home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Cloud computing

Conseils de sécurité cloud pour réduire les risques de sécurité, les menaces et les vulnérabilités

Pensez-vous que vos données dans le cloud sont sauvegardées et à l'abri des menaces ? Pas si vite.

Avec un nombre record d'attaques de cybersécurité en 2018, il est clair que toutes les données sont menacées.

Tout le monde pense toujours "Cela ne peut pas m'arriver". La réalité est qu'aucun réseau n'est à 100 % à l'abri des pirates.

Selon le Kaspersky Lab, les ransomwares ont augmenté de plus de 250 % en 2018 et continuent de suivre une tendance très effrayante. Suivre les conseils présentés ici est la police d'assurance ultime contre les effets paralysants d'une perte de données importante dans le cloud.

Comment commencer à sécuriser vos données dans le cloud ? Quelles sont les meilleures pratiques pour protéger vos données dans le cloud ? Dans quelle mesure le cloud computing est-il sûr ?

Pour vous aider à démarrer votre stratégie de sécurité, nous avons invité des experts à partager leurs conseils sur les risques et les menaces pour la sécurité dans le cloud.

Points clés de nos experts sur la protection du cloud et les menaces de sécurité

1. Maintenir la disponibilité dans le cloud

Dustin Albertson, architecte principal des solutions cloud chez Veeam

Lorsque la plupart des gens pensent au sujet de la sécurité basée sur le cloud, ils ont tendance à penser à la mise en réseau, aux pare-feu, à la sécurité des terminaux, etc. Amazon définit la sécurité dans le cloud comme :

La sécurité dans le cloud ressemble beaucoup à la sécurité de vos centres de données sur site, mais sans les coûts de maintenance des installations et du matériel. Dans le cloud, vous n'avez pas à gérer de serveurs physiques ni de périphériques de stockage. Au lieu de cela, vous utilisez des outils de sécurité basés sur des logiciels pour surveiller et protéger le flux d'informations entrant et sortant de vos ressources cloud.

Mais un risque souvent négligé est le maintien de la disponibilité. Ce que je veux dire par là, c'est plus que la géo-redondance ou la redondance matérielle, je fais référence à la garantie que vos données et applications sont couvertes. Cloud n'est pas un endroit magique où tous vos soucis disparaissent; un nuage est un endroit où toutes vos peurs sont souvent plus faciles et moins chères à multiplier. Avoir une solide stratégie de protection des données est essentiel. Veeam a souvent prêché sur la "règle 3-2-1" inventée par Peter Krogh.

La règle stipule que vous devez avoir trois copies de vos données, les stocker sur deux supports différents et en conserver une hors site. Celui hors site se trouve généralement dans le "cloud", mais qu'en est-il lorsque vous êtes déjà dans le cloud ?

C'est là que je vois la plupart des problèmes de cloud survenir, lorsque les gens sont déjà dans le cloud, ils ont tendance à stocker les données dans le même cloud. C'est pourquoi il est important de se rappeler d'avoir une stratégie détaillée lors du passage au cloud. En exploitant des éléments tels que les agents Veeam pour protéger les charges de travail cloud et Cloud Connect pour envoyer les sauvegardes hors site afin de maintenir cette disponibilité en dehors du même datacenter ou cloud. Ne présumez pas que c'est le travail des fournisseurs de protéger vos données parce que ce n'est pas le cas.

2. La migration vers le cloud dépasse l'évolution des contrôles de sécurité

Salvatore Stolfo, directeur technique d'Allure Security

Selon une nouvelle enquête menée par ESG, 75 % des organisations déclarent qu'au moins 20 % de leurs données sensibles stockées dans les clouds publics sont insuffisamment sécurisées. De plus, 81 % des personnes interrogées pensent que la sécurité des données sur site est plus mature que les données du cloud public.

Pourtant, les entreprises migrent vers le cloud plus rapidement que jamais pour maximiser les avantages organisationnels :environ 83 % des charges de travail des entreprises seront dans le cloud d'ici 2020, selon le rapport Cloud Vision 2020 de LogicMonitor. Nous sommes confrontés à une situation de plus en plus urgente dans laquelle les organisations migrent leurs données sensibles vers le cloud à des fins de productivité à un rythme plus rapide que les contrôles de sécurité n'évoluent pour protéger ces données.

Les entreprises doivent rechercher des solutions qui contrôlent l'accès aux données dans les partages cloud en fonction du niveau d'autorisation dont dispose l'utilisateur, mais elles doivent également avoir les moyens d'être alertées lorsque ces données sont consultées de manière inhabituelle ou suspecte, même par ce qui semble être un utilisateur de confiance.

N'oubliez pas que de nombreux pirates et fuites d'initiés proviennent d'acteurs malveillants avec des informations d'identification volées et légitimes qui leur permettent de se déplacer librement dans un partage cloud, à la recherche de données précieuses à voler. Les documents trompeurs, appelés leurres, peuvent également être un excellent outil pour détecter cela. Les leurres peuvent alerter les équipes de sécurité dès les premiers stades d'une faille de sécurité dans le cloud sur des comportements inhabituels, et peuvent même tromper un cyber-voleur potentiel en lui faisant croire qu'il a volé quelque chose de valeur alors qu'en réalité, il s'agit d'un faux document très convaincant. Ensuite, il y a la question d'avoir le contrôle sur les documents même lorsqu'ils ont été retirés du partage cloud.

C'est là que de nombreuses solutions de sécurité commencent à tomber en panne. Une fois qu'un fichier a été téléchargé à partir d'un référentiel cloud, comment pouvez-vous savoir où il se déplace et qui le consulte ? Il doit y avoir plus d'investissements dans des technologies telles que le géorepérage et la télémétrie pour résoudre ce problème.

3. Minimisez les menaces et les vulnérabilités du cloud computing avec un plan de sécurité

Nic O'Donovan, architecte de solutions et spécialiste du cloud chez VMware 

Le cloud hybride continue de gagner en popularité auprès des entreprises, principalement à mesure que la vitesse de déploiement, l'évolutivité et les économies de coûts deviennent plus attrayantes pour les entreprises. Nous continuons à voir l'infrastructure évoluer rapidement vers le cloud, ce qui signifie que la sécurité doit se développer à un rythme similaire. Il est essentiel pour l'entreprise de travailler avec un fournisseur de services cloud qui a une approche fiable de la sécurité dans le cloud.

Cela signifie que le partenariat avec votre fournisseur de cloud devient de plus en plus important à mesure que vous travaillez ensemble pour comprendre et mettre en œuvre un plan de sécurité pour protéger vos données.

Les contrôles de sécurité tels que l'authentification multifacteur, le cryptage des données ainsi que le niveau de conformité dont vous avez besoin sont tous des domaines sur lesquels vous devez vous concentrer lors de l'élaboration de votre plan de sécurité.

4. Ne cessez jamais d'apprendre sur vos plus grandes vulnérabilités

Isacc Kohen, PDG de Teramind

De plus en plus d'entreprises sont victimes du cloud, et cela est dû à une mauvaise configuration du cloud et à la négligence des employés.

1. Les plus grandes menaces pour la sécurité des données sont vos employés. Négligents ou malveillants, les employés sont l'une des principales causes d'infections par des logiciels malveillants et de perte de données. La raison pour laquelle les attaques de logiciels malveillants et les e-mails de phishing sont des mots courants dans l'actualité est qu'ils sont des moyens "faciles" pour les pirates d'accéder aux données. Grâce à l'ingénierie sociale, les criminels malveillants peuvent «inciter» les employés à donner des mots de passe et des informations d'identification aux systèmes de données critiques des entreprises et des entreprises. Moyens d'éviter cela :un programme efficace de formation des employés et une surveillance des employés qui sonde activement le système

2. N'arrêtez jamais d'apprendre. Dans un secteur qui évolue et s'adapte en permanence, il est important d'être informé des dernières tendances et vulnérabilités. Par exemple, avec l'Internet des objets (IoT), nous commençons seulement à voir la « pointe de l'iceberg » lorsqu'il s'agit de protéger les données via des connexions Wi-Fi accrues et des services de stockage de données en ligne. Il y a plus à développer avec cette histoire, et elle aura un impact direct sur les petites entreprises à l'avenir.

3. Recherchez et comprenez le fonctionnement du stockage, puis informez-vous. Nous avons entendu des histoires - lorsque les données sont exposées via le cloud, cela est souvent dû à une mauvaise configuration des paramètres du cloud. Les employés doivent comprendre la nature sécuritaire de l'application et que les paramètres peuvent être facilement altérés et activés, exposant les données à l'extérieur. Sensibiliser à la sécurité grâce à des programmes de formation.

4. Limitez vos points d'accès. Un moyen facile d'atténuer cela, limitez vos points d'accès. Une erreur courante avec l'exposition au cloud est due au fait que les employés ayant un accès par erreur activent des autorisations globales autorisant les données exposées à une connexion ouverte. Pour atténuer, comprenez qui et quoi a accès au cloud de données - tous les points d'accès - et surveillez attentivement ces connexions.

5. Surveillance des systèmes. Progressif et traversant. Pour une protection à long terme des données sur le cloud, utilisez une plateforme d'analyse et de surveillance des utilisateurs pour détecter plus rapidement les violations. La surveillance et l'analyse des utilisateurs rationalisent les données et créent un "profil" standard de l'utilisateur - employé et ordinateur. Ces analyses sont intégrées et suivent vos dépôts de données les plus cruciaux, que vous, en tant qu'administrateur, avez indiqués dans le logiciel de détection. Lorsque des données cloud spécifiques sont falsifiées, déplacées ou piratées, le système envoie un "ping" à un administrateur indiquant immédiatement un changement de caractère.

5. Envisagez des solutions hybrides

Michael V.N. Hall, directeur des opérations pour Turbot

Il y a plusieurs choses essentielles à comprendre à propos de la sécurité dans le cloud :

1. Les mots de passe sont puissants - 80 % de toutes les violations de mots de passe auraient pu être évitées par une identification multifactorielle :en vérifiant votre identité personnelle par SMS sur votre téléphone ou par e-mail sur votre compte, vous pouvez désormais être alerté lorsque quelqu'un tente d'accéder à votre compte. détails.

L'un des plus grands coupables à l'heure actuelle est l'affaiblissement des informations d'identification. Cela signifie que les mots de passe, les clés de passe et les phrases de passe sont volés par le biais d'escroqueries par hameçonnage, de keylogging et d'attaques par force brute.

Les phrases secrètes sont les nouveaux mots de passe. Les phrases secrètes aléatoires et faciles à mémoriser sont bien meilleures que les mots de passe, car elles ont tendance à être plus longues et plus compliquées.

MyDonkeysEatCheese47 est une phrase de passe compliquée et à moins que vous ne soyez un propriétaire d'âne ou un fromager, sans rapport avec vous. N'oubliez pas d'utiliser les lettres majuscules et minuscules ainsi que toute la gamme de ponctuation.

2. Restez en contact avec votre fournisseur d'hébergement. Choisissez le bon fournisseur d'hébergement - une entreprise réputée avec des normes de sécurité élevées en place. Communiquez régulièrement avec eux, car une interaction fréquente vous permet de vous tenir au courant de tout changement ou problème en développement.

3. Envisagez une solution hybride. Les solutions hybrides permettent aux systèmes sécurisés et statiques de stocker les données critiques en interne tout en ouvrant les données de moindre priorité à la plus grande polyvalence du cloud.

6. Découvrez le fonctionnement des systèmes de sécurité cloud

Tom DeSot, directeur informatique de Digital Defense, Inc.

Les entreprises doivent s'assurer qu'elles évaluent les risques et les avantages de la sécurité du cloud computing. Il s'agit de s'assurer qu'ils s'informent sur ce que signifie migrer vers le cloud avant de franchir le pas de l'exécution de systèmes dans leur propre centre de données.

Trop souvent, j'ai vu une entreprise migrer vers le cloud sans plan ni aucune connaissance de ce que cela signifie pour elle et de la sécurité de ses systèmes. Ils doivent reconnaître que leur logiciel «vivra» sur des systèmes partagés avec d'autres clients. Ainsi, en cas de violation de la plate-forme d'un autre client, il est possible que l'attaquant compromette également son système.

De même, les clients du cloud doivent comprendre où leurs données seront stockées, que ce soit uniquement aux États-Unis ou que le fournisseur les réplique sur d'autres systèmes situés sur différents continents. Cela peut poser un réel problème si les informations sont quelque chose de sensible comme des PII ou des informations protégées par HIPAA ou une autre loi réglementaire. Enfin, le client cloud doit prêter une attention particulière aux accords de niveau de service (SLA) auxquels le fournisseur de cloud adhère et s'assurer qu'ils reflètent leur propre SLA.

Passer au cloud est un excellent moyen de libérer des ressources informatiques et d'assurer la disponibilité, mais je conseille toujours à mes clients de procéder par petites étapes afin qu'ils aient le temps d'apprécier ce que cela signifie d'être "dans le cloud". ”

7. Faites preuve de diligence raisonnable pour sécuriser le cloud

Ken Stasiak, PDG de SecureState

Comprenez le type de données que vous placez dans le cloud et les exigences de sécurité obligatoires autour de ces données.

