La publicité pour la cybersécurité va continuer à croître de façon spectaculaire, non seulement parce que le niveau de menace est plus sophistiqué que par le passé, mais aussi parce que de plus en plus de vendeurs, d’analystes et de leaders d’opinion utilisent le facteur FUD (Fear, Uncertainty and Doubt). Cela nous pousse à acheter davantage de produits pour nous protéger contre les nouvelles menaces tout en promettant assurance et tranquillité d’esprit.

À l’époque, il s’agissait d’un schéma similaire pour l’achat de réseaux et de connectivité. Beaucoup ont trouvé que la combinaison de vendeurs et de fournisseurs était une nécessité et pas vraiment un choix, car il était difficile de trouver une combinaison de portefeuilles large et diversifiée.

Et pour beaucoup, trouver le juste équilibre entre l’expertise et les produits des différents fournisseurs, pondéré par les facteurs de coût et de résilience, a été déterminant dans la décision d’acheter auprès de plusieurs fournisseurs de réseaux. Et pendant un certain temps, ces solutions ont fonctionné, mais inévitablement, au fur et à mesure que les entreprises se développaient et se mondialisaient, les frais opérationnels croissants requis pour assembler tous ces éléments individuels du réseau ont eu raison d’elles. Une consolidation était indispensable pour gagner du temps et réduire l’escalade des coûts et les frais généraux des équipes opérationnelles. Cette consolidation résulte également de l’élargissement des portefeuilles des fournisseurs par le biais de rachats et de fusions visant à accroître la diversité des produits et à obtenir cette importante croissance organique de nouveaux clients.

Qu’a-t-on vraiment appris dans ce processus ?

Cloud Security Compliance

Condenser 10 ans de cycles de développement en 18 mois.

De nombreuses entreprises connaissent aujourd’hui la même évolution en matière de sécurité. Elles regroupent leurs anciennes solutions et services ponctuels avec des intégrations, des API et des codes personnalisés. Il est difficile de couvrir les objets, les applications, le stockage, les groupes d’utilisateurs et les réseaux en cloud sous toutes leurs formes, y compris le mandat croissant pour les réseaux hybrides. Pour les professionnels de la sécurité, cela se traduit par trop de choses à faire et pas assez de temps pour le faire !

Les passerelles sur site ne pouvaient pas faire face à la croissance ou à l’agilité nécessaire pour soutenir le marché florissant du télétravail (travailler à la maison ou vivre au bureau !). Il est donc devenu nécessaire de déployer la sécurité directement dans le cloud. Mais le fait que les applications, les données et les réseaux soient entièrement distribués dans différents clouds signifie que le nouveau périmètre de menace est beaucoup plus large et exige une nouvelle architecture suffisamment large pour couvrir toutes les zones où vous stockez des informations précieuses et sensibles. Et inversement, maintenir votre centre de données privé va vous coûter cher. Pouvez-vous vous permettre de placer vos données et vos actifs dans un environnement cloud plus large sans disposer d’une meilleure sécurité ou d’une meilleure expertise ?

La question à un million de dollars devient « comment faire pour que la sécurité soit directement intégrée à tous les clouds que je veux utiliser en toute sécurité, avec une visibilité et une agilité permettant de croître et d’évoluer avec des budgets serrés ? »

Acheter de la sécurité native du cloud auprès de fournisseurs de cloud est un moyen pratique et facile d’ajouter directement de la sécurité à ma migration vers le cloud, mais ces fournisseurs de cloud ne vous protégeront que dans leurs propres domaines de cloud. Vous vous retrouverez donc rapidement à acheter des services individuels et à les assembler, perdant ainsi toute connaissance de la situation, toute visibilité et tout contexte de ces services. Et le fait de les intégrer ensemble avec un « outil d’exploitation surpuissant » constitue peut-être un moyen d’y remédier, mais cela n’empêchera pas les lacunes qui apparaîtront inévitablement entre eux. Et ce ne sera pas la voie la plus rentable. La praticabilité a un prix.

La gestion de votre sécurité doit être consolidée en un seul endroit avec une seule console. Plus besoin de faire des allers-retours entre les plateformes pour avoir une visibilité complète. Un aperçu unique permet également aux entreprises de présenter une politique de sécurité cohérente sur plusieurs plates-formes avec le contexte de l’ensemble du cloud. L’exemple ci-dessous montre comment cette méthode apporte de la valeur. En assurant une sécurité cohérente dans le cloud public et privé, ainsi que sur site dans vos propres bureaux et centres de données, vous serez mieux à même d’appréhender le paysage complet des menaces et mieux préparé en cas de problème.

Voici 5 éléments capables de gérer le cloud pour vous

Veillez à disposer d’un inventaire rigoureux. Les plans de migration doivent intégrer la visibilité sur ce que vous conservez dans le cloud, ce qui peut nécessiter davantage d’outils ou les conseils d’un expert avant de commencer la migration. La sécurité de votre cloud inclut-elle des outils de détection automatique pour trouver tous vos déchets de cloud ?

Les environnements cloud sécurisés et fiables sont construits sur des bases solides à l’aide de blocs de construction standardisés. Dès que vous "soulevez et déplacez" les environnements hérités vers les clouds, les solutions de sécurité traditionnelles telles que les pare-feu, les IPS devront être étendues ou, dans certains cas, remplacées par les nouveaux outils natifs du cloud.

