L’infonuage est devenu un incontournable pour toute organisation qui cherche à accélérer la collaboration et l’innovation, surtout dans notre monde où une bonne partie de travail se fait de manière virtuelle. De nombreuses entreprises adoptent les technologies infonuagiques pour accroître leur agilité et leur résilience, et pour contrôler les coûts. Or, les menaces à la sécurité et la confidentialité augmentent aussi.
Les meilleures pratiques en matière de cybersécurité sont conçues pour protéger les données et les applications infonuagiques contre les menaces actuelles et émergentes. Cependant, 59 % des dirigeants canadiens s’attendent à une augmentation des attaques visant les services infonuagiques au cours de l’année à venir, et seulement 44 % indiquent comprendre les risques associés au nuage d’après les évaluations officielles.
Bien que les processus, le personnel et les technologies sur place puissent aider à sécuriser les environnements infonuagiques contre les menaces de cybersécurité internes et externes, les méthodes traditionnelles en matière de sécurité et de confidentialité ne sont ni évolutives ni durables pour le nuage. Il existe aussi une idée fausse très répandue voulant que les services infonuagiques soient sécurisés d’emblée.
Que vous déplaciez des applications locales vers un modèle de logiciel-service (SaaS) sur le nuage ou que vous apportiez des changements structurels plus importants en passant à un modèle de plateforme-service (PaaS) ou un modèle d’infrastructure-service (IaaS), vous pourrez mettre à profit les outils de sécurité intégrés aux services infonuagiques. Cependant, il incombe aux clients des services infonuagiques de configurer, de gérer et de surveiller correctement les mécanismes et les fonctionnalités de sécurité.
Voici quelques-uns des principaux enjeux de sécurité dont les organisations doivent tenir compte lors de l’implantation de solutions infonuagiques.
Menaces plus nombreuses : Le spectre des menaces s’élargit, car l’infonuagique ajoute de nouvelles couches informatiques et donc de nouveaux agents de menace. Dans les environnements multinuages et hybrides de plus en plus complexes et étendus, les données peuvent être exposées à des risques, qu’elles soient en circulation ou non.
Failles de configuration : Si les services infonuagiques ne sont pas configurés correctement, ils peuvent être la proie d’activités malveillantes. Lorsque des environnements locaux et infonuagiques coexistent, il est crucial de disposer d’une stratégie cohérente de gestion des identités et des accès (GIA).
Visibilité limitée : L’informatique de l’ombre, l’utilisation d’applications non autorisées et le manque de surveillance et de gouvernance par la direction lors de l’approvisionnement des services infonuagiques peuvent mener à des vulnérabilités dans le nuage.
Comment les organisations peuvent-elles mettre à profit les avantages offerts par les technologies infonuagiques tout en protégeant leurs données? Lorsque vous déplacez des applications ou une infrastructure vers le nuage, il est important de comprendre les fonctions de sécurité natives disponibles, puis de les configurer correctement.
Les grands fournisseurs de services infonuagiques, comme Microsoft Azure, Amazon Web Services et Google Cloud Platform, intègrent la sécurité à leurs services. Vous n’avez donc pas besoin de réinventer la roue. Cependant, ces outils doivent tout de même être configurés correctement selon les meilleures pratiques du fournisseur et du secteur. Par exemple, dans le cadre de votre stratégie de GIA, vous devrez indiquer les scénarios à signaler comme suspects (p. ex., un utilisateur qui tente d’accéder à répétition à des données auxquelles il n’a pas la permission d’accéder).
Les organisations doivent s’assurer qu’elles disposent d’un principe d’architecture de sécurité de haut niveau à l’échelle de l’entreprise et que ce principe s’applique à toutes les technologies, qu’elles soient locales ou infonuagiques. Par exemple, si ce principe requiert une authentification multifactorielle pour certaines fonctions critiques, il ne devrait pas importer que les utilisateurs accèdent à ces fonctions à partir d’une technologie locale ou infonuagique.
Évidemment, lorsqu’une application ou une partie de l’infrastructure est transférée sur le nuage, il faut surveiller en permanence cet environnement pour détecter les fuites potentielles de données ou les activités malveillantes.
Il est essentiel d’implanter une stratégie de sécurité infonuagique pour guider les projets de transformation et prévenir les pertes financières, les atteintes à la réputation, les répercussions juridiques et les amendes liées à la réglementation. Une telle stratégie devrait comprendre, au minimum, les mesures suivantes :
Intégrer, dès le début, la sécurité, la gestion des risques et la conformité;
Aligner la stratégie de sécurité infonuagique et de gestion des risques sur la stratégie infonuagique de l’organisation;
Consolider les fournisseurs de technologie et les applications pour réduire la complexité inutile et les risques;
Adopter des processus et des pratiques de développement et d’exploitation conformes et sécurisés;
Optimiser les opérations au moyen de l’automatisation et de la simplification des processus infonuagiques;
Surveiller les risques et la sécurité de manière proactive grâce à des informations en temps réel;
Mesurer les risques liés à la conformité, la cybermaturité et les capacités de protection de la vie privée, et tirer parti des indicateurs pour prendre des décisions qui tiennent compte des risques;
Transformer les capacités de sécurité et de conformité pour en faire des services consommables, automatisés et intégrés.
L’ère de l’infonuagique est arrivée. Dans bien des cas, il est logique de déplacer les applications ou les infrastructures vers le nuage pour augmenter l’agilité et la résilience. Or, comme les cybermenaces évoluent très rapidement, il est essentiel de s’assurer que les mesures de sécurité évoluent au même rythme.
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada
Tél. : +1 604 806 7603
Associé, responsable de la pratique de l’informatique en nuage, PwC Canada
Tél. : +1 416 687 9079