Une fois qu'une entreprise a une idée du type de données qu'elle cherche à stocker dans le cloud, elle doit avoir une bonne compréhension du niveau de diligence raisonnable requis lors de l'évaluation de différents fournisseurs de cloud. Par exemple, si vous choisissez un fournisseur de services cloud pour héberger vos informations de santé protégées (PHI), vous devez exiger une évaluation des normes de sécurité et de la conformité HIPAA avant de transférer des données dans le cloud.

Voici quelques bonnes questions à poser pour évaluer si un fournisseur de services cloud convient à une organisation soucieuse de sécuriser ces données :Effectuez-vous régulièrement des audits et des évaluations SOC ? Comment vous protégez-vous contre les activités malveillantes ? Effectuez-vous des vérifications des antécédents de tous les employés ? Quels types de systèmes avez-vous mis en place pour la surveillance des employés, la détermination des accès et les pistes d'audit ?

8. Configurer les contrôles d'accès et les autorisations de sécurité

Michael R. Durante, président de Tie National, LLC.

Alors que le cloud est une force croissante dans l'informatique pour sa flexibilité d'évolutivité pour répondre aux besoins d'une entreprise et pour accroître la collaboration entre les sites, il soulève également des problèmes de sécurité avec son potentiel d'exposition de vulnérabilités relativement hors de votre contrôle.

Par exemple, le BYOD peut être difficile à sécuriser si les utilisateurs n'appliquent pas régulièrement les correctifs et les mises à jour de sécurité. Le conseil numéro un que je donnerais est d'utiliser au mieux les contrôles d'accès disponibles.

Les entreprises doivent utiliser des contrôles d'accès pour limiter les autorisations de sécurité afin de n'autoriser que les actions liées aux fonctions professionnelles des employés. En limitant l'accès, les entreprises s'assurent que les fichiers critiques ne sont disponibles que pour le personnel qui en a besoin, réduisant ainsi les risques qu'ils soient exposés aux mauvaises parties. Ce contrôle facilite également la révocation des droits d'accès immédiatement après la cessation d'emploi afin de protéger tout contenu sensible, quel que soit l'endroit où l'employé tente d'accéder à distance.

9. Comprendre le pedigree et les processus du fournisseur ou du vendeur

Paul Evans, PDG de Redstor

L'utilisation des technologies cloud a permis aux entreprises de toutes tailles d'améliorer leurs performances et de gagner en efficacité grâce à davantage de travail à distance, une plus grande disponibilité et plus de flexibilité.

Cependant, avec un nombre croissant de systèmes disparates déployés et un si grand nombre de fournisseurs de cloud et de logiciels parmi lesquels choisir, il peut devenir difficile de garder le contrôle sur la sécurité des données. Lorsque vous cherchez à mettre en œuvre un service cloud, il est essentiel de bien comprendre le pedigree et les processus du fournisseur/fournisseur qui fournira le service. Les certifications de sécurité standard de l'industrie sont un excellent point de départ. Les fournisseurs qui ont une certification ISO 27001 ont prouvé qu'ils respectaient les normes internationales de gestion de la sécurité de l'information et devraient être tenus en plus haute estime que ceux qui n'en ont pas.

Comprendre parfaitement où vos données seront géographiquement, qui y aura accès et si elles seront cryptées est essentiel pour pouvoir les protéger. Il est également important de savoir quels sont les processus du fournisseur en cas de violation ou de perte de données ou en cas de temps d'arrêt. Les temps d'arrêt acceptables doivent être définis dans des accords de niveau de service (SLA) contractuels, qui doivent être soutenus financièrement par eux pour rassurer.

Pour les organisations qui cherchent à utiliser des plates-formes cloud, il existe des menaces de sécurité cloud savoir, qui aura accès aux données ? Où sont stockées les données ? Mes données sont-elles cryptées ? Mais pour la plupart, les plates-formes cloud peuvent répondre à ces questions et ont des niveaux de sécurité élevés. Les organisations utilisant les clouds doivent s'assurer qu'elles connaissent les lois et réglementations en matière de protection des données qui affectent les données et également acquérir une compréhension précise des accords contractuels avec les fournisseurs de cloud. Comment les données sont-elles protégées ? De nombreuses réglementations et normes de l'industrie donneront des conseils sur la meilleure façon de stocker les données sensibles.

