Discutez de la sécurité du cloud et vous discuterez probablement des problèmes liés au fournisseur : sécurité insuffisante, audit insuffisant, planification inadéquate. Cependant, les menaces les plus importantes pour la sécurité du cloud continuent d’être les individus qui se promènent à côté de vous dans les couloirs. Selon le dernier rapport « Leading Dangers to Cloud Computing » de la Cloud Security Alliance sur le site HealthITSecurity, les appels effrayants viennent de l’intérieur de votre maison.
Selon une enquête auprès de plus de 700 spécialistes de la cybersécurité, le rapport a révélé que les 11 principaux risques pour la sécurité du cloud incluent les interfaces utilisateur et les API non sécurisées, les mauvaises configurations, l’absence d’une architecture et d’une stratégie de sécurité cloud, en plus de la divulgation accidentelle du cloud. Les vrais dangers ne sont pas les mauvaises étoiles qui se trouvent dans une installation de stockage déserte ; c’est Mary en comptabilité, Robert en informatique d’inventaire, même Susan en sécurité informatique.
Les chercheurs ont noté que la vision actuelle de la sécurité du cloud a en fait déplacé l’obligation des fournisseurs de services vers les utilisateurs. Si vous demandez aux fournisseurs qui ont en fait toujours promu un modèle de « devoir partagé », ils ont en fait toujours exigé que les adoptants assument la responsabilité de la sécurité de leur côté de la formule. Néanmoins, si vous interrogez les employés informatiques et les utilisateurs de base, je m’assure qu’ils indiqueraient les fournisseurs de services cloud comme les piliers d’une bonne sécurité cloud.
Il est également intéressant de constater que les vulnérabilités technologiques partagées, telles que le rejet de service, la perte d’informations des entreprises de communication et d’autres problèmes de sécurité cloud classiques, sont moins bien classées que dans les études précédentes. Oui, ils constituent toujours une menace, mais les post-mortem des violations révèlent que les vulnérabilités technologiques partagées se classent beaucoup plus bas sur notre liste de préoccupations.
Le message central est que les véritables vulnérabilités ne sont pas aussi étonnantes que nous le pensions. Au contraire, l’absence de technique de sécurité et d’architecture de sécurité figure désormais en tête de liste des « non-non » en matière de sécurité dans le cloud. Être disponible en deuxième était le manque de formation, de processus et de vérifications pour éviter les erreurs de configuration, que je considère fréquemment comme les causes profondes de la majorité des failles de sécurité. Évidemment, ces problèmes ont un lien direct. L’absence de préparation à la sécurité et d’architecture de sécurité fait partie des facteurs qui font que des erreurs de configuration se produisent au premier endroit.
Au cœur du problème se trouve l’absence de ressources. Les problèmes de sécurité dans le cloud se développent lorsque les entreprises ne sont pas préparées ou capables de dépenser l’argent nécessaire pour un plan de sécurité approprié. De plus, tout aussi essentiel, les entreprises ont besoin de former constamment les individus sur les bons traitements de sécurité jusqu’à ce que cela devienne une habitude. Cela doit être continu et combiné avec une modification de la culture d’une mentalité de sécurité « principalement de confiance » à une mentalité de sécurité « sans confiance ».
Le personnel informatique trouve encore des notes autocollantes avec des identifiants d’utilisateur et des mots de passe dans toute l’entreprise et souvent trouver les ressources cloud exploitées par des méthodes non autorisées. Cela semble absurde, mais je connais des circonstances dans lesquelles les enfants des responsables informatiques utilisaient des systèmes de stockage et de calcul dans le cloud public pour effectuer des devoirs. J’ai vu cela se produire plus d’une fois, dans plusieurs entreprises. J’aimerais plaisanter.
Les services aux problèmes de sécurité du système sont simples à définir : plus de ressources et une plus grande concentration sur la sécurité du cloud. Cela dit, vous ne pouvez pas simplement jeter la technologie sur le problème. Le correctif nécessite une stratégie de sécurité solide qui précisera ce qui doit être fait au cours des cinq prochaines années au minimum pour sécuriser vos systèmes.
Il est souvent plus difficile de définir comment la culture doit changer et ensuite mettre en œuvre les changements. Toute la formation sur la planète ne fera pas grand-chose si vous avez affaire à une culture de léthargie.
Il est toujours agréable de blâmer les autres pour les inconvénients du système. Ce n’est pas possible cette fois, et ce ne sera pas le cas pour la suite. Il est temps de commencer à résoudre vos problèmes de sécurité en cherchant dans le miroir.
Toute l’actualité en temps réel, est sur L’Entrepreneur
