Close

Comprendre la sécurité dans le cloud

Qu'est-ce que la sécurité dans le cloud ?

La sécurité dans le cloud désigne la technologie et les processus mis en place pour protéger votre infrastructure Cloud, vos données et vos apps. Alors que les mesures de sécurité physique (comme des cadenas, des gardes de sécurité et des processus d'enregistrement à l'entrée des bâtiments) assurent la sécurité de votre immeuble, les mesures de sécurité dans le cloud (comme la sécurité « Zero Trust » ou l'authentification unique) vous protègent contre les violations numériques.

Que le choix se porte sur un cloud public (hébergé sur un serveur partagé), un cloud privé (hébergé sur un serveur privé) ou un cloud hybride (combinaison des deux), la sécurité est une priorité absolue pour la plupart des entreprises, et ce, pour une raison évidente. Rien qu'au cours du premier semestre 2019, plus de 3 800 violations ont été constatées sur 4,1 milliards de dossiers. Le coût moyen d'une violation de données s'élève à 3,92 millions de dollars.

Sécurité dans le cloud et sécurité sur site

De nombreuses entreprises se posent une question fondamentale : Le cloud est-il aussi sécurisé qu'une solution sur site ? Lorsque le cloud n'en était qu'à ses débuts, la réponse était : « pas tout à fait ». Mais entretemps, le cloud a beaucoup évolué, et la réponse actuelle pourrait vous surprendre :

Selon les données dont nous disposons, le cloud est probablement plus sécurisé qu'une solution sur site. En réalité, 94 % des entreprises qui l'ont adopté affirment que la sécurité s'est améliorée après la migration. Selon une enquête TechValidate réalisée auprès de 300 clients Atlassian qui ont migré vers le cloud, 92 % d'entre eux estiment que la sécurité dans ce dernier est supérieure ou égale à la sécurité sur site.

« La stabilité et la sécurité sont nettement meilleures qu'avec notre ancienne solution sur site. Être capable d'évoluer avec des licences utilisateur individuelles s'avère très rentable. », explique Jarrett Prosser, Lead Engineer chez Rollercoaster Digital, lorsqu'il nous parle de la migration de son entreprise vers Atlassian Cloud.

Principales différences entre la sécurité sur site et dans le cloud

Qu'est-ce qui rend la sécurité dans le cloud à ce point meilleure ? La réponse ? Des tests de sécurité rigoureux, des plans de reprise d'activité et un chiffrement en transit et au repos, ainsi que d'autres bonnes pratiques. Sans parler du fait que le cloud a adopté la sécurité « Zero Trust », ce qui permet plusieurs contrôles de sécurité là où une solution sur site n'en offre généralement qu'un seul.

Solutions sur site : une « douve » de sécurité

Déclarer qu'une solution sur site permet un contrôle de sécurité unique revient à dire que la plupart des systèmes sur site fonctionnent comme la douve d'un château. Ce dernier représente votre système et la douve correspond à votre contrôle de sécurité (généralement un VPN et un pare-feu à l'échelle de l'entreprise). Ce système fonctionne bien, tant que la douve n'est pas franchie. Mais dès qu'il y a une brèche… Houston, vous avez un problème. Non seulement une personne malintentionnée a violé votre système, mais elle a désormais accès à tout son contenu. Elle occupe le château.

Sécurité « Zero Trust » dans le cloud

La sécurité « Zero Trust » favorise un contrôle continu plutôt que des contrôles de sécurité ponctuels. Ses principes sont les suivants :

  • Authentification fréquente basée sur les identifiants ou encore l'appareil
  • Restriction d'accès au contenu nécessaire
  • Chiffrement des sessions de bout en bout

Au lieu de supposer que tout le contenu protégé par votre pare-feu est automatiquement sécurisé, « Zero Trust » authentifie, autorise et chiffre chaque demande d'accès.

En d'autres termes, grâce à la sécurité « Zero Trust », le cloud fonctionne comme un chapelet d'îlots. Contrairement à l'approche de « douve unique » des solutions sur site, chaque îlot dispose ici de sa douve. En franchir une ne donne pas accès aux autres. Par conséquent, une vulnérabilité dans un système ou un problème lié à une connexion ne met pas en péril l'ensemble de l'écosystème de l'îlot.

