• Email : contact@refbax.com

Cloud Security : Les défis et stratégies pour les CISO

Facebook
Twitter
LinkedIn
Temps de lecture : 4 minutes

Voilà, le cloud est aujourd’hui incontournable pour les entreprises. Mais derrière cette transition se cache un véritable casse-tête pour les CISO (responsables de la sécurité informatique). Selon Gartner, les dépenses en sécurité cloud devraient augmenter de 24% cette année, faisant de ce segment le plus dynamique du marché de la cybersécurité. Eh oui, migrer vers le cloud demande de repenser en profondeur la stratégie de sécurité. Pas évident !

S’adapter et ajuster pour remporter la bataille

Le passage au cloud n’est pas une simple formalité. Bien que les entreprises cherchent à l’intégrer dans leurs opérations quotidiennes, cette transition comporte plus d’embûches que la plupart des CISO ne le pensent. J’ai pu le constater dans mes recherches et mon expérience de consultant de 20 ans (avant et après l’avènement du cloud).

Les problèmes persistants de la sécurité informatique traditionnelle subsistent dans le cloud : gouvernance, mauvaises configurations, chaînes d’approvisionnement et pipelines non sécurisés, perte ou exfiltration de données, et échecs dans la gestion des secrets et des clés. S’ajoutent des risques propres au cloud comme la visibilité limitée, les surfaces d’attaque dynamiques, la prolifération des identités et les malentendus autour de la responsabilité partagée, de la conformité, de la réglementation et de la souveraineté. Et ce n’est que la partie émergée de l’iceberg !

La plupart des CISO m’avouent ne pas encore bien comprendre ce qui doit changer dans leur stratégie pour s’adapter au cloud.

Beaucoup se sentent bernés par les promesses des fournisseurs de cloud concernant les efforts de sécurisation nécessaires. Pourtant, j’ai écrit maintes fois sur le sujet, mais bon, inutile de leur dire « Je vous l’avais bien dit » alors qu’ils peinent à s’y retrouver. Il faut plutôt les aider à faire mieux.

Le modèle de responsabilité partagée, un casse-tête

Nombreux sont les CISO et leurs équipes à avoir besoin d’éclaircissements sur le fameux modèle de « responsabilité partagée » des grands fournisseurs de cloud public comme AWS ou Azure. Ce modèle définit les responsabilités respectives du fournisseur et du client en matière de sécurité, et c’est généralement la première diapo de toute présentation sur la sécurité cloud depuis 2008.

Les problèmes surviennent souvent à cause de malentendus sur les technologies concernées et l’étendue des obligations de sécurité des fournisseurs. La conformité, la visibilité des données sensibles, la continuité d’activité et les accords de niveau de service (SLA) parfois confus deviennent des casse-tête que les CISO n’avaient pas anticipés. Comme me l’a confié un CISO après 12 ans à gérer la sécurité cloud :

« Il ne s’agissait jamais vraiment de ‘responsabilité partagée’, c’était toujours ma seule responsabilité, un point c’est tout. »

Les principaux pièges pour les CISO dans la gestion de la sécurité cloud

Les CISO tombent souvent dans plusieurs pièges :

  • Les métiers n’ont pas suffisamment pris en compte les besoins de sécurité.
  • La complexité du cloud a été sous-estimée.
  • La stratégie cloud, l’architecture ou les initiatives de transformation se font sans l’avis du CISO, qui doit ensuite tout sécuriser.
  • L’absence de collaboration avec les DSI bloque les pipelines de développement avec des processus de sécurité dépassés.
  • Les anciens schémas de sécurité sont appliqués aux nouvelles technologies.

Pas de raccourci, juste du travail de fond

Pfiou, ça fait beaucoup de défis à relever ! Je vous recommande plusieurs stratégies pour y faire face. L’automatisation des outils de gestion de la sécurité cloud est cruciale. L’automatisation, c’est votre meilleure amie dans ce contexte. De plus, établir une solide gouvernance de la sécurité cloud aide à prioriser les alertes et à sécuriser les points d’entrée dans le cloud. Courir dans tous les sens pour chaque anomalie n’est pas viable, et vous risquez de passer pour « le petit garçon qui criait au loup » avant de subir une brèche.

Consolider les efforts de sécurité et viser l’immuabilité sont aussi des bonnes pratiques incontournables. Sans oublier de former et développer les compétences de vos équipes de sécurité, un aspect essentiel pour s’adapter à l’évolution rapide du paysage cloud. La plupart des brèches proviennent d’un manque de formation, pas d’un manque de technologies. Un CISO me confiait récemment : « Je peux avoir la meilleure techno cloud, je ne pourrai jamais corriger la bêtise humaine ». Les mauvaises configurations sont la première cause de failles dans le cloud.

Pas de solution unique, faites les bons choix

Bien sûr, vous devrez traiter les problématiques spécifiques à votre entreprise. Les CISO adoptent souvent de bonnes idées d’analystes ou de cabinets qui ne correspondent pas à leur contexte. La sécurité cloud ne se résume pas à une solution unique. Elle doit être systémique et intégrée dès le début, pas juste ajoutée à la fin du déploiement. Les entreprises se mettent souvent dans le pétrin parce que la sécurité est mal couplée, donc inefficace.

Je n’ai malheureusement pas de formule magique à vous donner pour une meilleure sécurité cloud. Ça demande de faire les choses intelligemment et avec des objectifs clairs pour gagner la partie. Je sais, personne n’aime entendre ça, car cela implique davantage de planification et de recherche (bof, que du bon temps quoi !).

Mais il n’y a pas de raccourci, juste du travail de fond à fournir. C’est l’unique chemin pour gagner cette bataille de la sécurité dans le cloud. Mieux vaut s’y faire !

Résumé / TL;DR

  • Le cloud exige de repenser en profondeur la stratégie de sécurité
  • Les malentendus sur le modèle de responsabilité partagée créent des failles
  • Les CISO doivent éviter plusieurs pièges courants dans la gestion du cloud
  • L’automatisation, la gouvernance et la formation sont essentielles
  • Pas de solution unique, mais un travail constant d’adaptation

Laisser un commentaire

Sur le même thème 🤩

Qui suis-je ! 👨‍💻

Enfilez-votre cape

Apprenez le webmarketing et le code grâce à nos différentes ressources et améliorez la visibilité de votre site internet, grâce à nos outils SEO.

refbax superhero bas