Le nuage  : Vous ne pouvez pas ’le toucher ou le voir. Mais presque tout le monde ’s’y intéresse, qu’ils le sachent ou non. Vos employés utilisent probablement des applications de logiciel-service (SaaS) pour la gestion de la paie ou financière, et vos clients, sans aucun doute, comptent sur des services hébergés dans le nuage. Il ’est partout. Mais vous ’ne pouvez pas vous permettre d’avoir la tête dans les nuages en matière de sécurité infonuagique.

La vérité est que les attaquants sont également sur le nuage. Ils vont là où vont les données, et en ce moment, c’’est le nuage. Ils ’sont intelligents et sophistiqués. Et leurs attaques évoluent souvent plus rapidement que les défenses traditionnelles. De l’autre côté de la pièce de monnaie, de nombreuses organisations comptent toujours sur des processus et des technologies de sécurité traditionnels sur place, — ce qui laisse des lacunes largement ouvertes.

Il n’’est pas étonnant que la sécurité infonuagique soit maintenant au centre des CISO partout dans le monde — et elle restera au sommet de l’ordre du jour dans un avenir prévisible.

Qui est responsable de la sécurité lorsque quelqu’un peut transférer un service?

Le nuage a tout changé. Avant le nuage, le déploiement d’un nouveau service pourrait prendre des mois de travail par une équipe de personnes, chacune se spécialisant dans un aspect différent de l’—approvisionnement, de l’installation, de la configuration et de la sécurité du déploiement. Cela a peut-être été lent et lourd, mais cela signifiait également que chaque étape était surveillée et vérifiée attentivement.

Entrez dans le nuage et vous pouvez faire défiler de nouvelles ressources en quelques secondes. Il ’est idéal pour la vitesse, mais terrible pour la sécurité. Lorsque vous contournez les processus structurés qui étaient courants dans les TI traditionnelles, vous créez des angles morts pour l’équipe de sécurité. Et ’s’ils ne savent pas qu’une nouvelle ressource existe — bien, vous ne pouvez ’pas protéger ce que vous ne pouvez ’pas voir.

C’est pourquoi la visibilité est le fondement de la sécurité à l’ère du nuage. En comblant les lacunes en matière de visibilité, vous gérez moins d’angles morts et reprenez le contrôle, gardant votre environnement infonuagique sécurisé, conforme et résilient.

Faire de la visibilité une priorité

La première étape consiste à obtenir une vue unifiée en temps réel de toutes vos ressources infonuagiques — couvrant plusieurs fournisseurs, charges de travail et services — afin que rien ne passe inaperçu. La découverte automatisée et la surveillance continue sont essentielles ici, aidant votre équipe de sécurité à identifier les TI fictives, les actifs non gérés et les mauvaises configurations avant que les pirates informatiques ne le fassent.

Les outils de gestion de la posture de sécurité infonuagique (CSPM) jouent un rôle essentiel. Des plateformes comme Palo Alto Networks Prisma Cloud, Wiz, Cisco Cloud Protection, FortiCNAPP et d’autres offrent une visibilité centralisée dans des environnements complexes et multinuages, signalant les risques tels que les seaux de stockage exposés ou les politiques d’accès trop autorisées. Ils appliquent également la conformité aux normes de l’industrie et aux politiques internes, et beaucoup offrent des mesures correctives automatisées pour corriger les problèmes à grande échelle.

Avec les bons outils en place, vous pouvez transformer la visibilité d’une mesure réactive en une défense proactive qui renforce la gouvernance, réduit les risques opérationnels et vous permet d’innover en toute sécurité dans le nuage, — surtout lorsqu’elle est combinée à des vérifications automatisées qui identifieront les mauvaises configurations et les erreurs d’angle mort avant leur mise en service et causeront des dommages durables. C’’est pourquoi les CISO devraient considérer la visibilité et la détection et la correction automatisées comme non négociables.

Les perturbations du nuage causées par les événements géopolitiques soulèvent des questions difficiles

Cependant, même les meilleures configurations ne peuvent ’pas protéger contre les perturbations mondiales. Malheureusement, il n’y a pas de solution facile à la gestion du risque géopolitique.

Le mieux que vous puissiez faire est de le traiter comme le — risque qui devrait être géré. Conservez des plans d’urgence et surveillez les développements mondiaux et assurez-vous que vos données et charges de travail sont portables. Grâce à la portabilité, vous pouvez transférer les charges de travail entre les fournisseurs — d’un appareil de mise à l’échelle à de petits fournisseurs locaux — ou de retour sur place au besoin, ce qui vous donne de la flexibilité lorsque les coûts, les risques ou les règlements changent. Il ne ’s’agit pas d’une solution parfaite, mais elle vous aidera à maintenir un niveau de résilience.

souveraineté numérique

C’est aussi pourquoi la souveraineté numérique est importante. Il s’’agit de deux choses : Garder votre entreprise en marche si les services sont interrompus et garder le contrôle de vos propres données. Beaucoup supposent que les données infonuagiques sont automatiquement sauvegardées, mais qu’’elles ne sont pas — disponibles, c’est toujours votre responsabilité. Et lorsque les données sont stockées à l’extérieur de votre juridiction, les obligations de conformité suivent. Le pari le plus sûr est de tester vos sauvegardes et d’adopter le chiffrement Bring-your-own-key (BYOK) afin que vous contrôliez l’accès et restiez le véritable propriétaire de vos données.

