La sécurité infonuagique est un défi déterminant pour les organisations du monde entier. Il ne s’agit plus seulement d’une question technique, mais aussi d’un problème de salle de conférence qui affecte la survie, la résilience et la croissance.

Dans ce Q &A, ’Patrick Schraut, vice-président principal de la cybersécurité de NTT DATA, et Renjith Philip, responsable de la sécurité infonuagique mondiale, partagent leurs expériences personnelles avec des clients de tous les secteurs. Ils discutent des raisons pour lesquelles les mauvaises configurations et les lacunes en matière de visibilité sont si dangereuses, de ce que la confiance zéro signifie réellement dans les environnements hybrides, de la façon de se préparer au risque géopolitique et des raisons pour lesquelles la sécurité infonuagique est autant axée sur la promotion de l’innovation que sur la protection d’une organisation.

Qu’est-ce qui fait de la sécurité infonuagique un sujet si brûlant en ce moment?

Chaque organisation utilise maintenant le nuage d’une manière ou d’une autre, qu’elle le réalise ou non. Certains ont pleinement adopté les plateformes infonuagiques publiques, tandis que d’autres consomment des services infonuagiques  indirectement par le biais d’applications tierces et d’offres de logiciels en tant que service. Cette ubiquité fait du nuage une cible principale pour les attaquants, qui le considèrent comme la plus riche concentration de données et de services.

Le défi est que, bien que les méthodes d’attaque aient évolué, de nombreuses organisations comptent toujours sur des processus et des technologies de sécurité traditionnels sur place. Cela crée une discordance entre la façon dont les services sont déployés et la façon dont ils sont défendus. Le résultat est un environnement à la fois essentiel à l’entreprise et très exposé. C’’est pourquoi la sécurité infonuagique a atteint le sommet de chaque programme du CISO, où elle restera dans un ’avenir prévisible.

Dans le modèle de responsabilité partagée, qui est ultimement responsable de la sécurité en nuage?

Il y a parfois une idée fausse selon laquelle passer au nuage signifie que le fournisseur assume tous les aspects de la sécurité. En réalité, le modèle est partagé. Les fournisseurs de services infonuagiques protègent l’infrastructure — des centres de données, du matériel et de la plateforme de base, — mais les organisations demeurent responsables de la façon dont elles configurent et utilisent les services.

Cette responsabilité couvre les applications, l’identité des utilisateurs, les autorisations d’accès et, surtout, les données. Le fournisseur protège la base, mais le client protège la façon dont il s’en sert. Comprendre cette division de responsabilité est fondamental. Les organisations qui négligent leur côté de ce modèle risquent de laisser les charges de travail critiques non protégées, souvent sans s’en rendre compte jusqu’à ce qu’il soit trop tard.

Quels sont les plus grands problèmes auxquels les organisations sont confrontées en matière de sécurité infonuagique?

Les deux défis qui se présentent le plus souvent sont les mauvaises configurations et les lacunes en matière de visibilité.

Le nuage facilite considérablement la mise en œuvre de nouvelles ressources (parfois en quelques secondes), en contournant les processus lents et structurés qui étaient courants dans les TI traditionnelles. Cette vitesse permet l’innovation, mais crée également des angles morts pour les équipes de sécurité. Si un service est créé à l’insu ’de l’équipe de sécurité, il ne peut pas être surveillé, renforcé ou corrigé. Les attaquants exploitent ces services cachés de façon agressive.

Parallèlement, les mauvaises configurations sont la cause la plus courante de violations dans le nuage. Quelque chose d’aussi simple que de laisser un seau de stockage public ou de mal configurer une liste de contrôle d’accès peut entraîner une exposition massive aux données.

Qu’est-ce qui cause les mauvaises configurations dans le nuage dans la pratique?

La facilité d’utilisation est à la fois le plus grand avantage ’du nuage et sa plus grande faiblesse. Un développeur ou un ingénieur peut approvisionner un nouveau serveur ou une nouvelle base de données en quelques clics. Mais s’ils ne sont pas formés en sécurité, ils peuvent créer par inadvertance des configurations risquées. Par exemple, ils peuvent connecter à la fois des interfaces internes et externes sur un serveur, créant ainsi une passerelle accidentelle vers des systèmes sensibles.

Dans le passé, le déploiement d’un service nécessitait l’approbation de plusieurs équipes d’—approvisionnement, d—’administrateurs de système et de sécurité à chaque étape. Cela a fourni des garde-corps naturels. Aujourd’hui, ces étapes peuvent être entièrement contournées, c’est pourquoi les organisations voient si souvent des erreurs de configuration. La solution repose sur un mélange de formation, de politiques claires et, surtout, de vérifications automatisées qui détectent les erreurs avant leur mise en service.

Comment les équipes peuvent-elles rapidement retrouver la visibilité des comptes et des services?

C’est là que les outils de gestion de la posture de sécurité infonuagique (CSPM) sont inestimables. Au lieu de se fier aux inventaires manuels d’actifs, CSPM se connecte directement à vos comptes infonuagiques à travers des fournisseurs tels qu’Amazon Web Services, Microsoft Azure et Google Cloud. En quelques heures, vous pouvez obtenir un aperçu complet et sans agent de votre succession.

Cet aperçu comprend les types de services en cours d’exécution, la façon dont ils communiquent, les ports ouverts et les zones où des vulnérabilités connues existent. Certaines plateformes CSPM intègrent également des conseils de remédiation ou d’automatisation, ce qui vous aide à combler les lacunes plus rapidement. Pour toute équipe de sécurité aux prises avec des TI” “jumelés dans le nuage, le CSPM fournit les bases de la visibilité dont elle a besoin.

À quoi ressemble la sécurité de la confiance zéro dans un modèle de nuage hybride?

La sécurité zéro confiance est devenue l’un des modèles de sécurité les plus abordés, mais elle est souvent mal comprise. Fait important, ce n’’est pas un produit que vous pouvez acheter. C’est un cadre et une philosophie.

La sécurité périmétrique traditionnelle était comme une voûte bancaire : Une fois à l’intérieur, vous avez souvent eu un accès gratuit à tout. La confiance zéro inverse cette hypothèse. Au lieu de faire confiance à quiconque à l’intérieur du périmètre, il exige une validation continue à chaque étape, — que la demande provienne d’un utilisateur, d’un dispositif, d’une charge de travail ou d’une application. Dans les environnements hybrides qui couvrent les centres de données sur place et plusieurs nuages publics, la confiance zéro offre l’approche cohérente et axée sur les principes dont les organisations ont besoin.

Pouvez-vous donner une explication simple de la confiance zéro?

Au fond, la confiance zéro peut être résumée en une seule phrase : Ne faites confiance à personne et ne faites confiance à personne, et vérifiez tout. Chaque utilisateur doit s’authentifier, et chaque appareil doit être vérifié, chaque connexion inspectée et chaque demande d’accès validée par rapport au principe du moindre privilège.

Le modèle reconnaît que les violations sont inévitables. Ce qui compte, c’est que lorsqu’un attaquant gagne un pied, il ne peut pas se déplacer librement ou escalader l’accès. La confiance zéro rend les mouvements latéraux beaucoup plus difficiles, confinant les menaces et protégeant les données sensibles même si une couche est violée.

Où les organisations devraient-elles commencer à réduire rapidement les risques liés au nuage?

La victoire la plus rapide est la visibilité. Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Le mappage de tous les actifs et services dans vos environnements est la première étape. Une fois cela fait, la priorité suivante est l’automatisation. Les vérifications manuelles et les réponses sont trop lentes pour la vitesse du nuage.

L’application et la correction automatisées des politiques réduisent le temps entre la découverte d’un problème et sa résolution. Par exemple, une règle automatisée pourrait fermer un port public ou mettre en quarantaine une ressource mal configurée sans attendre l’intervention humaine. Cette combinaison de — visibilité et d’automatisation — offre une réduction immédiate des risques et une plus grande résilience.

Quelle est la meilleure façon ’d’aborder l’automatisation et une posture en nuage sécurisée?

Les organisations migrent souvent vers le nuage une seule fois, puis vivent avec cette conception pendant des années. Leurs choix initiaux donnent le ton à la sécurité à long terme. Essayer de tout construire à l’interne peut être risqué si l’équipe manque d’expérience.

La meilleure approche consiste à combiner l’expertise interne avec des spécialistes externes qui l’ont déjà fait plusieurs fois auparavant. Les fournisseurs de services de sécurité gérés, par exemple, peuvent aider à mettre en place des garde-fous, à appliquer les meilleures pratiques et à surveiller continuellement. L’objectif devrait être de réduire le temps moyen de détection des menaces et le temps moyen de restauration des services après un incident. L’automatisation accélère les deux, de sorte que la sécurité suit le rythme de votre entreprise.

Comment les organisations peuvent-elles se préparer aux perturbations du nuage causées par des événements géopolitiques?

C’est l’une des questions les plus difficiles que nos clients soulèvent aujourd’hui. Si la préoccupation était une défaillance matérielle ou logicielle, la réponse serait simple : Utilisez plusieurs fournisseurs de services en nuage. Mais le risque géopolitique affecte souvent tous les principaux hypertartreurs dans une région, ce qui rend le changement de fournisseur moins efficace.

La réponse pragmatique est de traiter la géopolitique comme un risque à gérer. Cela signifie maintenir des plans d’urgence, surveiller de près les développements géopolitiques et déterminer si les charges de travail critiques doivent être conservées sur place ou reproduites à des fournisseurs locaux plus petits, — même si ces fournisseurs ne peuvent pas correspondre à la fonctionnalité des hypertartres. Il s’agit de résilience et de tolérance au risque, plutôt que de solutions parfaites.

Que signifie la souveraineté numérique dans la pratique?

