Dépenser pour l’essentiel, et pas seulement pour la technologie, est vital pour la sécurité infonuagique

Les RSSI savent depuis des années que l’argent seul n’achète pas la sécurité dans les environnements sur site. La leçon est la même dans le nuage, selon un nouveau rapport.

Produite par IDC et parrainée par Bell Canada, l’étude publiée ce mois-ci est basée sur une enquête sur l’adoption de l’infonuagique par 300 moyennes et grandes entreprises, leurs capacités de sécurité et leur réussite à fournir des résultats de sécurité solides.

Parmi les découvertes surprenantes : Les entreprises qui dépensent le plus en technologie de sécurité ont eu plus de failles que la moyenne. La technologie seule n’assure pas la sécurité des organisations de l’étude. Elle doit également inclure des processus, des outils et des personnes.

Seulement 52 % des organisations étudiées ont pu se protéger d’une faille de sécurité, conclut l’enquête.

Elle a également démontré que seulement 34 % déploient des solutions de gestion de la posture de sécurité infonuagique, « laissant les autres exposées à des erreurs de configuration », conclut l’étude.

À bien des égards, a déclaré David Senf, cadre supérieur des pratiques de sécurité de Bell Canada et stratège en matière de sécurité nationale, l’étude montre que les services informatiques doivent se concentrer sur les bases de la cybersécurité.

« Ce que les organisations ne font pas assez, c’est de savoir ce qu’elles ont dans le nuage, quelles sont les erreurs de configuration, quels sont les niveaux de risque réels, afin qu’elles puissent allouer les ressources plus efficacement. »

Les résultats de l’enquête ont également démontré que les organisations qui se concentrent sur la détection, y compris la journalisation et la surveillance de l’activité du réseau informatique et l’automatisation de la réponse, s’en sortaient mieux que les autres.

L’étude a regroupé les organisations répondantes en quatre catégories :

  • Les traditionalistes ; qui sont bloqués dans les compétences, les processus et la technologie hérités, et ont une adoption limitée de l’infonuagique.
  • Les pragmatiques ; qui ont une adoption de l’infonuagique plus lente que la moyenne, mais commencent à prendre les bonnes mesures de sécurité. En général, ils s’en sortent mieux que d’autres en termes de résultats en matière de sécurité.
  • Les stratèges ; qui ont adopté une approche calculée de l’infonuagique et ont obtenu les meilleurs résultats en matière de sécurité.
  • Les négationnistes ; qui ont effectué une migration rapide vers l’infonuagique mais se sont principalement appuyés sur les technologies de sécurité pour la protection des données. Ils ont subi les pires résultats en matière de sécurité des quatre groupes parce que les bons processus de sécurité n’étaient pas en place.

Les services informatiques devraient s’efforcer d’imiter l’approche des stratèges, indique le rapport.

« Les organisations de ce groupe trouvent le bon équilibre entre la vitesse d’adoption de l’infonuagique et le temps nécessaire à la mise en œuvre des processus de sécurité », indique le rapport.

« De plus, ils se concentrent sur l’augmentation des compétences en sécurité des développeurs et du personnel informatique et de sécurité. Ils ne s’appuient pas autant sur les solutions technologiques que les négationnistes moins sécurisés. Ils reconnaissent que l’amélioration de la maturité de la sécurité implique un investissement continu de ressources et une gestion continue ; c’est une stratégie, pas un projet. Ils reconnaissent que le maintien de la sécurité prend du temps et, s’il est correctement planifié, se déroule sans difficultés majeures. »

Les stratèges :

  • Utilisent des cadres de sécurité tels que ceux de la Cloud Security Alliance, du National Institute for Standards and Technology (NIST) des États-Unis, de l’ISO et du Center for Internet Security (CIS).
  • Se concentrent sur les processus de sécurité clés, tels que l’inventaire permanent des services en nuage, l’évaluation continue des configurations infonuagiques, la gestion des droits et la détection des menaces.
  • Se déplacent autant vers la gauche (intègrent la sécurité dès le début de leur processus de développement d’applications) que vers la droite (exécutent une sécurité renforcée de leurs applications en direct).
  • Utilisent des outils et des processus de gestion de la posture de sécurité infonuagique pour détecter les erreurs de configuration et les écarts par rapport à un bon état connu.
  • Automatisent dans la mesure du possible les tâches de sécurité.
  • Assurent le contrôle du nuage grâce à l’utilisation de courtiers en sécurité d’accès au nuage et de la vérification systématique (zero trust).

« Des choses comme la rapidité avec laquelle vous répondez à un incident, le niveau de protection que vous avez mis en place, la rapidité avec laquelle vous pouvez récupérer sont importantes dans les environnements infonuagiques », a déclaré David Senf, « mais si vous n’avez pas les éléments fondamentaux tels que “Qu’est-ce qui est l’inventaire [des services en nuage] ? Puis-je détecter quand quelque chose se passe”, alors, par rapport à vos pairs, vous n’allez pas être aussi performant [que d’autres organisations] du point de vue de la sécurité.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les consommateurs et les entreprises n’ont pas les mêmes priorités en matière de confidentialité

Selon des recherches récentes de Cisco Systems, les consommateurs et les chefs d'entreprise ont des priorités différentes en matière de confidentialité des données.

Le télétravail inquiète les responsables de la sécurité, selon une enquête

Selon une nouvelle enquête de Cisco Systems, le nombre croissant d'employés travaillant à distance aujourd'hui est source de cheveux gris pour les responsables de la sécurité de données et les chefs d'entreprise ayant des responsabilités en matière de cybersécurité.

Tecsys annonce une nouvelle solution de gestion du commerce électronique 

Tecsys Inc., une entreprise québécoise du domaine de la gestion de la chaîne d'approvisionnement et du commerce omnicanal annonçait il y a quelques jours une nouvelle solution d'exécution du commerce électronique de type « entrepôt dans un entrepôt ».

Aptum acquiert la montréalaise CloudOps

Le fournisseur de services gérés hybrides multi-nuage Aptum a considérablement augmenté son offre de produits ainsi que ses effectifs, avec l'annonce de l'acquisition de CloudOps, une société de Montréal spécialisée dans les plateformes infonuagique natives open source, la réseautique et le développement & exploitation.

OVHcloud lance des serveurs « bare metal » payables à l’utilisation, compatibles avec le nuage public

La société française d’infonuagique OVHcloud lançait hier son nouveau...