Malgré les progrès technologiques en matière de cybersécurité réalisés par les fournisseurs de services cloud, la sécurité des ressources de stockage cloud reste un défi.
Les problèmes de sécurité du stockage dans le cloud, tels qu’une gestion et une surveillance inadéquates, peuvent conduire à l’exposition des données d’entreprise à des parties non autorisées. Anticipez ces problèmes avant qu’ils n’entraînent des clients mécontents, des partenaires commerciaux et des parties prenantes mécontents, des poursuites judiciaires coûteuses et d’autres maux de tête.
1. Mauvaise configuration
Une mauvaise configuration résulte généralement d’un manque de techniciens ou d’ingénieurs expérimentés en matière de sécurité du stockage, de politiques de ressources complexes ou d’interfaces utilisateur en constante évolution. Par exemple, l’ingénieur de stockage d’un fournisseur de services cloud (CSP) peut examiner un problème de sécurité mais ne pas parvenir à terminer le processus en raison d’un changement de priorités.
Prenez ces mesures pour atténuer les problèmes de mauvaise configuration :
- Créez ou mettez à jour un plan de sécurité du stockage cloud.
- Avoir des politiques et des normes de sécurité de stockage plus strictes que le CSP doit respecter.
- Mettre à jour les contrôles pour les activités de configuration du stockage.
- Formez et éduquez les équipes de stockage CSP pour vous assurer qu’elles connaissent les méthodes de configuration de sécurité du stockage les plus récentes.
- Mettez à jour les activités de surveillance de la configuration à l’aide des outils et des journaux appropriés.
2. Manque de contrôle d’accès et de gestion des identités
Des contrôles insuffisants qui ne détectent pas les violations de sécurité peuvent conduire à un accès non autorisé.
En supposant que le CSP utilise les outils d’accès et d’authentification les plus récents, examinez périodiquement ces contrôles, analysez l’accès aux données pour détecter d’éventuelles anomalies et examinez l’accès aux données en dehors du domaine du CSP.
3. Gestion inadéquate des données
La gestion des données concerne les données depuis leur création jusqu’à leur élimination. Une mauvaise gestion des données peut entraîner une corruption ou une fuite de données – deux problèmes critiques de sécurité du stockage dans le cloud.
Assurez-vous qu’une politique de gestion des données est en place et que le CSP la comprend. Chiffrez les données au repos et en mouvement pour améliorer la protection à toutes les phases du cycle de vie. Envisagez d’utiliser des outils de protection des données tiers pour compléter les services du CSP, informer les utilisateurs sur les activités de protection des données et contrôler l’accès aux données avec une authentification basée sur les rôles.
4. Contrôles de sécurité insuffisants
Les problèmes de sécurité du stockage dans le cloud peuvent résulter de contrôles de sécurité contradictoires et trop complexes qui peuvent nécessiter la résolution d’un ingénieur.
Les utilisateurs doivent décider s’ils préfèrent définir leurs propres règles de sécurité ou laisser le soin au CSP. Une politique de sécurité cloud mise à jour peut spécifier les contrôles. Testez également régulièrement les contrôles de sécurité.
5. Manque de surveillance en temps réel des activités de sécurité
Même si le CSP effectue probablement un certain niveau de surveillance, les utilisateurs doivent se rappeler que les CSP gèrent des centaines de clients et leurs activités de sécurité du stockage.
Adoptez une approche proactive en matière de surveillance et d’analyse des journaux pour augmenter la probabilité d’identifier les violations potentielles avant qu’elles ne se produisent.
6. Absence de processus pour sauvegarder et récupérer les données d’un CSP
De nombreuses organisations dépendent exclusivement d’un CSP pour protéger leurs données contre les attaques potentielles. Les principaux CSP ont développé et déployé une sécurité de classe mondiale pour les besoins de stockage. Cependant, il est également judicieux de disposer d’un moyen de sauvegarder, de récupérer et de récupérer les données critiques en cas de panne ou d’interruption d’accès du CSP.
Utilisez des disques durs, des NAS, d’autres arrangements de stockage sur site ou une sauvegarde hors site via un autre CSP.
7. Erreur humaine
Quelque chose d’aussi simple que de taper « O » (lettre) au lieu de « 0 » (chiffre) peut affecter la façon dont un système exécute une commande. De plus, un employé malveillant pleinement qualifié peut utiliser cette expertise pour détruire les données des clients en introduisant un code malveillant dans le système du client.
Bien que le CSP résolve probablement les situations ci-dessus, les utilisateurs peuvent s’aider eux-mêmes en garantissant que les accords de niveau de service (SLA), par exemple, contiennent des dispositions pour traiter les erreurs ou les intentions malveillantes du CSP.
8. Gestion inadéquate des violations de données, attaques de ransomwares
Les CSP disposent probablement de protocoles spécifiques pour répondre aux violations de données ou à d’autres cyberattaques affectant le stockage des données des clients. Les utilisateurs doivent accepter le risque que les CSP ne parviennent pas à gérer et à résoudre correctement les cyberattaques.
Un SLA peut aborder la possibilité de tels événements. Le SLA doit être précis sur les circonstances associées à une cyberattaque réussie et les recours pour l’utilisateur.
9. Conformité réglementaire en question
Compte tenu du paysage réglementaire actuel en matière de protection des données, les activités de sécurité du stockage cloud doivent se conformer à des réglementations de plus en plus strictes.
Le RGPD de l’UE, par exemple, prévoit des règles spécifiques de conformité. Le non-respect du RGPD peut entraîner des sanctions importantes, comme de lourdes amendes.
Note de l’éditeur: Cet article a été mis à jour en 2024 avec des informations supplémentaires, notamment d’autres problèmes à prendre en compte. L’écrivain technologique John Edwards a écrit l’article original.
Paul Kirvan est consultant indépendant, auditeur informatique, rédacteur technique, éditeur et éducateur. Il possède plus de 25 ans d’expérience dans la continuité des activités, la reprise après sinistre, la sécurité, la gestion des risques d’entreprise, l’audit des télécommunications et de l’informatique.