Éliminer la confusion liée à la responsabilité “” partagée

Il y a souvent une certaine confusion quant à qui assume la responsabilité de la sécurité une fois que les charges de travail sont passées au nuage. Le nom dit que toute — la responsabilité est partagée. C’’est un peu comme un voyage sur la route : le fournisseur de services en nuage assume la responsabilité de garder la route sécuritaire et bien entretenue, mais vous ’êtes toujours responsable de votre voiture et de la façon dont vous la conduisez. Dans ce cas, votre responsabilité couvre les applications, l’identité des utilisateurs, les autorisations d’accès et, surtout, vos données.

Il est essentiel de comprendre cette division de responsabilité. Trop souvent, les organisations ne savent pas ou ne comprennent ’pas quelles sont leurs responsabilités, laissant les charges de travail non protégées jusqu’à ce qu’’il soit trop tard.

Les chefs de la sécurité de l’information doivent clarifier ce point pour leurs pairs cadres. Un malentendu quant à la responsabilité peut créer de fausses hypothèses dangereuses. Et dans le domaine de la sécurité infonuagique, de telles hypothèses entraînent souvent des violations.

Comprendre la valeur cachée de la sécurité en nuage

Dans un sens, la sécurité est une question de survie. L’omniprésence du nuage signifie qu’une violation majeure peut mettre votre entreprise hors ligne et nuire à votre réputation au-delà de la réparation, ce qui pourrait coûter des millions de dollars.

Mais la sécurité est également un facilitateur. Avec des contrôles solides en place, vous pouvez lancer de nouvelles applications plus rapidement, adopter en toute sécurité des technologies émergentes en un seul clic et entrer sur de nouveaux marchés sans mettre vos clients ou vos données en danger. Il protège vos revenus et votre réputation tout en débloquant l’agilité que le nuage a été conçu pour offrir.

Bien fait, c’est ce qui permet à votre entreprise d’innover, ’de croître et de transformer la résilience en revenus. Il ’s’agit d’un investissement et non d’un frais généraux. Pour les CISO, le défi est d’encadrer la sécurité infonuagique dans ces termes non — pas comme un coût réduit, mais comme un investissement dans la croissance. Lorsque le conseil d’administration considère la sécurité comme un catalyseur de revenus et un générateur de résilience, elle commence à être reconnue comme un élément fondamental de la stratégie commerciale.

Protégez vos données avec NTT DATA

L’adoption ’du nuage ne cessera pas, et les risques qui y sont associés non plus. En comblant les lacunes en matière de visibilité, en adoptant l’automatisation, en adoptant un état d’esprit de confiance zéro et en planifiant la souveraineté, les chefs de la sécurité de l’information peuvent protéger leurs organisations tout en continuant d’innover et de croître.

Chez NTT DATA, nous simplifions la complexité pour vous grâce à notre plateforme de protection des applications natives du nuage (CNAPP) intégrée, qui combine visibilité, protection de la charge de travail, contrôles d’identité et d’accès, sécurité SaaS et surveillance continue. Ici, l’automatisation devient un multiplicateur de force, réduisant le fardeau des équipes étirées et réduisant le temps entre la détection et la résolution des problèmes.

Nous accordons également la priorité à la sécurité de la confiance zéro, avec une philosophie simple au cœur : Ne faites confiance à personne, ne faites confiance à rien, vérifiez tout. Le modèle reconnaît que les violations sont inévitables, mais ce qui compte, c’est que lorsque les attaquants gagnent du terrain, ils ’ne peuvent pas progresser. La confiance zéro rend les mouvements latéraux beaucoup plus difficiles, confinant les menaces et protégeant les données sensibles même si une couche est violée.

Pour les CISO, ne “faites confiance à personne, ne faites confiance à rien, vérifiez que tout” devrait devenir un mantra et une pratique quotidienne. Les vérifications d’identité doivent être intégrées, le moindre privilège doit être appliqué et la confiance zéro doit faire partie de la culture d’entreprise, et non seulement d’un aspect de la technologie.

Cela laisse aux CISO moins d’outils à gérer, une protection plus solide dans les environnements hybrides et multinuages et plus de temps pour se concentrer sur la stratégie plutôt que sur la lutte contre les incendies.

Êtes-vous prêt à transformer la sécurité en avantage de croissance? ’Faisons en sorte que cela se produise.

Cet article a été co-écrit par Renjith Philip, responsable des capacités : Sécurité infonuagique et point d’extrémité chez NTT DATA.

Apprenez-en davantage sur les  services d’’habilitation commerciale sécurisée de NTT DATA et protégez vos technologies émergentes et vos innovations audacieuses à la vitesse et à l’échelle, ou lisez un guide de notre service géré de sécurité infonuagique.