réglementation de la chaîne d'approvisionnement

N'attendez pas la réglementation de la chaîne d'approvisionnement pour mettre de l'ordre dans la sécurité du cloud computing

Thèmes :
Version imprimable, PDF et e-mail

Après les attaques très médiatisées des sociétés SolarWinds et Kaseya l'année dernière, la sécurité des chaînes logistiques fait de nouveau parler d'elle. Nous vivons une ère dans laquelle l'écosystème étendu de fournisseurs physiques et numériques tiers est plus vaste que jamais pour les entreprises, ce qui génère un avantage concurrentiel mais aussi un cyber-risque. Un risque que le gouvernement britannique, d'après une récente annonce serait prêt à atténuer si cela s'avérait nécessaire, au moyen de différentes « interventions ».

Des réglementations concrètes peuvent contribuer à réduire le cyber-risque côté fournisseurs, par exemple en imposant des normes de bonnes pratiques à la communauté des fournisseurs de services gérés et de services cloud. Mais il ne faut pas oublier que la plupart des risques provenant des environnements IaaS de cloud public affectent en premier lieu le client.

Les fournisseurs de services cloud sont des fournisseurs critiques

Sans surprise, selon des prévisions, les dépenses en cloud public devraient croître de 18 % cette année, puis de 19 % en 2022, pour dépasser les 362 milliards de dollars dans le monde. Dans certaines entreprises, la pandémie a fait faire un bond en avant de plusieurs années au processus de transformation numérique. Elle leur a notamment permis de devenir plus agiles, de répondre aux exigences en perpétuelle évolution des clients et enfin de rationaliser les processus métier. C'est pourquoi les fournisseurs de services cloud qui s'occupent de votre infrastructure informatique sont considérés de plus en plus critiques.

Pourtant, là où il y a des fournisseurs, il y a toujours un risque. D'après un rapport publié plus tôt cette année, les comptes d'utilisateur dans le cloud ont été ciblés par plus de trois millions d'attaques au cours de l'année 2020. Outre ce fait, les acteurs malveillants cherchent de plus en plus les failles dans la protection des infrastructures cloud car elles sont susceptibles de leur donner accès à vos applications web. D'après une autre étude, les attaques visant des applications web ont augmenté de 800 % au 1er semestre 2020 par rapport à la même période de l'année 2019. Ces acteurs sont également passés maîtres dans l'art de compromettre les répertoires contenant des données hautement réglementées (informations personnelles identifiables (PII), secrets commerciaux et éléments de propriété intellectuelle).

Le risque est décuplé par la complexité et l'opacité, que l'on retrouve à foison dans le cloud. Aujourd'hui, 92 % des entreprises ont mis en place une stratégie multicloud et 80 % une stratégie de cloud hybride. Ces stratégies sont un poids pour les ressources de sécurité en interne et elles créent une charge de travail supplémentaire au niveau de la gestion, ce qui peut affaiblir la protection. En fait, le défi posé par la visibilité est exacerbé dans certains cas par les fournisseurs de cloud eux-mêmes, selon ce rapport gouvernemental dans lequel on peut lire :

« De nombreux personnes interrogées ont déclaré ne pas pouvoir prendre de décisions d'achat totalement éclairées car il est de plus en plus difficile d'obtenir les garanties de cybersécurité voulues de la part des fournisseurs. Ceux-ci se montrent réticents lorsqu'il s'agit de fournir des informations sur leurs mesures de cybersécurité ou sur les normes auxquelles ils adhèrent. Cela pose un certain nombre de défis métier et opérationnels pour les clients, qui, au final, prennent à leur compte le risque d'un incident de cybersécurité. »

Des réglementations sont-elles prévues ?

C'est en partie pour cette raison qu'une intervention des gouvernements est fort probable. Voici les mesures potentielles :

  • Fournir de meilleurs conseils et de meilleures directives
  • Améliorer l'accès à du personnel compétent et aux bons produits et services pour gérer le risque
  • Travailler avec des « acteurs influents du marché » pour prioriser la gestion du risque de la chaîne logistique dans toute l'économie

Toutefois, une « réglementation » était apparemment l'option la plus citée par les parties prenantes du secteur. Le gouvernement a évoqué des plans pour garantir que les fournisseurs de services cloud respectent les cadres de bonnes pratiques afin d'améliorer la sécurité de base, bien que pour les trois plus grands acteurs mondiaux, cela ne soit pas vraiment le problème.

N'oubliez pas la responsabilité partagée

Il s'agit sans nul doute d'une aspiration louable. Mais celle-ci ne résoudra pas tous vos problèmes de sécurité dans la chaîne logistique cloud. Il est essentiel de garder à l'esprit que dans le modèle de responsabilité partagée, les fournisseurs de services cloud ne s'engagent qu'à sécuriser leur infrastructure de bas niveau,et non pas les applications qui l'utilisent pour fonctionner. Cela signifie donc que les clients doivent protéger leurs données, leurs applications, leurs systèmes d'exploitation, etc. Comme l'a indiqué le gouvernement britannique dans son rapport, il existe « encore, chez certains clients, la perception erronée qu'en souscrivant des services gérés ou cloud, le risque de cybersécurité n'est plus de leur ressort. »

Et d'ailleurs, Gartner avait prévu dans le passé que, d'ici 2020, 95 % des incidents de sécurité dans le cloud seraient de la responsabilité du client.

Les erreurs de configuration dans le cloud sont un excellent exemple de ce qui peut se produire lorsque les entreprises oublient leur rôle au sein du modèle. Une étude d'IBM de l'année dernière a révélé que plus de 85 % des 8,5 milliards de dossiers apparus dans des fuites signalées en 2019 étaient dus à des serveurs cloud mal configurés et d'autres erreurs de configuration. C'est particulièrement inquiétant lorsque l'on sait que les acteurs malveillants sont de plus en plus doués pour analyser et exploiter rapidement les systèmes exposés.

S'intéresser intelligemment à la sécurité

Le fin mot de l'histoire, c'est que les entreprises doivent être proactives dans la sécurisation de leurs chaînes logistiques, y compris leur infrastructure cloud, si elles veulent minimiser le cyber-risque. Les étapes suivantes fournissent une orientation générale :

  • Effectuer un exercice rigoureux de détection de toutes les ressources cloud
  • Classer ces ressources et ces flux de données selon leur degré de risque
  • Déployer des contrôles de sécurité dont :
  • La gestion de l'approche de la sécurité cloud pour lancer une alerte en cas de mauvaise configuration et la corriger
  • Les Web application firewalls compatibles avec le cloud
  • Pare-feux cloud
  • SD-WAN et VPN pour sécuriser le trafic de l'agence vers le cloud
  • Envisager de suivre les principes Zero Trust pour mieux atténuer le risque du cloud

Vos fournisseurs de services cloud font partie des partenaires les plus critiques de votre chaîne logistique. Mais ne partez pas du principe qu'ils protègent absolument tout. La visibilité, le contrôle et la surveillance continue doivent être vos priorités dans cette démarche.

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager