Comment tirer le meilleur parti de votre évaluation de la sécurité en nuage
Trois choses à rechercher chez un fournisseur d’évaluation de la sécurité en nuage
Jack Mann, gestionnaire de produit technique principal, Cybersécurité – Bell
Une évaluation de la sécurité en nuage peut vous donner un excellent aperçu de la façon dont vous protégez vos données et vos charges de travail en nuage. Cependant, la valeur réelle de cette évaluation pour votre entreprise dépendra du fournisseur qui la réalise.
Dans cet article, j’aborde ce qu’il faut rechercher chez un fournisseur d’évaluation de la sécurité en nuage et je communique des conseils pour évaluer les candidats potentiels afin de faire le meilleur choix pour votre entreprise et sa sécurité.
Alors, qu’est-ce qui fait un partenaire idéal pour l’évaluation de la sécurité du nuage ? Il s’agit d’avoir les bons outils, la bonne expertise et la bonne approche.
1. Les bons outils
Il existe de nombreux outils d’évaluation de la sécurité en nuage. Certains ont des forces dans des domaines précis, mais sont faibles dans d’autres. Votre partenaire idéal utilisera les outils qui couvrent suffisamment tout ce que votre entreprise fait dans le nuage. Autrement, ces outils ne fourniront pas la visibilité nécessaire pour cerner toutes les lacunes en matière de sécurité et tous les problèmes de configuration qui pourraient se présenter dans votre environnement en nuage.
Pour vous assurer que les outils de votre partenaire conviennent aux secteurs les plus pertinents pour votre entreprise, vous devez connaître toutes les façons dont votre entreprise utilise le nuage. Faites l’inventaire à l’échelle de votre entreprise en posant des questions comme :
- Quels services en nuage les équipes utilisent-elles et à quelles fins le font-elles?
- Y a-t-il des équipes qui développent des applications dans le nuage?
- Votre entreprise utilise-t-elle un type d’informatique sans serveur ou utilise-t-elle la technologie des conteneurs ?
Pour vous assurer d’avoir un portrait complet de la façon dont votre entreprise utilise le nuage, les partenaires de sécurité peuvent offrir des outils capables d’analyser automatiquement votre environnement et de générer un inventaire détaillé de tous les services en nuage que vous utilisez actuellement. Grâce à ces renseignements, la prochaine étape consiste à s’assurer que les outils et les systèmes utilisés par le fournisseur sont suffisamment robustes et étendus dans leurs capacités. Privilégiez ceux qui couvrent de nombreux domaines de sécurité, car ils sont plus susceptibles d’exposer et de protéger tous les services en nuage que votre entreprise utilise. Au minimum, vérifiez si les outils du fournisseur évaluent la sécurité du réseau en nuage (qui comprend des éléments essentiels comme la gestion des droits d’accès à l’infrastructure et la gestion des identités et des accès) et les domaines de l’informatique et du développement dans le nuage, y compris :
- La visibilité
- La conformité
- La gouvernance
- La détection des menaces
- La gestion des identités et des accès
- L’infrastructure en tant que code
- Les hôtes
- Les conteneurs et l’informatique sans serveur
- La sécurité des applications Web et des interfaces API (WAAS)
- Analyse de la composition des logiciels
2. La bonne expertise
Les outils ne sont qu’un seul élément d’une évaluation de la sécurité en nuage. Ce qui fait vraiment la différence, ce sont les personnes qui évaluent les résultats de ces outils. Il est tout aussi important d’évaluer les compétences et l’expérience de l’équipe du fournisseur, ainsi que si le fournisseur est certifié dans tous les domaines qui comptent pour votre entreprise.
Votre partenaire idéal aura une expérience pratique de l’évaluation de la sécurité du nuage d’autres entreprises au sein de votre secteur ou de votre industrie en particulier, et désignera une personne ou une équipe possédant cette expérience et ces connaissances pour mener votre évaluation. Vous pouvez donc être certain qu’ils connaissent les normes et les cadres qui s’appliquent précisément à votre entreprise et savent comment les entreprises doivent les respecter.
En ce qui concerne la certification, recherchez les certifications liées aux normes de conformité ou à la réglementation gouvernementale qui s’appliquent à votre entreprise ou aux services en nuage que vous utilisez. De plus, assurez-vous que le fournisseur est agréé quant aux outils qu’il utiliserait pour l’évaluation, si de telles certifications sont disponibles.
3. La bonne approche
Chaque entreprise et chaque environnement en nuage a ses particularités. Un bon fournisseur prendra le temps d’apprendre à connaître les vôtres dès le début de l’engagement, puis adaptera son évaluation à vos besoins uniques. Grâce à des consultations attentives avec vos équipes, le fournisseur d’évaluation de la sécurité en nuage idéal comprendra les particularités de votre environnement en nuage et déterminera quel cadre de sécurité s’applique le mieux à votre entreprise. À l’aide de ces renseignements, il affectera une personne à l’évaluation qui possède l’expérience, les certifications et la connaissance appropriées des normes de conformité.
Étant donné qu’il n’y a pas de solution universelle en matière de sécurité en nuage, un bon fournisseur offrira plusieurs niveaux d’évaluation pour répondre à divers besoins organisationnels et recommandera la meilleure option en fonction d’une compréhension approfondie des vôtres. Par exemple, un fournisseur peut offrir une évaluation d’infrastructure de base qui met l’accent sur vos actifs en nuage, ainsi qu’une évaluation plus vaste à l’échelle de l’entreprise qui examine les politiques, les processus et les personnes dans toute l’entreprise. Cette dernière peut remarquer que rien n’est en place au niveau organisationnel, ce qui contribue par inadvertance à des problèmes de sécurité dans votre environnement en nuage. Un bon fournisseur posera également des questions tout au long du processus d’évaluation et pourra utiliser ce qu’il apprend pour changer de cap si nécessaire, par exemple en cessant d’accorder la priorité aux environnements temporaires ou en approfondissant des domaines de grande importance.
Fait important : le bon fournisseur ne se contentera pas de vous accorder l’accès à un outil d’évaluation de la sécurité en nuage et de vous laisser libre de l’utiliser. C’est une approche qui n’est pas rare dans l’industrie. Elle ne conduit toutefois jamais à un bon résultat, car il faut connaître l’outil de fond en comble pour obtenir des résultats utiles. De même, il ne se contentera pas de vous remettre un rapport à la fin du processus et de repartir. Au lieu de cela, il vous guidera à travers les résultats pour expliquer ses recommandations et les mesures correctives disponibles pour améliorer la sécurité de votre nuage.
Découvrez vos lacunes en matière de sécurité en nuage avec Bell
Une évaluation de la sécurité en nuage nécessite la bonne combinaison de technologies, de personnes et de processus pour obtenir des résultats optimaux. Une évaluation de la posture de sécurité du nuage (CSPA) de Bell y parvient grâce à une équipe experte de professionnels de la sécurité agréés et à un écosystème de partenaires évolués qui nous donne accès aux meilleurs outils de l’industrie auprès de fournisseurs de premier plan. Nos experts de la sécurité en nuage travaillent avec vos principales parties prenantes pour comprendre votre environnement en nuage et vos défis, puis effectuent une évaluation qui vous donne un aperçu de vos vulnérabilités et de vos erreurs de configuration, de votre conformité à plus de 40 normes.
Pour en savoir plus sur la façon dont une évaluation de la sécurité en nuage de Bell peut améliorer votre sécurité en nuage, communiquez avec un conseiller de Bell.