La conservation de copies de données non sécurisées ou non cryptées peut les exposer à un risque plus élevé. Il est essentiel d'acquérir des connaissances sur les niveaux de sécurité des services cloud.

Quelles sont les politiques de rétention et ai-je une sauvegarde ? Les plates-formes cloud peuvent avoir des utilisations très variées, ce qui peut causer (ou prévenir) des problèmes. Si les données sont stockées sur une plate-forme cloud, elles peuvent être vulnérables aux risques de sécurité du cloud tels que les ransomwares ou la corruption. Par conséquent, s'assurer que plusieurs copies des données sont conservées ou sauvegardées peut empêcher cela. Garantir que ces processus ont été suivis améliore les niveaux de sécurité des plates-formes cloud d'une organisation et permet de comprendre d'où pourrait provenir tout risque

10. Utilisez des mots de passe forts et une authentification multifacteur

Fred Reck, Conseil en informatique InnoTek

Assurez-vous d'exiger des mots de passe forts pour tous les utilisateurs du cloud et utilisez de préférence l'authentification multifacteur.

Selon le rapport Verizon Data Breach Investigations de 2017, 81 % de toutes les violations liées au piratage utilisaient des mots de passe volés et/ou faibles. L'un des avantages les plus importants du Cloud est la possibilité d'accéder aux données de l'entreprise de n'importe où dans le monde sur n'importe quel appareil. D'un autre côté, du point de vue de la sécurité, n'importe qui (alias "méchants") avec un nom d'utilisateur et un mot de passe peut potentiellement accéder aux données de l'entreprise. En forçant les utilisateurs à créer des mots de passe forts, il est beaucoup plus difficile pour les pirates d'utiliser une attaque par force brute (deviner le mot de passe à partir de plusieurs caractères aléatoires.)

En plus des mots de passe sécurisés, de nombreux services cloud peuvent aujourd'hui utiliser le téléphone portable d'un employé comme élément d'authentification de sécurité physique secondaire dans une stratégie multifactorielle, ce qui rend cela accessible et abordable pour une organisation à mettre en œuvre. Les utilisateurs auraient non seulement besoin de connaître le mot de passe, mais auraient également besoin d'un accès physique à leur téléphone portable pour accéder à leur compte.

Enfin, envisagez de mettre en place une fonctionnalité qui verrouillerait le compte d'un utilisateur après un nombre prédéterminé de connexions infructueuses.

11. Activer le verrouillage de l'emplacement IP

Chris Byrne est co-fondateur et PDG de Sensorpro

Les entreprises doivent activer l'authentification à deux facteurs et le verrouillage de l'emplacement IP pour accéder aux applications cloud qu'elles utilisent.

Avec 2FA, vous ajoutez un défi supplémentaire à la combinaison habituelle email/mot de passe par SMS. Avec le verrouillage IP, vous pouvez délimiter l'accès à partir de l'adresse IP de votre bureau ou de l'adresse IP des travailleurs distants. Si la plate-forme ne le prend pas en charge, pensez à demander à votre fournisseur de l'activer.

En ce qui concerne la fourniture réelle de la plate-forme cloud, fournissez une option de chiffrement des données au repos. À un moment donné, cela deviendra aussi omniprésent que https (SSL/TLS). Si l'impensable se produit et que les données se retrouvent entre de mauvaises mains, c'est-à-dire qu'un appareil est volé ou oublié dans un train, le chiffrement des données au repos est la dernière ligne de défense pour empêcher quiconque d'accéder à vos données sans les bonnes clés de chiffrement. Même s'ils parviennent à le voler, ils ne peuvent pas l'utiliser. Cela, par exemple, aurait amélioré la récente violation d'Equifax.

12. Solutions de sécurité du stockage dans le cloud avec VPN

Eric Schlissel, président et PDG de GeekTek

Utilisez des VPN (réseaux privés virtuels) chaque fois que vous vous connectez au cloud. Les VPN sont souvent utilisés pour semi-anonymiser le trafic Web, généralement par des téléspectateurs géobloqués en accédant à des services de streaming tels que Netflix USA ou BBC Player. Ils fournissent également une couche de sécurité cruciale pour tout appareil se connectant à votre cloud. Sans VPN, tout intrus potentiel avec un renifleur de paquets pourrait déterminer quels membres accédaient à votre compte cloud et potentiellement accéder à leurs identifiants de connexion.

