Règles de sécurité pour les données traitées dans le cloud
La cause la plus fréquente des fuites de données ne sont pas les bogues logiciels ou les pirates, mais la faute incombe aux administrateurs, qui oublient de configurer la sécurité ou le font de manière incorrecte (ce qui facilite la tâche des cambrioleurs).
Pour minimiser les risques, il vaut la peine de suivre les règles ci-dessous, que vous utilisiez Amazon Web Services, Microsoft Azure ou Google Cloud Platform..
Gardez à l’esprit que la plupart des criminels trouvent des systèmes vulnérables, mal configurés, puis attaquent. De nombreux entrepreneurs mettent en œuvre avec empressement des solutions multi-cloud, c’est-à-dire des services cloud de différents fournisseurs, ce qui rend leurs systèmes moins transparents et plus difficiles à gérer. Ceci, à son tour, crée plus d’opportunités de commettre une grave erreur de configuration dont ils ne sont pas pleinement conscients. Afin de sécuriser le traitement des données dans le cloud, il convient de suivre quelques règles de base:
- 1. Connaissance et responsabilité
Quelle que soit la solution utilisée, l’entrepreneur est seul responsable de leur sécurisation. Il a un contrôle total sur l’infrastructure – configuration des logiciels, des données et des applications, contrôle d’accès et authentification. L’entrepreneur doit assurer la mise en œuvre et l’application d’un niveau de protection des données suffisamment élevé.
- 2. Contrôle d’accès
L’un des plus gros problèmes liés à l’utilisation des services cloud est la divulgation accidentelle des ressources de l’entreprise au public. Il vaut la peine d’envisager la possibilité d’utiliser des outils qui vous permettent d’effectuer un audit rapide et de vérifier exactement ce qui (et à qui) a été mis à disposition. Une autre erreur consiste à autoriser les connexions SSH directement à partir d’Internet, ce qui permet aux utilisateurs non autorisés de trouver et d’exploiter les lacunes et les erreurs de configuration des services cloud.
- 3. Cryptage des données
C’est une grave négligence des administrateurs de stocker des données non chiffrées dans le cloud. L’utilisation du cryptage empêche la lecture des données, même en cas de fuite ou de vol. C’est une bonne pratique d’essayer de garder un contrôle total sur les clés de chiffrement, bien que ce ne soit pas toujours possible, il est parfois nécessaire de les mettre à la disposition, par exemple, des partenaires commerciaux.
- 4. Protection des données de connexion
L’entrepreneur est responsable d’assurer un niveau de sécurité suffisamment élevé pour les données de connexion. Pour chaque application, ressource ou service, vous devez créer des mots de passe distincts, uniques et suffisamment forts, et n’oubliez pas de les changer régulièrement. Grâce à cela, même en cas de fuite ou de vol de données, il y a de fortes chances que des cambrioleurs s’emparent de votre mot de passe périmé. Il est également important d’attribuer des autorisations avec précision et de donner aux utilisateurs l’accès uniquement aux ressources auxquelles ils devraient avoir accès. Vous devez également vérifier régulièrement votre système pour les comptes d’utilisateurs inactifs – et si c’est le cas, les supprimer.
- 5. Authentification multifacteur
Il vaut la peine d’utiliser l’authentification à plusieurs niveaux, qui renforce considérablement la sécurité standard avec l’utilisation d’un identifiant et d’un mot de passe. Un type populaire d’authentification multifacteur est la vérification en deux étapes, qui consiste en deux étapes : saisir l’ID utilisateur et le mot de passe d’authentification corrects, puis saisir un code accessible uniquement au titulaire du compte approprié sur un site Web donné.
- 6. Transparence
Il est recommandé d’utiliser des outils pour identifier les tentatives d’attaque potentielles, les comportements suspects, les erreurs et autres anomalies. Les fournisseurs des plates-formes cloud les plus populaires proposent des outils qui vous permettent d’activer une connexion sécurisée, ainsi que de surveiller toute tentative de connexion infructueuse/suspecte.
- 7. “Maj-gauche” dans la sécurité
Il vaut la peine de planifier la mise en œuvre des fonctions de sécurité à un stade très précoce de la création ou de la mise en œuvre d’une solution innovante dans l’entreprise – c’est-à-dire d’utiliser l’approche “shift-left”. Le plus souvent, cependant, l’entrepreneur met d’abord en œuvre une solution, puis n’y ajoute que des fonctions et des outils de sécurité – ce qui, d’un point de vue économique, est rentable pour moi.