Cloud : conseils pour garantir la sécurité de vos données

Récemment, un serveur mal configuré sur le cloud était à l’origine d’une faille. Aussi surprenant que cela puisse paraître, ce cas de figure est très fréquent… On découvre ainsi, dans le rapport McAfee de 2019 intitulé 2019 Cloud Adoption and Risk Report, que  » les entreprises ont en moyenne au minimum 14 instances IaaS mal configurées ». Si vous travaillez pour une grande entreprise, ce nombre peut vous sembler dérisoire, mais McAfee souligne qu’il correspond à une moyenne de 2 269 incidents mensuels. Ces  » mauvaises configurations sont une porte ouverte sur les données des entreprises, qui sont potentiellement toutes exposées.

Trois stratégies pour garantir la sécurité des données

Selon certains analystes, la croissance des services IaaS sur le cloud va se poursuivre. Il est donc fort probable que la sécurité des données hébergées fasse aussi l’objet d’une attention croissante. Voici trois stratégies qui peuvent vous aider à limiter le risque d’erreur de configuration sur un serveur cloud.

1. Comprendre votre rôle dans le  » modèle de responsabilité partagée

La responsabilité partagée est un élément clé du modèle économique  » As a Service. Le rôle que joue votre entreprise dans la sécurisation des applications basées sur le cloud dépend fortement des types de service auxquels vous avez recours lors du déploiement vers le cloud. Théoriquement, le logiciel en tant que service (SaaS) est le modèle le moins contraignant pour le client. Votre équipe gère l’accès au système et le niveau d’autorisation. À mesure que vous évoluez vers une plateforme en tant que service (PaaS), vous devez gérer les populations d’utilisateurs et de développeurs. Avec l’infrastructure en tant que service (IaaS), votre responsabilité s’étend à la sécurité du réseau et de l’infrastructure. Dans ce dernier cas de figure, ce n’est pas le fournisseur de service, mais bien votre entreprise, qui est directement responsable d’une mauvaise configuration des serveurs.

Vous devez impérativement comprendre ces modèles pour déterminer le rôle de votre fournisseur de service dans le provisionnement et le déploiement de nouveaux serveurs, et ainsi limiter les risques d’erreur de configuration. Si vous gérez vous-même votre infrastructure, assurez-vous que vous n’avez pas commis l’une des 10 erreurs de configuration les plus fréquentes identifiées par McAfee [1] :

1. Chiffrement des données du service de stockage non activé
2. Accès sortant non restreint
3. Accès aux ressources avec gestion des identités et des accès (IAM) non paramétré
4. Port du groupe de sécurité mal configuré
5. Accès entrant du groupe de sécurité mal configuré
6. Instance de la machine non chiffrée
7. Groupes de sécurité non utilisés
8. Journaux de flux du cloud privé virtuel désactivés
9. Authentification multiple (MFA) non activée
10. Chiffrement du stockage de fichiers non activé

2. Comprendre comment votre architecture affecte la vulnérabilité de votre infrastructure

L’architecture cloud évolue sans cesse vers l’utilisation de ressources à la demande, via des conteneurs ou autres systèmes sans serveur. Ces technologies étant relativement récentes, le nombre de machines virtuelles encore utilisées dans le monde est très élevé. Pendant quelques années encore, ces différents environnements cohabiteront.

Rien ne sert d’accélérer la migration vers de nouvelles formes d’architecture cloud, vous n’éliminerez pas le risque de vulnérabilité lié aux mauvaises […..]

Source:: Cloud : conseils pour garantir la sécurité de vos données