Chiffrez les données au repos. Si, pour une raison quelconque, un compte d'utilisateur est compromis sur votre cloud public, privé ou hybride, la différence entre les données en clair et au format crypté peut se mesurer en centaines de milliers de dollars - plus précisément 229 000 $, le coût moyen d'une cyberattaque signalé par les répondants d'une enquête menée par la compagnie d'assurance Hiscox. Comme les événements récents l'ont montré, le processus de chiffrement et de déchiffrement de ces données s'avérera beaucoup plus indolore que de supporter son alternative.

Utilisez l'authentification à deux facteurs et l'authentification unique pour tous les comptes basés sur le cloud. Google, Facebook et PayPal utilisent tous une authentification à deux facteurs, qui oblige l'utilisateur à saisir un code unique généré par un logiciel dans un formulaire avant de se connecter à son compte. Que votre entreprise aspire ou non à sa stature, elle peut et doit imiter cet élément central de sa stratégie de sécurité. L'authentification unique simplifie la gestion des accès, de sorte qu'une paire d'informations d'identification utilisateur connecte l'employé à tous les comptes. De cette façon, les administrateurs système n'ont qu'un seul compte à supprimer plutôt que plusieurs qui peuvent être oubliés et ré-accessibles plus tard par l'ancien employé.

13. Méfiez-vous du risque lié à l'élément humain

Steven J.J. Weisman, avocat et professeur à l'université de Bentley

Pour paraphraser Shakespeare, la faute n'est pas dans le nuage; la responsabilité est en nous.

Le stockage des données sensibles dans le cloud est une bonne option pour la sécurité des données à plusieurs niveaux. Cependant, quelle que soit la sécurité d'une technologie, l'élément humain présentera toujours un danger potentiel pour la sécurité pouvant être exploité par les cybercriminels. Il s'est avéré que de nombreuses atteintes à la sécurité du cloud passées n'étaient pas dues à des failles de sécurité de la technologie cloud, mais plutôt aux actions d'utilisateurs individuels du cloud.

Ils ont sans le savoir fourni leurs noms d'utilisateur et mots de passe à des cybercriminels qui, par le biais d'e-mails de harponnage, d'appels téléphoniques ou de SMS, persuadent les gens de fournir les informations critiques nécessaires pour accéder au compte cloud.

La meilleure façon d'éviter ce problème, ainsi qu'une meilleure formation des employés pour reconnaître et prévenir le spear phishing, est d'utiliser l'authentification à double facteur, par exemple l'envoi d'un code à usage unique sur le téléphone portable de l'employé chaque fois que l'on tente d'accéder au compte cloud.

14. Garantir la récupération des données d'un fournisseur cloud

Bob Herman, co-fondateur et président d'IT Tropolis.

1. L'authentification à deux facteurs protège contre la fraude de compte. De nombreux utilisateurs ne sont pas victimes de tentatives de phishing par e-mail où de mauvais acteurs dupent la victime pour qu'elle entre ses informations de connexion sur un faux site Web. L'acteur malveillant peut alors se connecter au site réel en tant que victime et faire toutes sortes de dégâts en fonction de l'application du site et de l'accès de l'utilisateur. 2FA garantit qu'un deuxième code doit être saisi lors de la connexion à l'application. Généralement, un code envoyé au téléphone de l'utilisateur.

2. Il est impératif de s'assurer que vous êtes propriétaire de vos données et que vous pouvez les récupérer au cas où vous ne voudriez plus faire affaire avec le fournisseur de cloud. La plupart des fournisseurs de cloud légitimes doivent spécifier dans leurs conditions que le client est propriétaire de ses données. Ensuite, vous devez confirmer que vous pouvez extraire ou exporter les données dans un format utilisable, ou que le fournisseur de cloud vous les fournira sur demande.

15. Surveillance en temps réel et continue

Sam Bisbee, responsable de la sécurité chez Threat Stack

1. Créer une observabilité de la sécurité en temps réel et une surveillance continue des systèmes

Bien que la surveillance soit essentielle dans tout environnement de données, il est essentiel de souligner que les changements dans les environnements cloud modernes, en particulier ceux des environnements SaaS, ont tendance à se produire plus fréquemment ; leurs impacts se font sentir immédiatement.

