Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les conseils de sécurité de Verizon aux entreprises pour conserver leurs certifications en migrant dans le Cloud

novembre 2011 par Verizon Business

L’adoption du Cloud computing ne cessant de s’intensifier, il est plus important que jamais pour les entreprises d’appliquer des règles de sécurité et de mise en conformité, et de les tenir à jour.

« La sécurité d’un environnement Cloud est essentielle à la réussite de tout programme de mise en conformité », explique Bart Vansevenant, directeur des solutions de sécurité de Verizon. « Les conditions de planification, de conception et de mise en service sont les mêmes pour une plate-forme Cloud ou traditionnelle. Appliquer les meilleures pratiques de sécurité tout en accordant une attention particulière aux caractéristiques spécifiques au Cloud permet aux entreprises de développer et maintenir leurs programmes de conformité, tout en profitant de l’agilité, de la flexibilité et de la rentabilité du Cloud. »

Pour aider les entreprises à profiter du Cloud tout en maintenant leur conformité, et en préservant la sécurité de leurs réseaux, applications et données, Verizon leur recommande les meilleures pratiques et astuces suivantes :

La sécurité de l’infrastructure Cloud passe avant tout

· Sécurité physique. Il convient d’équiper les locaux de systèmes de contrôle des conditions environnementales, de prévention et de lutte contre l’incendie, ainsi que d’onduleurs. Du personnel de sécurité doit être présent 24h/24 sur site. Préférer les fournisseurs de systèmes de sécurité proposant des solutions biométriques (empreintes digitales, reconnaissance faciale, etc.) pour le contrôle d’accès physique et des caméras vidéo pour la surveillance des locaux.

· Sécurité réseau et séparation logique. Utiliser des versions virtualisées des pare-feu et des systèmes de prévention d’intrusion. Isoler les portions de l’environnement Cloud hébergeant les systèmes et données sensibles. Programmer régulièrement des audits en s’appuyant sur les méthodes et les normes recommandées par l’industrie, à savoir SAS 70 Type II, PCI-DSS pour l’industrie des paiements, ISO 27001/27002, ainsi que les contrôles recommandés par la Cloud Security Alliance.

· Inspection. Installer, au niveau des passerelles, des antivirus et logiciels de protection contre les logiciels malveillants, ainsi que des filtres de contenus. Déployer des solutions de prévention des risques de perte de données pour protéger les informations sensibles, financières et personnelles notamment, et celles relevant de la propriété intellectuelle.

· Administration. Accorder une attention particulière aux hyperviseurs Cloud, les serveurs exécutant plusieurs systèmes d’exploitation, car ils permettent de prendre le contrôle de tout l’environnement Cloud. De nombreuses obligations de sécurité et de mise en conformité recommandent aux administrateurs Cloud et de différents réseaux de procéder par cloisonnement pour renforcer la protection. Restreindre autant que possible l’accès aux interfaces de gestion des environnements virtuels et verrouiller ou désactiver les API.

· Contrôle et surveillance des accès. Quasiment toutes les normes de sécurité exigent que l’on déploie des mécanismes de contrôle et de surveillance des accès aux réseaux, systèmes, applications et données. Un environnement Cloud, en interne ou externalisé, doit offrir les mêmes protections.

L’obligation de sécurité des applications Cloud

· Sécurité des systèmes. Protéger les machines virtuelles (VM) par des solutions adaptées au Cloud : pare-feu, systèmes de prévention d’intrusion, antivirus ; et déployer des processus d’application systématique des correctifs.

· Sécurité des applications et des données. Attribuer chaque fois que possible des bases de données dédiées aux applications, et limiter l’accès des applications aux bases de données. De nombreuses normes de conformité de la sécurité préconisent la surveillance et le contrôle des accès aux applications et aux bases de données correspondantes.

