La conformité multicloud dans un environnement multijuridictionnel
Le cloud embrumé : des risques incertains aux conséquences exacerbées
Le cloud offre à la fois des opportunités et des risques, et pour la plupart des organisations, les opportunités qui continuent de l'emporter largement sur les risques. Toutefois, une grande partie du risque concerne des violations potentielles de la conformité. Il s'agit donc du risque que des données soient stockées, consultées, modifiées ou divulguées d'une manière qui mette l'entreprise en défaut de conformité face à la cohorte toujours plus complexe de cadres règlementaires en matière de protection des données et de confidentialité.
Pire encore, de nombreux professionnels de l'informatique et de la sécurité n'ont même pas de visibilité sur les emplacements concernés par ces risques. Par ailleurs, la visibilité devient plus difficile lorsque les données et les charges de travail sont réparties dans plusieurs clouds, comme c'est le cas pour la vaste majorité des entreprises. Le cloud est devenu une sorte de brouillard, dissimulant les risques latents pour la conformité. En même temps, les exigences juridictionnelles auxquelles les organisations internationales doivent se conformer continuent de se multiplier.
Les cadres de sécurité s'avérant inadaptés pour gérer ces risques concernant la conformité, les équipes informatiques et les responsables de la conformité ont besoin d'une nouvelle méthode, qui leur permettra d'identifier et d'atténuer les violations de la conformité dans le cloud avant qu'elles ne se produisent.
Les défis liés à la conformité du cloud
Lorsque des données hébergées dans le cloud sont exposées à des personnes non autorisées, les entreprises risquent la perte de confiance de leurs clients, une atteinte à leur réputation, une probable surveillance de la part des autorités de réglementation et d'autres conséquences négatives. Dans le pire des cas, une violation de données peut entraîner des amendes si les autorités de réglementation estiment qu'une entreprise n'a pas pris de mesures raisonnables pour protéger ses données.
Comment de telles expositions se produisent-elles ? Les explications sont nombreuses, des attaques par ingénierie sociale au contrôle des accès insuffisant, en passant par les violations de données pures et simples par des acteurs malveillants externes. Cependant, le cloud présente des obstacles et des difficultés uniques lorsqu'il s'agit d'éviter l'exposition des données. Les erreurs de configuration sont un risque majeur, notamment lorsque la responsabilité de la sécurité est partagée entre le fournisseur de cloud et le client de celui-ci.
Les erreurs humaines non intentionnelles, connues sous le nom de mauvaises configurations, dans les déploiements de cloud sont l'un des principaux risques pour les données dans le cloud. Les déploiements de cloud public exposés accidentellement à l'Internet public ou mal configurés de quelque manière que ce soit peuvent conduire à des violations de données majeures, comme ce qui est arrivé à Twilio en 2020.
Les erreurs de configuration du cloud sont de plus en plus nombreuses. Plus les entreprises adoptent de services cloud, plus la surface d'attaque s'étend, ce qui accroît le risque d'exposition aux ressources mal configurées. Selon Gartner, « D'ici 2027, 99 % des enregistrements compromis dans les environnements cloud résulteront d'erreurs de configuration de la part de l'utilisateur ou de comptes compromis, et non d'un problème chez le fournisseur de cloud. »
Souvent, les problèmes ne sont détectés qu'une fois que les erreurs de configuration ont déjà produit une incidence. En effet, de nombreux types de solutions de sécurité cloud largement utilisés, tels que les services de gestion du niveau de sécurité du cloud (CSPM) ou les services de plateforme de protection des applications cloud-native (CNAPP) identifient les symptômes a posteriori, et non pendant que les équipes de DevOps sont en train de configurer ces services. La détection après incident conduit à des alertes dont la correction peut demander un certain temps, tandis que les ressources du cloud sont temporairement exposées.
Lorsqu'une entreprise a conscience qu'elle peut ne plus être conforme ou qu'elle est peut-être exposée à des attaques en raison d'erreurs de configuration, il est parfois trop tard.
La sécurité, l'intégrité et la conformité des données dans le cloud impliquent de nombreuses difficultés à relever, notamment les suivantes :
Exfiltration de données : les actifs numériques offrent toutes sortes de vecteurs d'attaque aux parties malveillantes, qu'ils soient dans le cloud ou sur site. Cependant, les déploiements multicloud constituent une menace supplémentaire, car l'infrastructure physique ne relève pas directement de la juridiction et de la responsabilité d'une organisation. Des simples attaques par ingénierie sociale aux exploits de vulnérabilité hautement personnalisés, les attaquants utilisent diverses méthodes pour extraire des données du cloud.
