Entreprise dans le cloud : à qui appartiennent ces données ?


En matière de sécurité des données dans le cloud, qu’est-ce qui empêche Robert Sullivan de dormir la nuit ? “Tout, toute la journée”, déclare en riant le responsable de la sécurité de l’information d’Agero.

Basé à Medford, dans le Massachusetts, Agero est un service en marque blanche pour les conducteurs qui coordonne les activités, de l’assistance routière à la gestion des accidents. Les partenaires B2B incluent des géants de l’assurance et de l’automobile. “Non seulement nous ne voulons pas que les gens aillent là-bas et volent des données, mais il serait difficile de discuter avec un client et tous les autres clients exactement de la manière dont une violation de données client s’est produite”, déclare Sullivan, qui est également vice-président de Technology Shared. Services à Agero. “Ma plus grande préoccupation est que nous mettons d’une manière ou d’une autre les données d’un client à disposition et que nous ne faisons pas la diligence raisonnable dont nous avons besoin pour les protéger.”

En créant un plan de sécurité et en prenant des précautions raisonnables, les organisations peuvent réduire considérablement la probabilité que leurs données tombent entre de mauvaises mains. Être intelligent en matière de données signifie poser les bonnes questions aux fournisseurs de cloud potentiels, mais aussi partager la responsabilité des violations potentielles.

La sécurité du cloud semble être une priorité absolue pour les entreprises. Dans le récent rapport de Deloitte Rapport d’enquête américain sur l’avenir de la stratégie cloud, 91 % des 500 entreprises interrogées ont déclaré avoir mis à jour leurs stratégies commerciales et opérationnelles pour gérer la sécurité, les risques et les contrôles du cloud. Pendant ce temps, 83 % ont déclaré que leurs investissements dans le cloud donnent des résultats positifs en atténuant les risques commerciaux et réglementaires.

Dans quelle mesure les fournisseurs de cloud protègent-ils les données des clients ? “Ils ont fait un travail vraiment, vraiment solide dans le passé”, a déclaré Daniel Schiappa, directeur des produits de la société de cybersécurité Arctic Wolf Networks, partenaire d’Amazon Web Services (AWS).

Cela inclut la séparation des données des différents clients, ajoute Schiappa, dont le client d’Eden Prairie, Minnesota, comprend Agero. “Je développe des solutions sur AWS depuis des décennies et je n’ai jamais rencontré de problème où mes données ou des données provenant de mes solutions apparaissaient dans l’environnement de quelqu’un d’autre et vice versa.”

Cependant, les organisations doivent se rappeler que la sécurité des données est une responsabilité partagée avec leur fournisseur de cloud. « Parfois, vous l’entendez comme un destin partagé », explique Ryan Orsi, responsable des partenaires Worldwide Cloud Foundations pour la sécurité chez AWS.

Alors que le fournisseur est responsable des systèmes d’exploitation hôtes, des couches de virtualisation et de tous les appareils et bâtiments dans lesquels réside le cloud, la soi-disant sécurité dans le cloud relève de la responsabilité du client, explique Orsi. “Dès qu’ils créent une application, dès qu’ils téléchargent des données dans le cloud, ils en sont responsables.”

Les fournisseurs de cloud vous offrent de nombreux mécanismes dont vous avez besoin pour la protection des données, déclare Dan Mellen, responsable mondial de la cybersécurité du cloud et de l’infrastructure chez Accenture. “Mais ce que je constate, et ce que je constate chez la plupart de nos clients, c’est qu’ils ne comprennent pas toujours les options disponibles pour protéger ces données”, note Mellen. Dans le même temps, différentes unités commerciales pourraient partager des données sans standardisation, dit-il. “Il s’agit en partie d’un problème de gouvernance du point de vue de l’utilisation des données et du cloud.”

Et de plus en plus, les cybercriminels volent facilement des données. “L’une des plus grandes menaces que nous voyons dans l’industrie aujourd’hui est que les pirates exploitent des vulnérabilités moins complexes et exploitent davantage les personnes et l’accès aux services cloud pour accéder à ces données”, a déclaré Tyler Healy, vice-président de la sécurité chez DigitalOcean, un cloud fournisseur d’infrastructures dont le siège est à New York. Ces faiblesses pourraient inclure la non-activation de l’authentification à deux facteurs ou la définition trop large des autorisations d’accès.

