[Tribune] Cinq impératifs de sécurité à l'intention des nouveaux utilisateurs du Cloud

Ce sont les primo-utilisateurs du Cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité.

1. Apprenez à mieux connaître les environnements Cloud

Tout projet Cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme Cloud, le fournisseur du service réseau et l'entreprise cliente. Le Cloud doit être pensé en tant qu'extension du centre de données de l'entreprise, d'où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur Cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le Cloud est un environnement dynamique qui implique des mises à jour régulières de l'architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s'immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur Cloud, ainsi que les vôtres. Pour certains types de Cloud, les IaaS notamment, l'entreprise cliente est responsable de la sécurité de ses applications et données dans le Cloud. Il est également essentiel d'identifier les appliances de sécurité et technologies proposées par le fournisseur de services Cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité

Prêt à migrer une application dans le Cloud ? Mais avant, interrogez-vous sur l'intérêt de déployer des couches de sécurité dédiées aux processus d'authentification et de connexion à vos applications Cloud.

Pour sécuriser l'accès à votre application Cloud, vous devez déployer un schéma d'accès granulaire aux données, qui, par exemple, associe des privilèges d'accès à des rôles, des postes ou des projets. Vous disposez ainsi d'une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d'un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du Cloud. Pour renforcer votre processus d'authentification, pourquoi ne pas adopter l'authentification à deux facteurs ou l'utilisation des mots de passe OTP (à usage unique) ?

Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.