De nombreuses organisations supposent qu’une fois que les données sont dans le nuage, elles sont automatiquement sécurisées et sauvegardées. Cependant, la plupart des services n’incluent pas les sauvegardes par défaut. Il incombe au client ’de s’assurer que les données sont disponibles.

La souveraineté numérique implique également des considérations juridiques et réglementaires. Les données peuvent être stockées à l’extérieur de votre juridiction, ce qui déclenche des obligations de conformité. Pour y remédier, les organisations doivent chiffrer les données sensibles et utiliser des modèles « Apportez votre propre clé » (BYOK), de sorte qu’elles ne — contrôlent — pas l’accès du fournisseur de services en nuage. Ensemble, les sauvegardes et le chiffrement BYOK vous assurent de rester le véritable propriétaire de vos données.

Comment les équipes devraient-elles concevoir pour la portabilité et la flexibilité?

L’un des plus grands avantages ’du nuage est sa flexibilité, mais cela n’est vrai que si vous concevez pour la portabilité. Si les charges de travail sont conçues pour fonctionner uniquement sur les services d’’un seul fournisseur, vous perdez la capacité de vous adapter.

Concevoir des applications pour qu’elles puissent être redéployées ailleurs, que — ce soit vers un autre fournisseur de services en nuage ou sur place—, sans réingénierie de gros. Les normes ouvertes, la conteneurisation et les architectures modulaires soutiennent cet objectif. La transférabilité permet de garder vos options ouvertes face à l’évolution des coûts, des risques ou des exigences de conformité.

Comment pouvons-nous simplifier et consolider la pile de sécurité infonuagique?

L’outillage de sécurité infonuagique a proliféré. De nombreuses organisations exploitent maintenant plusieurs plateformes qui se chevauchent : CSPM pour la visibilité, les plateformes de protection d’applications natives du nuage (CNAPP) pour les défenses intégrées et la gestion des droits de l’infrastructure infonuagique (CIEM) pour l’identité et l’application des privilèges les moins élevés. L’étalement des outils crée de la complexité et des lacunes.

Certains fournisseurs offrent des suites intégrées, tandis que d’autres sont les meilleurs dans un domaine. La meilleure stratégie consiste à consolider, dans la mesure du possible, les outils en fonction des risques réels et à utiliser des partenaires gérés pour combler les lacunes. La simplification réduit à la fois les coûts et la friction opérationnelle, ce qui permet aux équipes de sécurité d’agir plus facilement de manière décisive.

Quels sont les plus grands mythes ou erreurs que vous voyez dans la sécurité infonuagique?

Deux mythes se démarquent encore et encore : Premièrement, que le nuage est sécurisé par défaut, et deuxièmement, que les environnements sur place sont intrinsèquement plus sécurisés. Les deux sont trompeurs. La sécurité n’est pas une propriété de l’emplacement, — elle dépend de la façon dont les systèmes sont configurés et exploités.

Les erreurs de configuration demeurent l’erreur la plus courante. Ils sont également les plus faciles à négliger, précisément parce qu’il s’agit d’erreurs humaines simples. Mais leur impact peut être catastrophique, exposant des données sensibles ou ouvrant des portes aux agresseurs. Corriger ce mythe est l’une des tâches de sensibilisation les plus importantes pour les responsables de la sécurité.

Pourquoi la sécurité infonuagique est-elle importante pour l’entreprise — et l’innovation?

La sécurité infonuagique ne se limite plus à cocher les cases de conformité. Aujourd’hui, tout fonctionne dans le nuage : systèmes, données, même charges de travail d’IA. Une violation majeure peut amener une entreprise hors ligne ou éroder la confiance des clients au-delà de la réparation. Dans ce sens, la sécurité est la survie.

Mais la sécurité est également un facilitateur. Des contrôles rigoureux permettent aux organisations de lancer de nouvelles applications plus rapidement, d’adopter des technologies émergentes en toute confiance et d’entrer sur les marchés en toute sécurité. La sécurité protège les revenus et la réputation tout en débloquant l’agilité que le nuage est censé offrir. Ce n’est pas un frein à la progression; c’est plutôt la ceinture de sécurité qui rend la progression sécuritaire.

Permettre à votre entreprise d’avoir une base sécurisée

La sécurité infonuagique n’est pas facultative; — elle jette les bases de la résilience  et de la croissance. Vous avez besoin de visibilité, d’automatisation et d’un état d’esprit de confiance zéro pour garder une longueur d’avance sur les attaquants tout en vous préparant aux risques qui vont des mauvaises configurations à la géopolitique et en adoptant la souveraineté numérique pour garder le contrôle de vos données.

Plus important encore, vous devez reconnaître la sécurité comme un impératif de survie et un facilitateur commercial. C’est ce que signifie l’habilitation commerciale sécurisée dans la pratique : Protéger votre entreprise tout en lui permettant d’innover.

En savoir plus sur les  services d’’habilitation commerciale sécurisée de NTT DATA pour voir comment vous pouvez améliorer la confiance des intervenants et obtenir un avantage concurrentiel.