’entreprise devoirs et ceux du fournisseur de services cloud « , a déclaré l’assistance.  » Les obligations des fournisseurs de cloud peuvent même varier entre leurs différentes offres de services. « 

Les avantages significatifs du cloud en matière de sécurité consistaient de : un modèle d’identité et d’autorisation répandu ; environnements cohérents, orchestrés par logiciel, exécutant des charges de travail immuables ; réactions automatiques aux incidents de sécurité ou aux erreurs de configuration ; et une journalisation, une surveillance et un audit évolutifs.

Le cloud public a également introduit de nouvelles zones de danger, telles qu’une diminution significative des obstacles limitant le mouvement des données de l’agence entre les juridictions légales.

Fournisseur de cloud lui-même -les outils de service pouvaient également faire l’objet d’ajustements, affectant l’infrastructure de l’agence et les systèmes basés sur le cloud étaient généralement accessibles depuis Internet à moins que des contrôles ne soient mis en place.

 » Les données de l’entreprise sont conservées sur des plateformes partagées, dans plusieurs domaines , les agences étant éventuellement responsables de garantir que les informations sont sécurisées », recommande le nouveau chapitre.

« Les environnements cloud présentent des cibles importantes et de grande valeur, où des exploits uniques peuvent avoir un impact sur un grand nombre de clients. »

Les services cloud étaient également plus simples à utiliser sans avoir besoin d’impliquer des processus de gouvernance typiques, tels que le contrôle des modifications, ce qui augmentait le risque d’utiliser des services fantômes sans contrôles de sécurité des informations suffisants.

Le cloud public est également potentiellement présent risques budgétaires.

« Les services à la demande, associés à une élasticité rapide, peuvent entraîner une utilisation inappropriée des environnements cloud des agences », a averti le GCSB.  » Les agences sont chargées de suivre les mesures de facturation et d’utilisation et de s’assurer que des contrôles appropriés restent en place pour gérer les restrictions financières. « 

L’utilisation des services de cloud public a développé un environnement de risque distinct, indique le conseil. Cela consistait en l’accès à l’infrastructure sous-jacente par les systèmes et le personnel du fournisseur de cloud public et les contrôles de sécurité définis et mis en œuvre par le fournisseur de services de cloud public.

La facilité d’étendre l’accès à des tiers, y compris aux applications tierces , grâce à des services intégrés de fédération et d’intégration de sites d’annuaire dans le cloud public, présentait également un danger potentiel.

En août 2013, le gouvernement a établi une politique  » cloud d’abord  » et une orientation pangouvernementale vers le cloud développement et lancement de services. Ainsi, les entreprises s’attendent à ce que les entreprises adoptent des services cloud approuvés lorsqu’elles sont confrontées à de nouveaux achats ou à des accords d’extension.

En juillet 2016, le cabinet a convenu que les entreprises pouvaient également utiliser le cloud public pour fournir des services de productivité de bureau, à condition qu’elles a adhéré aux directives de sécurité publiées par le directeur du numérique du gouvernement fédéral (GCDO) et le GCSB.

Les agences étaient également tenues de reconnaître et de gérer les risques liés aux services cloud via le processus d’évaluation des risques liés au cloud du GCDO.

L’assistance mise à niveau a également fourni un nouveau domaine sur le VPN à tunnel partagé inversé et des mises à jour de la sécurité du domaine DMARC/DKIM.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici