Perspectives IT

Quelles stratégies pour contrer les cyber-attaques ?

Pour contrer les cyber-attaques, il existe plusieurs moyens.

  • La gouvernance de l’information
    Pour répondre à cette problématique sécuritaire et en association avec leur démarche de transition numérique, les entreprises devront mettre en place une gouvernance de l’information pour assurer la bonne maîtrise de leurs données. Elles pourront ainsi créer un contexte Cloud favorable et fédérateur pour les différentes parties prenantes de l’entreprise et éviter les fonctionnements en silos ; donc le Shadow Cloud. La gouvernance permettra également de déterminer quelles applications seront portées dans le Cloud, segmenter les données en fonction de leur criticité, identifier les objectifs métier et maîtriser les risques. De plus, les entreprises devront mesurer l’étendue des différentes mesures de contrôles proposées par le CSP.
  • Bring your own keys, tokenization et chiffrement
    Intégrer des fonctions d’authentification multi-facteurs garantissant une protection efficace contre les menaces d’usurpation d’identité, du chiffrement et de la tokenization, sont des composants vitaux d’une stratégie de sécurité des données dans le Cloud. La tokenization permet de remplacer la valeur de données confidentielles par d’autres valeurs de la même taille et du même type (les tokens). Concernant le chiffrement, les données deviennent illisibles à l’aide d’un algorithme et sont protégées lorsqu’elles transitent ou sont stockées dans le Cloud. Quelle que soit l’approche, la gestion efficace des clés de chiffrement est un enjeu pour les entreprises. Pour aller encore plus loin dans la démarche, le BYOK ou Bring Your Own Keys est une nouvelle pratique de chiffrement dans le Cloud ajoutant une surcouche de sécurité en s’appuyant sur un module matériel (HSM – Hardware Security Module). Elle peut être intégralement gérée en interne ou avec le soutien du CSP.
  • Confidentialité des données
    Lorsqu’il s’agit de sécurité des données, les entreprises sont soumises à des obligations réglementaires strictes telles que les normes PCI DDS pour le retail, ISO/IEC 27017, l’European Standard Contractual en lieu et place de Safe Harbor pour le transfert de données, etc., ainsi qu’à un nombre croissant de lois obligeant à notifier les États. Cependant le contexte réglementaire et légal du Cloud est encore flou et génère de nombreuses interrogations en termes de responsabilité des données et de traitement, de coopération entre les différents pays, de traçabilité, de respect d’exigences réglementaires métiers… Au-delà des critères techniques mis en place par le fournisseur de service Cloud, il est primordial de soigner les contrats pour y apposer des obligations, d’une part en matière de disponibilité, d’intégrité et de confidentialité de données, et d’autre part d’audit et de conformité réglementaire. Si le chiffrement et la tokenization peuvent répondre aux besoins des entreprises en matière de mise en conformité des données dans le Cloud, ces derniers pourront également se rapprocher de la Cloud Security Alliance, une association internationale assurant la promotion des meilleures pratiques de sécurité au sein des infrastructures Cloud.
Aurélie Freyss

Commenter