Avant même la pandémie, les organisations créaient des plans de transformation numérique. Dans de nombreux cas, cela incluait la migration des charges de travail vers le cloud. Lorsque les difficultés organisationnelles causées par le Covid-19 se sont accentuées, ces entreprises ont dû enfin mieux les sécuriser, comme l’explique Gerald Delplace, VP Europe du sud d’Imperva.
Au départ, les entreprises visaient à moderniser l’infrastructure et la sécurité en parallèle. Cependant, une fois la modernisation commencée, l’infrastructure a rapidement évolué et pris de l’avance. Dans de nombreux cas, cette accélération a été encouragée, ce qui a rendu encore plus difficile le rattrapage de la mise en place de nouveaux systèmes de sécurités.
Par exemple, au cours du projet de modernisation d’une organisation, chaque investissement dans une application peut être réalisé sur une plateforme ancienne ou moderne (en cloud). Un budget est prévu pour les deux, mais compte tenu de la pression créée par la pandémie, la mise en place de la plate-forme existante prendrait trop de temps. Pour respecter le calendrier accéléré, les équipes informatiques pourraient être tentées de transférer le budget de la plateforme traditionnelle à la plateforme moderne pour soutenir le développement de nouvelles applications. Tout cela est bien beau, mais qu’en est-il de l’impact sur la sécurité ?
Combler le fossé croissant en matière de sécurité
D’un point de vue général, la modernisation rapide signifie que les organisations ont adopté le cloud plus rapidement. L’inconvénient est qu’elles n’étaient pas prêtes à intégrer la sécurité. Les environnements modernes offrent de nombreux avantages – par exemple, pour les développeurs. Mais il est peu probable que les développeurs fassent passer les questions de sécurité au premier plan. Pour les professionnels de la sécurité, une plate-forme moderne plus récente signifie une moindre reconnaissance et une moindre compréhension des risques et menaces potentiels. Réduire l’écart de sécurité signifie impliquer et interagir avec des équipes et des outils supplémentaires, ce qui, bien que faisable, est objectivement plus difficile.
Aujourd’hui, de nombreuses organisations qui ont accéléré leur plan de modernisation sans faire un bond correspondant en matière de modernisation de la sécurité, sont confrontées à un déficit de contrôles de sécurité et ne disposent pas des compétences critiques nécessaires pour rattraper leur retard. Pour commencer à combler ces lacunes en matière de sécurité, de contrôles, de conformité et de confidentialité, les professionnels de la sécurité auront besoin de la coopération de l’équipe d’architecture en cloud computing afin d’obtenir les privilèges requis pour faire le nécessaire.
Adapter les anciennes pratiques de sécurité aux nouvelles plates-formes
Les organisations sont confrontées à deux risques principaux liés au manque de sécurité. Le premier est une fuite ou une violation de données qui peut entraîner des répercussions négatives sur une organisation pendant des années si l’on tient compte des enquêtes et des mesures correctives officielles. Le second est la non-conformité.
Pour combler l’écart de sécurité après une modernisation accélérée, une organisation doit, au minimum, suivre des pratiques de sécurité des données. Dès le départ, lorsque les entreprises déplacent rapidement des charges de travail, elles perdent souvent la trace de l’endroit où résident leurs données sensibles. Pour sécuriser les données sensibles, il est important de disposer d’un bon catalogue de données, de savoir où se trouvent les copies, où sont peut-être les snapshots, etc.
Les organisations doivent également appliquer des politiques de contrôle d’accès à leurs données sensibles. Les organisations doivent également mettre en place des politiques de contrôle d’accès à leurs données sensibles. Elles doivent disposer de pistes d’audit, de la capacité de soumettre les données à des analyses médico-légales si nécessaire, de la capacité de valider les droits et de les réduire, et de vérifier les vulnérabilités du point de vue de la surface d’attaque.
Ces pratiques ne sont pas nouvelles ; ce qui est nouveau, ce sont les environnements modernes. Cependant, tout le monde ne sait pas comment appliquer ces pratiques à ces nouveaux environnements, et ce déficit de compétences contribue au déficit de sécurité actuel.
« Les 6 questions » de la visibilité
Les mandats de conformité portent sur la visibilité et les contrôles de sécurité. Les organisations doivent créer une couche de base de visibilité sur les données, car elle conditionne tout le reste. En faisant de la visibilité leur priorité, les entreprises parviendront le plus souvent à satisfaire la plupart de leurs exigences de conformité. Sans une visibilité suffisante, elles ne sauront pas où se trouvent les données ni ce qui se passe et ne seront pas en mesure d’atténuer efficacement les risques de sécurité.
Pour établir un certain niveau de comportement de base, il est important de connaître les « 6 questions » de vos données :
• Qui y accède ?
• Qu’est-ce qu’ils en font ?
• Pourquoi en ont-ils besoin ?
• D’où y accèdent-ils ?
• Quand y accèdent-ils ?
• Quels serveurs utilisent-ils ?
Sans ces informations, il est difficile de créer une politique de contrôle d’accès. Un autre aspect de la visibilité est la classification des données. Pour se conformer à la réglementation sur la protection de la vie privée, les organisations doivent disposer d’un moyen cohérent et évolutif de découvrir et de cataloguer les données sensibles et de les préparer à répondre aux demandes de droits des sujets. L’incapacité à le faire pourrait entraîner des conséquences dues à la non-conformité aux réglementations sur la vie privée.