· Authentification et autorisation. Adopter de préférence l’authentification bifactorielle, numérique par exemple, pour les identifiants et les mots de passe. C’est d’ailleurs une nécessité pour les accès distants et tout type d’accès conditionné par des droits. Il convient de définir clairement les rôles des utilisateurs autorisés et de limiter les droits au minimum nécessaire pour que chacun puisse remplir ses obligations. Il est recommandé de coder les mots de passe. Mieux vaut ne pas trop personnaliser la configuration des solutions d’authentification, d’autorisation et de gestion des comptes pour éviter de favoriser les failles de sécurité.

· Gestion des vulnérabilités. Préférer les applications protégées contre les menaces connues, notamment contre les 10 risques les plus critiques répertoriés par l’Open Web Application Security Project (OWASP). Ne pas oublier que les applications déployées en mode Cloud doivent être surveillées en permanence : application régulière de correctifs, recherche de vulnérabilités, test de sécurité indépendant.

· Stockage des données. Les entreprises doivent savoir quelles données sont stockées en environnement Cloud et les isoler les unes des autres par type. Elles ont également intérêt à connaître les emplacements physiques et logiques de leurs données pour mieux les sécuriser et préserver leur confidentialité.

· Gestion du changement. Il est vivement conseillé de documenter les règles de gestion du changement que doivent respecter les administrateurs des réseaux, systèmes, applications et données et s’assurer qu’ils les comprennent pour éviter tout incident pouvant conduire à la perte de données.

· Chiffrement. Le chiffrement des données peut s’avérer plus complexe en environnement Cloud et requiert une attention particulière. De nombreuses normes s’appliquent à la fois aux données archivées et à celles en circulation. Les données financières et celles d’ordre médical devraient, par exemple, être cryptées en permanence.

Clouds privés, publics et hybrides : ce qu’il faut savoir

· Environnement virtuel partagé. Les conditions de sécurité des Clouds publics, souvent en environnement virtuel partagé, sont élémentaires. Il faut donc veiller à segmenter et isoler correctement les ressources. Veiller également à choisir un environnement Cloud conforme aux exigences de sécurité et de conformité de l’entreprise.

· Fournisseurs de services Cloud publics. Si l’offre de services Cloud publics peut sembler attractive financièrement, tous les fournisseurs ne prévoient pas les types de contrôles dont les entreprises ont besoin pour respecter leurs obligations de sécurité et de conformité. Ne surtout pas hésiter à leur poser toutes les questions nécessaires pour plus de précisions.

· Mieux vaut prévenir que guérir. Quel que soit le modèle de Cloud choisi, les entreprises ont intérêt à recourir à la segmentation, aux pare-feu, aux systèmes de protection contre l’intrusion, à la surveillance et aux contrôles d’accès, ainsi qu’au chiffrement des données.

· Le Cloud privé, une arme à double tranchant. Les Clouds privés peuvent être hébergés sur site ou dans les locaux d’un fournisseur de services. Comme avec les environnements traditionnels, les conditions de sécurité et les contrôles sont essentiels. Toujours vérifier que l’offre Cloud du fournisseur de services répond effectivement aux besoins. Ce n’est pas parce qu’un Cloud est privé qu’il est naturellement sécurisé.

· Clouds hybrides. Les Clouds hybrides peuvent offrir un bon compromis, avec la possibilité de satisfaire un large éventail d’objectifs informatiques et métier. En effet, l’entreprise peut choisir d’héberger ses applications là où elle le souhaite, profiter à la fois des avantages des environnements Cloud partagés et sur site, et pouvoir déplacer les applications et les données entre les deux.

Au travers de sa filiale Terremark, Verizon propose aux entreprises du monde entier ses services informatiques, Cloud et de sécurité. Terremark aide ses clients à optimiser leur infrastructure informatique et à accroître les performances de leurs applications dans le contexte économique complexe et dynamique qui est le leur actuellement. Pour en savoir plus, rendez-vous sur la page des solutions informatiques et d’hébergement du site Web de Verizon.




Voir les articles précédents

    

Voir les articles suivants