Le piratage d’Uber de cette année en est un excellent exemple. “Cela se résumait vraiment à la fatigue 2FA”, explique Healy. “Pour que quelqu’un puisse accéder aux informations d’identification du compte, une authentification à deux facteurs, qui est une notification push sur votre téléphone.”

En tant que client, vous devez définir vos propres politiques de sécurité des données, explique Schiappa. “Le fournisseur fera ce que la plate-forme doit faire, mais vous devez également faire ce que vous pensez être bon pour vos données.” Tout commence par un plan : “Une fois que vous avez ce plan de données en place, vous pouvez examiner le différents clouds – Vérifiez les fournisseurs et assurez-vous qu’ils existent [meet] les besoins que vous avez.

Si vous utilisez l’infrastructure en tant que service (IaaS) – une construction cloud qui vous permet de créer vos propres serveurs, par exemple – attendez-vous à plus de travail de sécurité qu’avec le logiciel en tant que service (SaaS), prévient Sullivan. “C’est un plus grand avantage pour le client car vous devez comprendre ce que vous faites : comment cela affecte-t-il la sécurité de la plate-forme ?”, déclare-t-il. « Le fournisseur de cloud peut donc faire beaucoup pour s’assurer que vous êtes en sécurité dans son environnement cloud. Cela ne signifie pas que vous êtes en sécurité dans leur environnement cloud.”

Agero travaille avec les clients pour développer une feuille de contrôle qui comprend des détails tels que Par exemple, si l’authentification multifacteur est activée et si toutes les données sont chiffrées au repos et en transit, dit Sullivan. “Au fil du temps, à mesure que vous comprenez vos propres risques et ce que vous faites dans l’espace, quelles données vont et viennent, quelles sont vos préoccupations, vous mûrissez en quelque sorte cette feuille de contrôle des données.”

Du point de vue de la sécurité des données, qu’est-ce qui caractérise un fournisseur de cloud fiable ? Orsi recommande d’examiner les fonctionnalités natives dans quatre domaines clés : le chiffrement, la gestion des clés, l’identité et les contrôles d’accès. “Ensuite, regardez également comment ces capacités sont augmentées grâce à votre écosystème de partenaires”, dit-il. “Les partenaires, ces éditeurs de logiciels et ces intégrateurs de systèmes — ils peuvent aider le client à adopter les meilleures pratiques beaucoup plus rapidement.”

Sullivan suggère d’examiner les certifications d’un fournisseur. « Avez-vous une certification ISO ? Ont-ils la certification NIST ? » dit-il, citant l’Organisation internationale de normalisation et l’Institut national des normes et de la technologie. “Et non seulement ils adhèrent à cette norme, mais une vérification par un tiers est impliquée.”

Il convient également d’équilibrer leur engagement envers les réglementations en matière de confidentialité telles que la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le règlement général sur la protection des données (RGPD) de l’Union européenne, déclare Healy. “Les entreprises qui vont au-delà le démontrent en communiquant sur la façon dont elles traitent les données des clients et en donnant la priorité à la confidentialité des clients.”

Quels sont les drapeaux rouges ?

C’est une question simple pour le client, affirme Orsi. “S’ils ne se sentent pas sûrs à 100 % de l’endroit où se trouvent toutes leurs données et s’il y a des données personnelles à ces endroits, c’est un signal d’alarme”, dit-il. “Il existe de nombreuses raisons et scénarios différents pour lesquels les données personnelles peuvent se retrouver au mauvais emplacement de stockage de données et compromettre leur statut de conformité aux réglementations applicables.”

Vous devez également savoir où en est un fournisseur de cloud en termes de souveraineté des données, déclare Schiappa. “Si vous êtes une multinationale et que vous allez travailler partout dans le monde et faire des affaires dans certaines régions, y a-t-il des problèmes de souveraineté des données là-bas ?”, s’interroge-t-il. “Et votre fournisseur de cloud dispose-t-il d’une instance dans cette région afin que vous puissiez réellement conserver les données sur site ?”