Gestion des identités dans le cloud

La gestion des identités dans le cloud consiste à définir et à gérer les rôles et l'accès des utilisateurs individuels dans et entre vos systèmes cloud. Un programme de gestion des identités efficace devrait assigner une identité unique à chaque utilisateur et lui accorder l'accès aux outils et aux systèmes en fonction des autorisations que vous lui avez spécifiquement assignées.

Voici les fonctionnalités essentielles que le gestionnaire d'identités dans le cloud devrait inclure :

  • Authentification unique SAML, qui permet aux utilisateurs d'accéder à plusieurs produits et systèmes grâce à une connexion unique et sécurisée
  • Validation en deux étapes pour authentifier vos utilisateurs
  • Règles de mot de passe basées sur les bonnes pratiques en la matière
  • Support Priority pour résoudre tous les problèmes de sécurité dès que possible

Les clés de la sécurité dans le cloud

Si vous envisagez de migrer vers le cloud, voici trois conseils pour vous assurer que vous disposez bien de la meilleure sécurité possible :

1. Choisissez les bons fournisseurs

Selon une enquête TechValidate réalisée auprès de 300 clients Atlassian qui ont migré vers le cloud, 92 % d'entre eux estiment que la sécurité dans ce dernier est supérieure ou égale. Mais cela n'est pas forcément vrai pour tous les fournisseurs de cloud. C'est pourquoi, en matière de sécurité, le choix du fournisseur est important.

La bonne nouvelle ? De nombreux fournisseurs de cloud sont conformes. Les fournisseurs de cloud consacrent souvent plus de ressources à la sécurité, à la confidentialité et à la conformité que ne peut se le permettre une organisation informatique lambda. Sans oublier que beaucoup disposent d'équipes possédant des compétences spécialisées, ce qui garantit l'adoption des bonnes pratiques en matière de sécurité. Après tout, la réputation des fournisseurs (et toutes leurs plateformes) est fondée sur la confiance des clients.

Comment pouvez-vous savoir si un fournisseur de cloud répondra à vos exigences en matière de sécurité et de confidentialité ? Suivez ces étapes lorsque vous l'évaluez :

  • Demandez quelles certifications de conformité ils ont obtenues.
  • Tenez également compte du type de données que vos équipes saisiront dans l'app et du risque métier réel auquel elles seront exposées (car toutes les données ne nécessitent pas le même niveau de gestion des risques).
  • Trouvez comment votre fournisseur gérera les autorisations et l'accès de chaque personne aux données du système.

2. Partagez la responsabilité

Votre fournisseur de cloud devrait assumer un grand nombre de tâches de sécurité pour votre équipe, mais vous n'êtes pas tiré d'affaire pour autant. Les entreprises les plus sécurisées collaborent pour assurer la sécurité de leurs systèmes et de leurs données.

Un bon fournisseur de cloud devrait être responsable de la sécurité des apps, des systèmes sur lesquels elles fonctionnent et des environnements dans lesquels elles sont hébergées. Il fournit généralement des mises à jour automatiques et des corrections de bug, sans que votre équipe n'ait besoin d'intervenir.

De votre côté de l'équation, votre équipe devrait être responsable de la gestion des informations stockées sur vos comptes, des utilisateurs et des autorisations dont vous avez besoin, ainsi que des apps du Marketplace que vous installez et auxquelles vous faites confiance.

3. Planifiez la gouvernance continue

La sécurité exige une gouvernance continue, tant de la part de votre fournisseur de cloud que de votre équipe. Cette dernière doit non seulement se tenir informée des mises à jour de sécurité et des politiques de votre fournisseur de cloud ainsi que des différentes apps, mais aussi effectuer des audits réguliers, à la recherche d'éléments tels que le Shadow IT ou le stockage inadéquat des données en dehors de vos systèmes, qui doivent être intégrés à l'approche de sécurité.

Risques de sécurité dans le cloud (et comment les réduire)

Shadow IT

Le Shadow IT désigne l'utilisation d'un système ou d'un outil sans approbation ou supervision informatique. Étant donné la croissance rapide des outils disponibles à moindres frais (si ce n'est gratuitement), le Shadow IT se développe rapidement. En fait, lorsque les entreprises se penchent sur leur Shadow IT interne, elles constatent généralement qu'il est dix fois plus important que ce qu'elles imaginaient initialement, selon McAfee.

Qu'est-ce que cela implique pour la sécurité dans le cloud ? Selon Gartner : « Au lieu de se demander si le cloud est sécurisé, les DSI devraient plutôt se demander s'ils l'utilisent en toute sécurité ? »

En effet, les données nous indiquent que toutes les entreprises, même celles qui pensent être sur site, utilisent en réalité des outils cloud. L'équipe informatique n'en a pas forcément conscience.

Pour réduire les risques que pose le Shadow IT, la première étape consiste en un audit des outils réellement utilisés dans votre entreprise. À quoi ressemble votre écosystème de Shadow IT ? À partir de là, voici les étapes à suivre :

  • Évaluer la sécurité de ces outils
  • Optimiser la sécurité et intégrer ces outils dans votre système informatique
  • Éliminer les outils non sécurisés et fournir aux employés des alternatives viables

Il est également utile de documenter des politiques en matière de Shadow IT et de s'assurer que les employés savent ce qui est exigé d'eux et pourquoi.

Politique en matière de BYOD (Bring Your Own Device)

L'un des avantages majeurs du cloud est qu'il permet aux employés de travailler de n'importe où et sur plusieurs appareils. Mais pour ce faire, tous les appareils doivent respecter vos normes de sécurité. Afin de réduire le risque que les employés travaillent sur des appareils non sécurisés, de nombreuses entreprises ont rédigé des politiques BYOD qui définissent les éléments suivants :

  • Ce que les employés peuvent et ne peuvent pas faire sur les appareils personnels (Faut-il éviter d'accéder à certaines données ou de les télécharger ? Certaines apps sont-elles uniquement disponibles sur les appareils professionnels sécurisés ?)
  • Les sites web, apps ou utilisations restreints (ou non sécurisés)
  • La procédure à suivre si l'appareil d'un employé stockant des données de l'entreprise est volé et doit être effacé
  • Les exigences de sécurité pour les appareils permettant un accès aux données de l'entreprise (p. ex., les exigences de mot de passe)
  • Les politiques de paiement (Si un employé utilise un appareil pour travailler, votre entreprise assumera-t-elle une partie ou la totalité de la facture ?)

Visibilité et sécurité des données

Avec le RGPD, la California Privacy Act et de nouvelles réglementations imposées chaque année, la confidentialité des données est plus importante que jamais. Sans oublier que vos employés et vos clients expriment de grandes attentes quant à votre traitement de leurs informations sensibles.

Pour réduire le risque de violation des données ou de non-conformité au RGPD, vous devez rechercher des fournisseurs qui chiffrent les données en transit et au repos, imposent des normes de confidentialité des données élevées aux apps tierces et disposent de produits cloud conformes par défaut au droit relatif à la protection de la vie privée.

Sécurité des apps

Tout fournisseur digne de ce nom devrait également imposer des exigences de sécurité à ses apps tierces. Recherchez des fournisseurs appliquant des exigences de sécurité strictes, se conformant au RGPD et participant à des programmes Bug Bounty. Et si vous décidez d'utiliser des apps ou des intégrations externes qui n'ont pas été approuvées par votre fournisseur, il peut être judicieux de faire appel à un expert pour évaluer les risques de sécurité.

La sécurité chez Atlassian

Si 92 % des clients Atlassian affirment que la sécurité est aussi élevée, voire supérieure, dans le cloud, il y a forcément une raison. Elle fait partie intégrante de la structure de nos produits Cloud, de notre infrastructure et de nos processus… et nous nous engageons à la renforcer chaque jour.

La transparence est fermement ancrée dans notre philosophie de sécurité. C'est la raison pour laquelle nous collaborons avec CSA (Cloud Security Alliance) afin de rendre toutes nos pratiques et politiques disponibles publiquement.

Pour en savoir plus sur la façon dont Atlassian protège vos systèmes et données, consultez notre Trust Center ou explorez d'autres ressources sur la sécurité :

* Selon une enquête TechValidate réalisée auprès de plus de 320 clients Atlassian.


Consultez notre Security Center


À venir…

Plateforme Cloud

Consultez l'Atlassian Trust Center

Accédez aux dernières informations sur la sécurité, la fiabilité, la confidentialité et la conformité des produits et services Atlassian.

Migration vers le cloud

En savoir plus sur la migration vers le cloud

Trouvez toutes les ressources, les outils et le support dont vous avez besoin pour commencer à évaluer si le cloud est adapté à votre organisation.