Cyber Sécurité

Comment créer un budget de sécurité cloud d’entreprise

Christophe
Christophe

Les entreprises se serrent la ceinture, ce qui impacte les budgets cybersécurité. Dans le même temps, l’utilisation du cloud continue de croître, ce qui nécessite de prêter attention aux dépenses en matière de sécurité du cloud.

La création d’un budget pour les services de sécurité des informations dans le cloud nécessite une planification minutieuse, une priorisation et une justification claire. Lors de la planification d’un budget de sécurité cloud, les étapes clés comprennent la définition des risques et des exigences, l’identification des contrôles et des technologies nécessaires, la budgétisation des outils et des services et la présentation du budget à la direction.

Définir les exigences et les objectifs de sécurité

Effectuez une évaluation approfondie des risques pour comprendre les besoins spécifiques de l’organisation en matière de sécurité cloud. Identifiez les données, applications et infrastructures critiques qui doivent être protégées, ainsi que toutes les exigences réglementaires à respecter.

Fixez des objectifs clairs et réalisables qui correspondent aux objectifs de l’entreprise, par exemple réduire l’exposition aux ransomwares ou se conformer à une réglementation spécifique. Cette clarté permet de prioriser les dépenses et démontre l’alignement avec une stratégie organisationnelle plus large.

Identifier les technologies et outils clés de cybersécurité nécessaires

Une fois les exigences et les objectifs définis et convenus, identifiez et catégorisez les composants de sécurité et les catégories pour lesquels des services et des contrôles de sécurité cloud sont nécessaires.

Répartissez la sécurité par catégorie pour garantir que tous les domaines essentiels sont couverts. Utilisez des cadres, tels que le NIST Cybersecurity Framework, pour déterminer les exigences de protection. Les catégories de sécurité courantes sont les suivantes :

  • Gestion des identités et des accès. Évaluez les outils IAM, tels que l’authentification unique, l’authentification multifacteur, ainsi que la gouvernance et l’administration des identités. Dans certains cas, ces contrôles sont régis conjointement par la sécurité et d’autres équipes, en particulier les outils d’identité en tant que service qui couvrent la fédération des utilisateurs finaux et des applications.
  • Protection des données. Envisagez les outils et services de chiffrement, de sauvegarde, de prévention et de classification des pertes de données.
  • Détection et surveillance des menaces. Évaluez les outils ou les plates-formes, y compris les systèmes SIEM centrés sur le cloud, les offres de protection des points de terminaison qui s’alignent sur les charges de travail cloud – comme une plateforme de protection des applications cloud native (CNAPP) – et les outils d’évaluation des vulnérabilités.
  • Conformité et gestion des risques. Évaluez les outils permettant de suivre l’état de la configuration et des contrôles du cloud, les rapports de conformité, les évaluations des risques et les audits.
  • Réponse aux incidents et récupération. Évaluez les outils et services de réponse aux incidents dans le cloud pour enregistrer, alerter et répondre aux incidents de sécurité dans le cloud, à la fois avec des fonctionnalités cloud natives et des options plus récentes, telles que des outils de détection et de réponse dans le cloud.
  • Formation et sensibilisation. Incluez un budget pour la formation des utilisateurs et des ingénieurs sur les meilleures pratiques en matière de sécurité du cloud.
A LIRE AUSSI :  Gros sur la prévention, encore plus sur l’IA

Répartir les coûts de ces systèmes de sécurité

Ensuite, estimez les coûts par catégorie. Recherchez ou consultez des fournisseurs pour recueillir des estimations de coûts pour les options qui correspondent à la taille, au secteur d’activité et au profil de risque de l’organisation.

Tenez compte des licences et des abonnements, ainsi que des coûts de mise en œuvre et de configuration, pour chaque outil ou service, y compris le temps opérationnel en interne, les coûts de maintenance et de support continus et les éventuelles offres de formation. Essayez de pousser les fournisseurs à regrouper les formations avec tout accord de licence, si possible.

Au cours de cette étape, envisagez les opportunités de réduire les coûts potentiels de sécurité du cloud en utilisant les fonctionnalités de sécurité déjà intégrées aux principales plates-formes cloud. Par exemple, les principaux fournisseurs IaaS, notamment AWS et Microsoft, proposent un chiffrement automatique de l’intégralité du disque pour les charges de travail, sans frais supplémentaires.

L’automatisation de la surveillance, de la conformité et de la détection des menaces dans le cloud via des outils tels que la gestion de la posture de sécurité dans le cloud (CSPM) peut également contribuer à économiser du budget en réduisant le recours aux opérations et tâches manuelles. Le recours à des fournisseurs de services de sécurité gérés pour certaines fonctions de sécurité pourrait également réduire les coûts et améliorer l’efficacité dans certains cas, en particulier pour les équipes plus petites et plus réduites.

Pour faciliter la budgétisation de la sécurité du cloud, développez une justification pour chaque catégorie budgétaire. Les exemples incluent les suivants :

  • Réduction des risques. Reliez clairement chaque dépense aux risques qu’elle atténue – par exemple : « Investir dans l’IAM réduit le risque d’accès non autorisé et de violations potentielles ».
  • Exigences de conformité. Insistez sur le coût des amendes, des atteintes à la réputation et des perturbations opérationnelles si les exigences réglementaires ne sont pas respectées.
  • Le coût de l’inaction. Décrivez l’impact financier potentiel d’une cyberattaque ou d’une violation, en faisant référence aux données de l’industrie sur les coûts moyens des incidents dans des secteurs similaires.
  • Activation des entreprises. Montrez comment les investissements en matière de sécurité permettent un développement de produits plus rapide, améliorent la collaboration sécurisée des données et contribuent à établir la confiance avec les clients, soutenant directement la croissance de l’entreprise.
A LIRE AUSSI :  L'attaque de zoom que vous n'avez pas vu venir

Dans la mesure du possible, essayez de prévoir les besoins futurs, qui incluent des considérations d’évolutivité et de pérennité. Planifiez l’évolutivité en incluant des estimations de l’évolution des coûts à mesure que les déploiements cloud se développent, que de nouveaux services sont utilisés ou que de nouvelles menaces émergent.

Présenter les exigences budgétaires en matière de sécurité du cloud aux principales parties prenantes

Enfin, justifiez le budget auprès de la haute direction et des parties prenantes. Les conseils utiles sont les suivants :

  • Simplifiez la présentation avec les principales préoccupations commerciales. Les membres du conseil d’administration et les dirigeants sont les plus préoccupés par les risques pour l’organisation, la conformité légale et réglementaire et la protection de la réputation. Définissez le budget en fonction de la manière dont il atténue ces risques et incluez des KPI de sécurité le cas échéant. Insistez sur la manière dont l’investissement dans la sécurité du cloud protège et améliore la valeur commerciale, permet une croissance continue et améliore la confiance des clients et la fiabilité opérationnelle.
  • Fournissez des exemples clairs et concrets. Référencez les incidents où le manque de sécurité du cloud a affecté les organisations du secteur. Utilisez ces exemples pour souligner la nécessité de chaque poste budgétaire.
  • Incluez des visuels et des scénarios. Présentez des scénarios comparant les coûts potentiels d’une violation par rapport au budget proposé pour l’atténuation. Utilisez des aides visuelles pour montrer comment le budget s’aligne sur les risques identifiés et les économies de coûts projetées.

Pour la plupart des organisations, les fonctionnalités critiques de sécurité du cloud incluent CSPM, la surveillance et la gestion des événements du cloud, la gestion des menaces, les contrôles de sécurité des données et les services et contrôles IAM. Les organisations disposant de budgets flexibles devraient envisager des outils tels que les CNAPP, bien que ceux-ci soient souvent des éléments budgétaires « nécessaires » avec les déploiements multi-cloud.

Dave Shackleford est fondateur et consultant principal chez Voodoo Security, ainsi qu’analyste SANS, instructeur et auteur de cours, et directeur technique du GIAC.

Partager cet Article
Article Précédent Comment fabriquer des teintures et des armures de teinture dans Minecraft
Article Suivant L’agence américaine de protection des consommateurs interdit les appels mobiles des employés face aux craintes de piratage chinois

Derniers Articles

5 matchs à jouer ce week-end
Les Meilleurs RPG / MMORPG et Jeux en Ligne
Le DMA de l’Europe devrait être abrogé – informatique
Intelligence artificielle Big Data
Dans d’autres nouvelles: Lockbit 5.0, Framework de cybersécurité du ministère de la War, vulnérabilité OnePlus
Cyber Sécurité
C’est normal de s’éloigner d’un jeu pendant un moment
Les Meilleurs RPG / MMORPG et Jeux en Ligne

Vous pourriez aussi aimer