Sécurité dans le Cloud Adoption Framework Microsoft pour Azure

Tout comme l’adoption du cloud, la sécurité du cloud est un parcours continu de progression incrémentielle et de maturité, et non une destination statique.

Prévoir un état de sécurité final

Lorsque la fin d’un parcours n’est pas définie, on parle d’errance. Cette approche peut éventuellement mener à une prise de conscience, mais les contraintes et les objectifs commerciaux nécessitent souvent de se concentrer sur des objectifs et résultats clés.

La méthodologie Secure fournit une vision de l’état final complet, qui vous guide dans l’amélioration de votre programme de sécurité au fil du temps. Le visuel suivant mappe les principales méthodes par lesquelles la sécurité s’intègre à l’organisation dans son ensemble et montre les différentes disciplines au sein de la sécurité.

Visuel montrant l’alignement des activités et les disciplines liées à la sécurité de la méthodologie CAF Secure.

Le Cloud Adoption Framework vous guide dans ce parcours de sécurité en clarifiant les processus, les meilleures pratiques, les modèles et les expériences. Ce guide est basé sur les leçons tirées par de véritables clients et leurs expériences dans le monde réel, sur le parcours de sécurité de Microsoft et sur la collaboration avec des organisations, telles que NIST, The Open Group et le Center for Internet Security (CIS).

La vidéo suivante montre comment la méthodologie Secure oriente les améliorations en matière de sécurité au fil du temps.

Mapper des concepts, des infrastructures et des normes

La sécurité est une discipline organisationnelle autonome et un attribut qui s’intègre ou se superpose à d’autres disciplines. Il est difficile de définir précisément et de mapper en détail. Le secteur de la sécurité utilise différentes infrastructures pour fonctionner, repérer les risques et planifier les contrôles. Les disciplines de la méthodologie CAF Secure sont liées à d’autres concepts et conseils de sécurité de la façon suivante :

  • Confiance Zéro : Microsoft estime que toutes les disciplines liées à la sécurité doivent respecter les principes de la Confiance Zéro, qui consistent à supposer une violation, vérifier explicitement et utiliser un accès avec privilège minimum. Ces principes reposent sur une stratégie de sécurité robuste et doivent s’équilibrer avec les objectifs de développement de l’entreprise. La première partie de la Confiance Zéro et la plus visible est le contrôle d’accès, elle est donc mise en évidence dans la description de la discipline de sécurité du contrôle d’accès.

  • The Open Group : ces disciplines de sécurité sont étroitement associées aux composants de la Confiance Zéro dans le livre blanc des principes de base publié par The Open Group auquel Microsoft participe activement. Il est à noter que Microsoft a amélioré la discipline de sécurité de l’innovation pour que DevSecOps soit un élément de premier plan en raison du caractère novateur, important et transformateur de cette discipline pour de nombreuses organisations.

  • Framework de cybersécurité NIST : pour les organisations qui utilisent le framework de cybersécurité NIST, nous avons mis en évidence le texte en gras là où le mappage du framework est le plus étroit. Étant donné que le contrôle d’accès moderne et DevSecOps correspond largement au spectre complet du framework, ces éléments ne sont pas notés individuellement.

Mapper des rôles et responsabilités

Le diagramme suivant résume les rôles et responsabilités d’un programme de sécurité.

Diagramme des responsabilités et fonctions d’une équipe de sécurité d’entreprise.

Pour plus d’informations, consultez Fonctions de sécurité du cloud.

Transformation de sécurité

Lorsque des organisations adoptent le cloud, elles se rendent rapidement compte que les processus de sécurité statiques ne peuvent pas suivre le rythme des changements des plateformes cloud, de l’environnement des menaces et de l’évolution des technologies de sécurité. La sécurité doit adopter une approche en constante évolution pour suivre le rythme de ce changement. Elle transforme la culture organisationnelle et les processus quotidiens à travers l’organisation.

Cette méthodologie oriente l’intégration de la sécurité avec des processus métiers et des disciplines de techniques de sécurité. Ces processus et disciplines vous permettent de progresser de manière significative et durable dans votre parcours de sécurité afin de réduire les risques organisationnels. Peu d’organisations peuvent parfaire toutes ces pratiques à la fois, mais toutes doivent développer chaque processus et discipline progressivement.

Facteurs motivant le changement

Les organisations de sécurité rencontrent deux types de transformations majeures en même temps.

  • Sécurité en tant que risque métier : d’une discipline purement technique orientée vers la qualité la sécurité a été propulsée dans le domaine de la gestion des risques métier. Les deux forces qui font avancer la sécurité sont les suivantes :
    • Transformation numérique : les augmentations de l’empreinte numérique accroissent en permanence la surface d’attaque potentielle de l’organisation.
    • Paysage des menaces : on observe une augmentation du volume et de la sophistication des attaques, qui sont alimentées par une économie d’attaques industrialisée avec des compétences spécialisées et une banalisation continue des outils et techniques d’attaque.
  • Modification de la plateforme : la sécurité doit faire face au basculement de la plateforme technique vers le cloud. Il s’agit d’une évolution majeure, un peu comme si une usine qui utilisait auparavant ses propres générateurs électriques se connectait au réseau électrique national. Bien que les équipes de sécurité aient souvent les bonnes compétences fondamentales, elles sont de plus en plus débordées par les changements apportés à presque tous les processus et technologies qu’elles utilisent quotidiennement.
  • Changements en matière d’attentes : ces dix dernières années, l’innovation numérique a redéfini des secteurs entiers. Le manque de souplesse d’une entreprise, en particulier liée à la transformation numérique, peut rapidement lui faire perdre sa place de leader du marché. La perte de confiance des consommateurs peut avoir un effet similaire sur l’entreprise. Il était autrefois acceptable pour la sécurité de commencer par dire « non » pour bloquer un projet et protéger l’organisation. Aujourd’hui, l’urgence d’adopter la transformation numérique doit changer le modèle d’engagement pour dire « parlons des moyens de rester en sécurité pendant que vous faites ce qui est nécessaire pour rester pertinent ».

Guide d’une transformation durable

Transformer la façon dont les équipes métier et technologiques considèrent la sécurité nécessite d’aligner la sécurité avec les priorités, les processus et l’infrastructure à risque. Les domaines clés qui mènent au succès sont les suivants :

  • Culture : la culture de sécurité doit avoir comme but de remplir la mission commerciale, pas de l’entraver. La sécurité doit devenir une partie normalisée de la culture de l’organisation. Internet, sur lequel opère l’entreprise, est ouvert et permet aux adversaires de tenter des attaques à tout moment. Ce changement culturel nécessite une amélioration des processus, des partenariats et un support continu de la part de la direction à tous les niveaux, afin de communiquer le changement, de modéliser le comportement et de renforcer le changement de paradigme.
  • Responsabilité du risque : la responsabilité du risque de sécurité doit être attribuée aux mêmes rôles que ceux qui ont la responsabilité tous les autres risques. Cette responsabilité libère le service sécurité qui devient un conseiller de confiance et un expert en la matière plutôt qu’un bouc émissaire. La sécurité doit être responsable des conseils sages et équilibrés qui sont communiqués dans le langage de ces leaders, mais ne doit pas être tenue responsable des décisions qui ne lui incombent pas.
  • Talents de sécurité : il existe une pénurie chronique de talents de sécurité, et les organisations doivent planifier comment développer et distribuer au mieux les connaissances et compétences en matière de sécurité. Parallèlement au développement des équipes de sécurité directement avec des compétences techniques de sécurité, les équipes de sécurité matures diversifient leur stratégie en se concentrant sur les aspects suivants :
    • Augmentation des compétences et des connaissances en matière de sécurité des équipes informatiques existantes et de l’entreprise. Ces compétences sont particulièrement importantes pour les équipes DevOps qui adoptent une approche DevSecOps. Les compétences peuvent prendre de nombreuses formes, telles qu’un support technique de sécurité, l’identification et la formation de spécialistes au sein de la communauté, ou des programmes d’échange d’emploi.
    • Recrutement de groupes de compétences variés au sein des équipes de sécurité, afin de bénéficier de nouvelles perspectives face aux problèmes (psychologie humaine, économie, et ainsi de suite) et de créer de meilleures relations au sein de l’organisation.

