Pour gérer vos consentements :

Il s’agit aussi d’un défi particulièrement délicat en termes de sécurité informatique. Cette dernière nécessite une centralisation et normalisation de ses processus, sans lesquelles le manque de cohérence offre une véritable porte ouverte aux acteurs malveillants.

En effet, l’enjeu principal de l’informatique hybride réside dans le fait que même en appliquant les mesures de sécurité les plus strictes et les plus onéreuses dans une partie de l’environnement hybride, il suffit d’une vulnérabilité dans une autre partie pour compromettre l’ensemble du système de l’entreprise.

Voici les trois vulnérabilités à surveiller et à gérer quand on utilise un environnement IT hybride.

1 –  Les tests de vulnérabilité

Dans les processus de développement classiques, en cascade, les tests de sécurité sont généralement effectués à la fin du cycle. S’il est possible d’accélérer ces tests en raison des inévitables retards au cours du développement, cette étape est souvent anticipée et traitée adéquatement. Il est donc acceptable de décaler le déploiement pour garantir la stabilité des applications, surtout si elles doivent générer des revenus importants.

Mais aujourd’hui, une grande partie du nouveau code déployé est développé dans le cadre de méthodologies Agile, à l’échelle d’un pipeline DevOps qui se termine dans le Cloud public.
Comme cette méthodologie priorise avant tout la rapidité, il est plus difficile de justifier les retards occasionnés par les tests de vulnérabilité à la fin du développement, voire parfois après le déploiement.

Au lieu d’attendre la fin du cycle (qu’il soit Agile ou en cascade) pour tester le code, il est judicieux d’effectuer ces vérifications plus en amont et avant le déploiement, par exemple au moment où le code est intégré à la base dans le pipeline DevOps. Cette approche appelée « shift-left » permet de réaliser des tests de sécurité pour identifier suffisamment tôt le code vulnérable utilisé dans les bibliothèques ou d’autres méthodes de programmation à risques, ce qui évite les opérations correctives onéreuses.

2 – La gestion des identités et des accès

Les entreprises réalisent des investissements conséquents dans les systèmes de gestion des identités et des accès pour permettre à leurs sous-traitants et à leurs salariés d’utiliser les ressources dont ils ont besoin, tout en étant capable de prouver aux auditeurs qu’ils appliquent bien les principes du moindre privilège. Cependant, ces investissements ciblent majoritairement les environnements traditionnels.

Le Cloud public est quant à lui un véritable patchwork de services SaaS acquis par les divisions métier, accompagnés d’infrastructures ou de plateformes (généralement AWS ou Azure) utilisées par les développeurs, sans tenir compte des politiques ou des contrôles de sécurité.
Parallèlement, de nombreuses entreprises ont tendance à gérer leurs systèmes sur site et Cloud séparément, en s’imaginant que la gestion des identités et des accès des applications Cloud doit se faire dans le Cloud.

Le défi réside dans le fait que dans le cas des configurations hybrides, les environnements Cloud et traditionnels sont intégrés : par conséquent, ces politiques et contrôles représentent le plus petit dénominateur commun.

Les cybercriminels sont toujours friands d’identifiants administrateur, surtout lorsque lesdits administrateurs ont à la fois accès au Cloud et au data center de l’entreprise.
Pour pouvoir appliquer les politiques de façon cohérente et obtenir une visibilité claire sur tous les droits d’accès et les utilisations inhabituelles, les entreprises doivent gérer leur système de gestion des identités et des accès de manière centralisée.

3 –  Les politiques de chiffrement

Aujourd’hui, des volumes de données considérables sont stockés dans le Cloud.
À l’heure où la sécurité des informations s’impose comme un enjeu clé pour les entreprises et les fournisseurs Cloud, il est désormais possible de chiffrer les données au repos dans les compartiments Amazon S3 ou dans Azure SQL Database. Les organisations peuvent (et devraient) également chiffrer les données en transit, en particulier dans les échanges entre l’entreprise et les environnements Cloud externes.

La principale difficulté réside dans l’application cohérente des politiques à l’échelle de l’environnement IT hybride, surtout dans le cas des données non structurées. La plupart des entreprises s’appuient quotidiennement sur le partage de fichiers et sur les répertoires de code, en interne et dans le Cloud, sans chiffrement systématique.

Quand les salariés ne disposent pas d’un système de partage des informations pratique, ils ont tendance à utiliser d’autres outils comme Dropbox ou Bitbucket non soumis aux politiques et aux contrôles de sécurité de l’entreprise.

Or, il est vital d’appliquer les politiques et contrôles de protection des données à l’échelle de l’ensemble de l’environnement hybride, tout au long du cycle de vie de ces informations. Il faut parallèlement s’assurer que les données restent accessibles pour les applications qui en ont besoin, tout en garantissant la transparence du chiffrement pour les utilisateurs finaux. Sans cela, les salariés contourneront les processus et génèreront des vulnérabilités supplémentaires dans l’entreprise.

Recent Posts

Du ransomware au ransomware as a service : comment aller plus loin dans la lutte à l’heure de l’Intelligence artificielle

Si j'avais un seul souhait à formuler pour 2024, ce serait que l'on cesse d’appeler…

3 heures ago

Le défi de la cybersécurité des infrastructures critiques du secteur de l’énergie

La cybersécurité est un enjeu crucial pour le secteur de l'énergie et de manière générale…

2 jours ago

Les paquets de données : pilier fondamental de la cybersécurité

L'absence d'une analyse poussée des paquets de données peut avoir des conséquences désastreuses pour les…

6 jours ago

Les entreprises en quête de solutions face aux faiblesses du cloud

La convergence d'un cadre de Zero Trust et d'une collaboration renforcée entre les équipes de…

1 semaine ago

Dark Web et groupes de cybercriminels : décryptage

Il est assez compliqué de bloquer l’accès au Dark Web. Cependant, en bloquant l’installation du…

1 semaine ago

Allier le FinOps au GreenOps pour des dépenses Cloud plus écoresponsables

En adoptant la méthode FinOps, une entreprise s’assure une optimisation de ses investissements Cloud. En…

2 semaines ago