Les résultats peuvent être spectaculaires en raison de la nature des infrastructures élastiques. À tout moment, les actions accidentelles ou malveillantes d'une personne peuvent gravement affecter la sécurité de vos systèmes de développement, de production ou de test.

Gérer une infrastructure moderne sans observabilité de la sécurité en temps réel et sans surveillance continue, c'est comme voler à l'aveuglette. Vous n'avez aucune idée de ce qui se passe dans votre environnement et aucun moyen de commencer une atténuation immédiate lorsqu'un problème survient. Vous devez surveiller l'accès aux applications et à l'hôte pour comprendre l'état de votre application au fil du temps.

2. Définir et surveiller en permanence les paramètres de configuration

Les configurations de sécurité dans les environnements cloud tels qu'Amazon Direct Connect peuvent être compliquées, et il est facile de laisser par inadvertance l'accès à vos systèmes et données ouvert au monde, comme l'ont prouvé toutes les histoires récentes sur les fuites S3.

Compte tenu de la nature changeante (et parfois volatile) des environnements SaaS, où les services peuvent être créés et supprimés en temps réel de manière continue, la non-configuration appropriée des services et la non-surveillance des paramètres peuvent compromettre la sécurité. En fin de compte, cela érodera la confiance que les clients placent en vous pour protéger leurs données.

En définissant les configurations par rapport à une ligne de base établie et en les surveillant en permanence, vous pouvez éviter les problèmes lors de la configuration des services, et vous pouvez détecter et résoudre les problèmes de configuration plus rapidement lorsqu'ils surviennent.

3. Alignez les priorités de sécurité et d'opérations pour les solutions et l'infrastructure de sécurité cloud

Une bonne sécurité est indiscernable d'un bon fonctionnement. Trop souvent, ces équipes sont en désaccord au sein d'une organisation. La sécurité est parfois perçue comme un ralentissement d'une entreprise, trop concentrée sur le contrôle des activités des équipes Dev et Ops. Mais la sécurité peut être un catalyseur commercial.

La sécurité doit tirer parti des outils de test d'automatisation, des contrôles de sécurité et de la surveillance au sein d'une organisation - à travers la gestion du réseau, l'accès des utilisateurs, la configuration de l'infrastructure et la gestion des vulnérabilités à travers la couche d'application - fera avancer l'entreprise, réduisant les risques sur la surface d'attaque et maintenant la disponibilité opérationnelle .

16. Utilisez des outils d'audit pour sécuriser les données dans le cloud

Jeremey Vance, Cloud américain

1. Utilisez un outil d'audit pour savoir ce que vous avez dans le cloud et ce que tous vos utilisateurs utilisent dans le cloud. Vous ne pouvez pas sécuriser des données dont vous n'avez pas connaissance.

2. En plus de découvrir quels services sont exécutés sur votre réseau, découvrez comment et pourquoi ces services sont utilisés, par qui et quand.

3. Faites de ce processus d'audit une partie courante de la surveillance de votre réseau, et pas seulement un événement ponctuel. De plus, si vous n'avez pas la bande passante pour cela, externalisez cette routine d'audit à un tiers qualifié comme US Cloud.

17. La plupart des violations commencent à de simples points non sécurisés

Marcus Turner, architecte en chef et CTO chez Enola Labs

Le cloud est très sécurisé, mais pour garantir la sécurité des données de l'entreprise, il est important de configurer correctement le cloud.

Pour AWS en particulier, AWS Config est l'outil le mieux utilisé pour ce faire. AWS, lorsqu'il est correctement configuré, est l'un des environnements de cloud computing les plus sécurisés au monde. Cependant, la plupart des violations de données ne sont pas le fait de pirates utilisant des programmes complexes pour accéder à des données critiques, mais plutôt de simples points non sécurisés, les fruits à portée de main, qui rendent les données de l'entreprise vulnérables.

Même avec la meilleure sécurité cloud, l'erreur humaine est souvent à l'origine de la lacune ou de la violation la plus critique de la protection. Avoir des routines pour valider la précision continue de la configuration est la mesure la plus sous-utilisée et sous-estimée pour assurer la sécurité des données de l'entreprise dans le cloud.

18. Posez des questions sur la sécurité des clés à votre fournisseur de cloud

Brandan Keaveny, Ed.D., fondateur de Data Ethics LLC

Lorsque vous explorez les possibilités de passer à une solution basée sur le cloud, vous devez vous assurer que des supports adéquats sont en place en cas de violation. Assurez-vous de poser les questions suivantes avant de signer un accord avec un fournisseur basé sur le cloud :

Question :Combien de tiers le fournisseur utilise-t-il pour faciliter son service ?