Architecture multi-entité : les clouds publics sont partagés entre de nombreuses organisations, et la responsabilité de leur sécurisation incombe au fournisseur de cloud et à ces clients du cloud. Des études ont démontré que les données hébergées dans le cloud peuvent être accidentellement partagées avec d'autres utilisateurs du cloud si les périmètres de sécurité ne sont pas appliqués.
Infrastructure cloud fantôme : les organisations se retrouvent souvent avec des instances cloud abandonnées ou oubliées. Cela se produit naturellement lorsque les organisations évoluent, changent et se développent, et lorsque les rôles et les responsabilités s'adaptent. Cela peut également se produire lorsque des employés bien intentionnés prennent les choses en main afin d'accomplir leur travail, mais s'éloignent des procédures informatiques approuvées. Il peut en résulter une infrastructure multicloud secondaire fantôme qui n'est pas prise en compte et qui n'est pas protégée par les politiques de sécurité, mais qui contient des informations sensibles.
Ces difficultés en matière de conformité et de sécurité du cloud ont des répercussions en temps réel sur les entreprises. Dans son rapport sur les risques liés au cloud, CrowdStrike a détaillé une augmentation de 95 % de l'exploitation du cloud. Et nous avons constaté une augmentation encore plus importante (288 %) des cas d'acteurs malveillants qui s'en sont pris directement aux services de cloud public. Par ailleurs, le rapport a révélé qu'il faut en moyenne 207 jours pour identifier ces violations, et encore moins pour les contenir.
Les problèmes de sécurité du cloud persistent, exposant les entreprises au risque. Cette situation devient une bombe à retardement, tant en ce qui concerne la conformité réglementaire, la santé financière que la sécurité générale de l'entreprise. Et les enjeux financiers sont élevés. Les amendes imposées par le Règlement général sur la protection des données (RGPD) de l'UE peuvent aller jusqu'à 20 millions d'euros ou 4 % du revenu annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
Le monde multijuridictionnel
Cerise sur le gâteau, chaque juridiction a ses propres réglementations. Les mesures de sécurité et de confidentialité nécessaires pour protéger les données varient selon les pays. Parmi les principales réglementations, citons :
Le RGPD et la directive NIS2 régissent les données des résidents de l'UE
Le Digital Digital Privacy Protection Act (DPDP) règlemente les données personnelles en Inde
Aux États-Unis, les réglementations spécifiques à un État ou à un secteur (p. ex. CCPA, HIPAA)
Les réglementations sectorielles, telles que la norme PCI DSS, qui contrôlent la manière dont les données personnelles sont gérées
Il est pratiquement impossible de garantir que toutes les instances cloud se conforment à l'ensemble des cadres réglementaires applicables. Cela peut également ralentir le développement commercial lorsque les entreprises tentent de pénétrer de nouveaux marchés.
Enfin, il est difficile de rendre compte de la conformité sans procéder à des audits réguliers de l'ensemble des données et des systèmes, ce qui est encore plus difficile lorsque les entreprises dépendent de déploiements multicloud, avec plusieurs fournisseurs de cloud.
La solution de sécurité cloud en ligne
Il est nécessaire d'adopter une démarche préventive. Il n'est pas possible d'anticiper et d'empêcher à l'avance l'ensemble des risques et des erreurs ; l'approche préventive doit donc prendre la forme d'une sécurité en ligne et de vérifications de conformité qui ont lieu lors du déploiement d'instances cloud, et non après que des erreurs ont déjà été commises. Les erreurs doivent être automatiquement suivies et atténuées, et la conformité doit être appliquée automatiquement, et non manuellement.
Cloudflare intègre exactement ce type de vérification de sécurité cloud en interne pour les clients. Cloudflare rationalise la conformité de la sécurité cloud de ses clients en évaluant et en appliquant automatiquement des configurations sécurisées, contribuant ainsi à garantir une sécurité solide et la conformité aux cadres réglementaires les plus courants. Cloudflare inspecte le trafic API cloud, offrant aux entreprises une visibilité améliorée et des contrôles granulaires, ainsi qu'une approche proactive dans l'atténuation des risques et la gestion de leur stratégie de sécurité cloud.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Les risques pour la sécurité et la conformitéliés à l'informatique cloud
Comment l'utilisation d'une infrastructure multicloud peut conduire à des erreurs de configuration
Des solutions potentielles pour assurer la conformité des données sur plusieurs clouds et dans plusieurs juridictions
Ressources associées
Trois défis liés à la sécurisation et à la connexion des services pour applications
S'orienter face à la régionalisation des données et la conformité