Il existe 2 courants de pensée concernant cette structure pour la sécurité.

Une approche à 3 piliers comprenant :

La gestion de la posture de sécurité du cloud (CSPM) pour la visibilité, la remédiation et la surveillance des droits.

Cloud Network Security (CNS) pour le contrôle d’accès, la segmentation, le trafic intra-cloud Est/Ouest.

Une plateforme de protection des charges de travail dans le cloud (CWPP) des machines virtuelles, l’atténuation des menaces de vulnérabilités et la sécurité CI/CD pour DevOps.

Un autre modèle qui traite de cette question est la structure « 4C » pour la sécurité du cloud. Elle définit 4 couches à protéger, qui sont le cloud, le cluster, le conteneur et le code. C’est à vous de décider lequel de ces modèles vous allez adopter, mais ils fournissent le cadre d’une sécurité complète et unifiée du cloud.

Cela peut sembler évident, mais vous devrez ajouter une boucle de développement continu dans votre processus car le cloud est extrêmement fluide : les changements se produisent en un clic de souris et ils se répercutent sur votre posture de sécurité.

Shift left et résoudre les problèmes avant qu’ils ne se développent : cela suppose d’impliquer les développeurs dès le début du processus de sécurité pour faciliter une technologie préventive. Les développeurs tiennent à la sécurité et ont besoin d’outils agiles pour l’intégrer dans leur processus. Ils ne veulent pas développer un code non sécurisé. Donnez-leur les bons outils de sécurité qui s’intègrent à leurs besoins et vous garantirez la protection de ce nouveau code. Finie la méthode réactionnelle qui consistait à développer la sécurité, comme un ajout de dernière minute aux actifs et aux objets déjà déployés dans le cloud. Les programmes de transformation du cloud échoueront s’ils ouvrent continuellement des brèches de sécurité et des vulnérabilités avec les nouveaux développements logiciels.

Enfin, n’oubliez pas que l’informatique en cloud transforme la façon dont nous consommons et gérons les données dans un monde numérique hyper connecté, mais qu’elle engendre des menaces supplémentaires. Votre écosystème cloud doit être sécurisé efficacement. Selon le Global Cybersecurity Outlook 2022, préparé par le Forum économique mondial, la transformation numérique et le changement des habitudes de travail sont les principaux moteurs de l’amélioration de la cyber-résilience. Mais cette constatation est contrastée par des données qui indiquent que seule la moitié environ des chefs d’entreprise se concentrent sur la sécurité, que beaucoup n’intègrent pas la cybersécurité dans leur processus décisionnel et que la plupart auraient du mal à faire face à un incident de sécurité compte tenu des compétences de leurs équipes en la matière. Les équipes de sécurité de l’information, les équipes de sécurité du périmètre, les équipes de sécurité du réseau, les équipes d’architecture d’entreprise, les équipes d’architecture du cloud, les propriétaires d’applications métier, DevOps, SOC, IR/IH et GRC ne peuvent plus fonctionner séparément dans des silos indépendants. Vous devrez vous entourer de leaders et de processus, et vous préparer à vous battre pour la protection que vos clients méritent.

Acheter la sécurité du cloud

Rappelons-nous ce que nous avons dit plus tôt à propos de l’assemblage de morceaux de réseau et de la construction d’un écosystème de connectivité hybride qui devient plus difficile à démêler à mesure que votre entreprise se développe. Et il arrive un moment où c’est tout simplement intenable, alors que la sécurité est exactement pareille. Vous chercherez des solutions précises à insérer dans des parties spécifiques de votre processus ou de votre entreprise et, bien sûr, à intégrer avec ce qui existe déjà. Mais cette situation unique est appelée à changer. Il est beaucoup plus facile de sécuriser un dossier de sécurité très défini donné à un moment donné, mais maintenir ces services en état de marche et totalement intégrés ou maillés au fur et à mesure que votre entreprise se développe se révèle bien plus compliqué. Bien sûr, il est impossible de prévoir ce qui nous attend, mais comment allez-vous vous assurer que ces éléments restent cohérents tout au long de cette évolution ? Et de quelle expertise aurez-vous besoin pour continuer à vous intégrer et à vous transformer afin de conserver votre contexte de sécurité totalement intégré ?

Check Point est une entreprise de sécurité mondiale pure-play. Nous sommes spécialisés dans la sécurité du cloud. Nous disposons de toute l’expertise et des compétences dont vous aurez besoin pour développer et faire évoluer votre posture de sécurité ; et nous sommes également experts en matière de formation à la sécurité. Donc, si vous voulez que votre propre équipe maîtrise ces compétences ou si vous voulez développer votre propre opération de sécurité du cloud, nous sommes là pour vous aider.

Et ce point est important : une taille unique ne convient pas forcément à tout le monde. Certaines entreprises recherchent des approches gérées et encadrées en matière de sécurité du cloud, tandis que d’autres souhaitent conserver leur propre processus d’assistance et leur personnel. Comme nous le constatons tout au long du cycle de vie de l’externalisation, ces choix sont aussi uniques que votre entreprise, mais jamais tout à fait noirs ou blancs et sont constamment modifiés en fonction de facteurs externes influents. Assurez-vous de faire appel à un partenaire de sécurité pour vous accompagner dans ce voyage, un partenaire qui peut vous épauler avec un large portefeuille et vous guider dans le labyrinthe au fur et à mesure que ces facteurs d’influence changent.