Raison de la question (Raison) :Les processus et la documentation devront être mis à jour pour inclure des garanties procédurales et une coordination avec la solution basée sur le cloud. De plus, le niveau de sécurité fourni par le fournisseur basé sur le cloud doit être clairement compris. Des niveaux de sécurité accrus doivent être ajoutés pour répondre aux exigences de confidentialité et de sécurité des données stockées.

Question :Comment serez-vous informé en cas de violation de leurs systèmes et aideront-ils votre entreprise à informer vos clients ?

Reason:By adding a cloud-based solution to the storage of your data also adds a new dimension of time to factor into the notification requirements that may apply to your data should a breach occur. These timing factors should be incorporated into breach notification procedures and privacy policies.

When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.

Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:

Question:Is your data ready for transport?

Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.

Question:Will this transfer be facilitated by the cloud provider?

Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.

19. Secure Your Cloud Account Beyond the Password

Contributed by the team at Dexter Edward

Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.

Secure access to the compute instances in the cloud.

Use as much of the private cloud network as you can.

Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.

20. Consider Implementing Managed Virtual Desktops

Michael Abboud, CEO, and Founder of TetherView

Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.

Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.

Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.

The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.

Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.

In addition to this, you should ensure regular data audits and backups

If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.

It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.

21. Be Aware of a Provider’s Security Policies

Jeff Bittner, Founder and President of Exit technologies

Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.

Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.

Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.

Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.

In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.

22. Encrypt Backups Before Sending to the Cloud

Mikkel Wilson, CTO at Oblivious.io

1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.

2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.

23. Know Where Your Data Resides To Reduce Cloud Threats

Vikas Aditya, Founder of QuikFynd Inc,

Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.

These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.

For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.

So, what should a company do?

While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.

24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities

Adam Stern, CEO of Infinitely Virtual

Business users are not defenseless,  even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.

The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.

Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).

25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk

Murad Mordukhay, CEO of Qencode

1. Security as a Priority

Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.

2. Passwords &Encryption

Two important parts of securing your data in the cloud are passwords and encryption.

Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.

26. Enable Two-factor Authentication

Tim Platt, VP of IT Business Services at Virtual Operations, LLC

For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.

Qu'est-ce que c'est? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.

Why is this important for cloud security?

Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security.  I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.

27. Do Not Assume Your Data in the Cloud is Backed-Up

Mike Potter, CEO &Co-Founder at Rewind

Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.

This means that you risk having to manually undo unwanted changes or permanently losing data if:

Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.

28. Minimize and Verify File Permissions

Randolph Morris, Founder & CTO at Releventure

1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.

2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.

29. When Securing Files in the Cloud,  Encrypt Data Locally First

Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles 

Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.

The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.

The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.

30. Exposed Buckets in AWS S3 are Vulnerable

Todd Bernhard, Product Marketing Manager at CloudCheckr

1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets.

2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.

31. Use the Gold-standard of Encryption

Jeff Capone, CEO of SecureCircle

There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.

One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.

These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.

32. Have Comprehensive Access Controls in Place

Randy Battat, Founder and CEO, PreVeil

All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.

Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it

Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.

33. 5 Fundamentals to Keep Data Secure in the Cloud

David Gugick, VP of Product Management at CloudBerry

34. Ensure a Secure Multi-Tenant Environment

Anthony Dezilva, CISO at PhoenixNAP

When we think of the cloud, we think of two things.  Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.

Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.

The best cloud service providers have a vested interest in creating a secure multi-tenant environment.  Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets.  Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.

Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need.  Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.

Cloud Computing Threats and Vulnerabilities:Need to know


Cloud computing

  • Embarqué
  • Capteur
  • Cloud computing
  • Technologie de l'Internet des objets

    1. Recharger, réinitialiser, reconfigurer
    2. Trois domaines critiques à considérer avant de migrer des données vers le cloud  
    3. 5 conseils de cloud computing pour mettre du temps (et de l'argent) de votre côté
    4. Bébé, il fait nuageux dehors
    5. Qu'est-ce que la sécurité cloud et pourquoi est-elle obligatoire ?
    6. trucs et astuces sur le cloud computing
    7. Risque de sécurité cloud auquel chaque entreprise est confrontée
    8. La sécurité cloud est l'avenir de la cybersécurité
    9. Comment devenir ingénieur en sécurité cloud