Le cloud inquiète ? Voici 4 mesures pour une sécurité renforcée

Avec l'évolution continue des pratiques de sécurité liées au cloud, les directeurs informatiques et les responsables de la sécurité des informations devraient évaluer et gouverner de manière proactive les risques de sécurité. Les opportunités offertes par les solutions cloud continuent de croître, et l'adoption du cloud de s'étendre. Les entreprises tentent de mieux contrôler leurs coûts et/ou d'innover. Pourtant, la sécurité reste toujours une inquiétude pour de nombreuses entreprises. La manière dont les fournisseurs cloud et leurs clients envisagent la sécurité évolue et les meilleures pratiques et politiques de sécurité émergent seulement. La sécurité revient régulièrement parmi les trois principales inquiétudes exprimées par les chefs d'entreprise lorsqu'on leur demande pourquoi ils sont réticents à transférer leurs données critiques sur le cloud. Vous commencez à intégrer les avantages des applications en mode cloud et de l'infrastructure qui l'accompagne, mais comment votre équipe devrait-elle envisager la sécurité lors de l'étude des alternatives cloud ? 1. Évaluez la conformité de votre fournisseur en matière de sécurité par rapport aux normes et aux meilleures pratiques. L'idéal est de réaliser un audit direct de vos fournisseurs informatiques en examinant tous les aspects de leur conformité en matière de sécurité du cloud par rapport aux normes de l'industrie. Cependant les audits directs ne sont que rarement voire jamais autorisés et les normes de l'industrie sont toujours en cours d'élaboration. Notre prochain conseil est de vous fier à la conformité déjà vérifiée, mais par rapport à quelles normes ? Il existe la norme ISO 27001, l'organisme Cloud Security Alliance (CSA) et un ensemble de directives et de meilleures pratiques telles que la norme SAS 70, mais c'est tout pour le moment. Quelle est la meilleure approche ? Commencez par rechercher un fournisseur qui respecte avec certitude les normes ISO. Poursuivez en discutant des recommandations du CSA, de la norme SAS 70 et des autres directives adéquates dans votre cas. Plus important encore, votre directeur de la sécurité ou vous devez comprendre ce qui importe le plus pour votre entreprise en matière de sécurité, et vous devez en discuter avec le responsable de la sécurité des informations du fournisseur. 2. Évaluez la criticité de vos données par rapport aux risques potentiels de sécurité. Certains types de données confidentielles, notamment les fichiers RH, les dossiers de santé, les informations sur les salaires et les plans produit confidentiels, sont exposés à de grands risques s'ils sont partagés par le biais de solutions insuffisamment sécurisées. L'important est d'établir une échelle des risques au niveau de vos données (publiques à hautement critiques), puis réfléchissez à l'emplacement où elles doivent être hébergées, à la durée pendant laquelle elles doivent être protégés et aux programmes de protection appropriés. Réfléchissez à la valeur pour l'entreprise par rapport au risque. 3. Créez une équipe interne responsable de l'évaluation continue des risques. De nombreuses entreprises pensent que la meilleure façon d'éviter une approche trop ponctuelle de l'évaluation des risques consiste à créer une équipe interne dédiée. Les sociétés qui disposent déjà de fonctions d'audit internes et externes pour répondre aux exigences réglementaires peuvent intégrer l'évaluation des risques liés au cloud à ces processus existants. Il ne s'agit pas d'ajouter un niveau d'administration, mais plutôt de s'assurer que quelqu'un de compétent a la responsabilité de surveiller ces risques. Cette couche de sécurité informatique interne peut fournir une évaluation proactive des risques ainsi que des recommandations à l'ensemble de l'entreprise. Essayez d'automatiser ces pratiques autant que possible et d'éliminer tout processus manuel ou répétitif pour accroître l'efficacité et la précision. 4. Informez vos employés de la manière dont le cloud modifie le rôle de la sécurité informatique. La sécurité doit être le souci de chacun, et la responsabilité de tous. Cela a toujours été le cas, mais le cloud amplifie cette réalité. Les sociétés, peu importe leur taille, doivent parfaitement comprendre les éventuels risques métier associés à des applications et des données non sécurisées. Le défi consiste à s'assurer que chaque employé comprend les implications liées à une sécurité inappropriée des données d'entreprise critiques sur le cloud. Pour changer les mentalités, vous pouvez parler de « gouvernance de la sécurité et des risques » au lieu de « contrôle de la sécurité ». Cela signifie être proactif au lieu d'être réactif, en mettant en place des processus de gouvernance afin d'éviter les problèmes avant qu'ils ne surviennent. Nous savons tous qu'aujourd'hui dans les entreprises, les services basés sur le cloud se généralisent et sont facilement accessibles. Les employés doivent réfléchir avant de souscrire à des services cloud et de stocker ou de partager les données sur le cloud. En définissant clairement le rôle du responsable de la sécurité des informations et de l'équipe de sécurité au sein de l'environnement cloud, et en établissant des meilleures pratiques pour éviter les risques, vous faites un grand pas pour obtenir le support de vos employés. Le rôle du responsable de la sécurité des informations L'émergence des solutions cloud a participé à la réorganisation du rôle des équipes de sécurité informatique. On a souvent considéré la sécurité comme fixée à la fin du processus, mais une approche plus globale est en train d'émerger. Les mesures décrites ci-dessus intègrent toutes des responsables de la sécurité en amont du processus, notamment dans l'évaluation initiale des options cloud, dans la formation interne des employés et dans l'évaluation continue des besoins en matière de gestion des risques et de conformité. Cette intégration plus approfondie de l'équipe du responsable de la sécurité des informations dans la sécurité de l'entreprise souligne un avantage supplémentaire du cloud : il force l'organisation à adopter une approche plus globale et plus efficace par rapport à la gouvernance des risques.