Alignement de l’entreprise

En raison de ces évolutions, votre programme d’adoption du cloud doit être essentiellement axé sur l’alignement des activités dans trois catégories :

  • Aperçus des risques : alignez et intégrez les aperçus de sécurité et les signaux ou sources de risque avec les initiatives de l’entreprise. Assurez-vous que les processus reproductibles enseignent aux équipes comment appliquer ces aperçus et les considèrent comme responsables des améliorations.
  • Intégration de la sécurité : intégrez les connaissances, les compétences et les aperçus de sécurité dans les opérations quotidiennes de l’entreprise et de l’environnement informatique. Intégrez les processus reproductibles et un partenariat étroit à tous les niveaux de l’organisation.
  • Résilience opérationnelle : assurez-vous que l’organisation est résiliente en poursuivant les activités pendant une attaque (même dans un état dégradé). L’organisation doit rebondir rapidement pour reprendre pleinement ses activités.

Disciplines de sécurité

Cette transformation affecte différemment chaque discipline de sécurité. Chacune de ces disciplines est importante et nécessite des investissements. Les disciples suivantes sont classées (grossièrement) par ordre de priorité selon qu’elles offrent ou non des opportunités de gain immédiat lorsque vous adoptez le cloud :

  • Contrôle d’accès : les applications de réseau et d’identité créent des limites d’accès et une segmentation afin de réduire la fréquence et la portée des violations de sécurité.
  • Opérations de sécurité : analysez les opérations informatiques afin de détecter une violation, d’y répondre et de récupérer. Utiliser les données afin de réduire en permanence le risque de violation.
  • Protection des ressources : maximisez la protection des ressources, telles que l’infrastructure, les appareils, les données, les applications, les réseaux et les identités, afin de réduire le risque pour l’ensemble de l’environnement.
  • Gouvernance de sécurité : les décisions déléguées accélèrent l’innovation et introduisent de nouveaux risques. Analysez les décisions, les configurations et les données afin de gérer les décisions prises à l’échelle de l’environnement et dans les charges de travail du portefeuille.
  • Sécurité de l’innovation : lorsqu’une organisation adopte des modèles DevOps pour augmenter le rythme de l’innovation, la sécurité doit devenir partie intégrante d’un processus DevSecOps. Intégrez l’expertise et les ressources de sécurité directement à ce cycle à grande vitesse. Ce processus implique un changement dans la prise de décision ; certaines décisions auparavant assumées par des équipes centralisées doivent désormais être du ressort des équipes axées sur la charge de travail.

Principes à suivre

Les activités de sécurité doivent être motivées et alignées sur les deux facteurs suivants :

  • Développement de l’entreprise : alignement sur l’infrastructure de risque et les objectifs métier de l’organisation.
  • Garanties de sécurité : concentrez-vous sur l’application des principes Confiance Zéro, qui sont les suivants :
    • Supposer une violation : lorsque vous concevez la sécurité d’un composant ou d’un système, réduisez le risque qu’un attaquant étende son accès en partant du principe que d’autres ressources de l’organisation sont compromises.
    • Vérification explicite : validez explicitement la confiance à l’aide de tous les points de données disponibles, plutôt que de supposer faire confiance. Par exemple, dans le contrôle d’accès, validez l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service ou la charge de travail, la classification des données et les anomalies, plutôt que d’autoriser un accès à partir d’un réseau interne approuvé implicitement.
    • Accès avec privilège minimum : limitez le risque d’un utilisateur ou d’une ressource compromis en fournissant un accès JIT/JEA (Just-In-Time/Just-Enough-Access), des stratégies adaptatives basées sur les risques et une protection des données afin de renforcer la sécurité des données et la productivité.

Étapes suivantes

Cette méthodologie de sécurisation fait partie d’un ensemble complet de conseils de sécurité qui comprend aussi :