Toute personne préoccupée par la manière dont un fournisseur pourrait partager des données peut consulter son accord de traitement des données, note Healy. “Une entreprise devrait dire à ses clients qui sont ses fournisseurs en aval”, dit-il. “Si vous manquez d’espace, je dirais que vous ne feriez peut-être pas confiance à vos données.”

En plus de surveiller qui pourrait partager et monétiser leurs informations clients, Healy conseille aux entreprises de collecter elles-mêmes le moins de données possible. “Je pense que cela devrait toujours être la ligne de base standard.”

Un autre point d’achoppement potentiel est l’hygiène des données, dont les normes varient. Par exemple, la console de gestion AWS signale désormais les compartiments de stockage qui sont accessibles au public ou non chiffrés, quel que soit le type de données, explique Mellen. “Ces capacités sont des exemples de mesures positives prises par les hyperscalers”, dit-il. “Si vous recherchez un fournisseur et que vous ne voyez pas ces types de fonctionnalités, ce fournisseur n’a peut-être pas le même intérêt pour la sécurité des données.”

Mellen préfère une équipe interne de sécurité des données. “C’est assez unique, assez grand et assez important”, dit-il. “J’ai même vu de grandes organisations mondiales disposer d’équipes de sécurité des données localisées.”

Pour les organisations qui manquent d’expertise interne, Schiappa recommande de rechercher une aide extérieure pour développer un plan de sécurité des données avant de s’engager auprès d’un fournisseur. “Cela va affecter de nombreuses exigences que vous allez avoir lors du choix du bon fournisseur de plate-forme, puis de la mise en service de ces choses”, dit-il. “Vous ne voulez pas le savoir après coup.”

Tourné vers l’avenir, Orsi considère la cyber-résilience comme essentielle. “Si un événement de sécurité potentiel se produit et perturbe l’accès aux données ou à l’application elle-même, il est vérifié dans quelle mesure l’architecture et l’application ont été conçues”, dit-il, faisant référence à une attaque de ransomware. “Que ce soit dans le cloud ou sur site ou vraiment n’importe où, c’est un domaine dans lequel je pense que les entreprises devraient chercher à investir.”

Sullivan marque Cloud Security Posture Management (CSPM) comme un nouveau service. “Ce sont des jeux avancés où les solutions – et certaines d’entre elles sont de multiples nuages ​​afin qu’ils puissent le faire sur n’importe quel joueur qui existe – ils interrogent toutes vos configurations et recherchent des vulnérabilités”, dit-il. “Et recherchez également pour vous assurer qu’il correspond à votre ligne de base.” En plus d’identifier les vulnérabilités, les outils CSPM apprennent à les corriger.

Une autre technologie qui gagne du terrain est que les clients stockent des données auprès d’un fournisseur de cloud à l’aide d’une clé de cryptage qu’ils détiennent, explique Schiappa. “La plate-forme doit être capable de lire ces données afin qu’elle dispose d’une clé temporaire qu’elle utilise pour cette transaction, et cette clé est déchiquetée.” Pour quiconque a accès à vos données avec cette méthode de cryptage, c’est comme entrer par effraction une bijouterie et ne pas pouvoir voler quoi que ce soit, dit Schiappa.

“La dernière partie de cette transition vers le cloud qui n’est pas passée de la sécurité informatique traditionnelle est le chiffrement”, ajoute-t-il. “Cela devient un élément plus critique.”

La capacité des consommateurs à gérer leurs propres données dans le cloud continuera de croître, prédit Healy. « Si vous vous êtes inscrit auprès d’un fournisseur de cloud réputé, ou de n’importe quel fournisseur de logiciels qui utilise des services cloud, vous devriez pouvoir dire : ‘S’il vous plaît, oubliez-moi complètement ; Veuillez oublier toutes les données que j’ai stockées dans votre cloud et elles devraient être complètement effacées.

Les gens devraient également être en mesure de savoir où leurs données sont stockées, affirme Healy, qui ne sait pas à quelle vitesse de telles pratiques pourraient devenir la norme. “Mais je pense que les fournisseurs de services cloud les plus fiables devraient être en mesure d’offrir cela essentiellement comme une tranquillité d’esprit et de bonnes pratiques de confidentialité pour leurs clients en tant que différenciateur.”

Blog In 2021 joker0o xyz

Add Comment