Documentation Oracle Cloud Infrastructure

Architecture de sécurité

L'architecture de sécurité pour l'adoption du cloud fait référence à la conception et à la mise en œuvre systématiques de mesures de sécurité au sein d'un environnement cloud afin de protéger les ressources, les données, les applications et les ressources numériques contre les menaces potentielles, les vulnérabilités et les accès non autorisés.

Objectif

L'objectif principal de l'architecture de sécurité pour l'adoption du cloud est d'établir une structure de sécurité complète et résiliente qui protège les informations sensibles, garantit la conformité aux réglementations et atténue les risques tout en tirant parti des avantages du cloud computing.

Rôles

La responsabilité de l'architecture de sécurité incombe généralement à plusieurs rôles impliqués dans la mise en forme de l'architecture de sécurité lors de l'adoption du cloud.

Architecte de sécurité cloud

Responsable de la conception et de l'implémentation de l'architecture, des stratégies et des contrôles de sécurité globaux propres à l'environnement cloud.

Analystes en cybersécurité

Surveiller et analyser les événements de sécurité, gérer les incidents et réagir aux menaces.

Responsables de la conformité

Assurez-vous que les pratiques de sécurité sont conformes aux réglementations du secteur et aux exigences de conformité organisationnelles.

DevSecOps Ingénieurs

Intégrer les pratiques de sécurité dans le pipeline de développement et de déploiement pour assurer la sécurité tout au long du cycle de vie des applications.

Ingénieurs en sécurité réseau

Mettre en œuvre des mesures de sécurité réseau, notamment des pare-feux, des systèmes de détection des intrusions et des contrôles d'accès.

Implémentation

Les informations suivantes décrivent les fonctions et les considérations de conception lors de l'implémentation de l'architecture de sécurité pour l'adoption du cloud.

Identity and Access Management

Définir et appliquer des mécanismes d'authentification solides, implémenter des contrôles d'accès basés sur les rôles, gérer les identités des utilisateurs et vérifier l'accès régulièrement.

Contrôle d'accès et gestion des identités

Identity Access Management (IAM) fournit les contrôles nécessaires pour gérer les identités des utilisateurs et l'accès aux ressources cloud, garantissant ainsi que seules les personnes autorisées ont accès aux données et applications sensibles.

Le besoin d'IAM survient car l'adoption du cloud pose de nouveaux défis en matière de sécurité, tels que la nécessité de gérer l'accès sur plusieurs plates-formes et services cloud, la nécessité de contrôler l'accès à partir de divers appareils et emplacements et la nécessité d'appliquer les normes du secteur et des réglementations.

Les étapes suivantes sont recommandées pour implémenter des stratégies IAM :

  • Identifiez les ressources et les ressources critiques qui nécessitent une protection.
  • Définir les stratégies d'accès et les rôles qui régissent l'accès à ces ressources.
  • Etablir des processus de provisionnement et de déprovisionnement des utilisateurs pour gérer l'accès utilisateur.
  • Implémentez l'authentification à plusieurs facteurs pour vérifier les identités des utilisateurs et réduire le risque d'accès non autorisé.
  • Surveillez l'activité des utilisateurs et les journaux d'accès pour détecter les comportements suspects et y répondre.
  • Examiner et mettre à jour régulièrement les stratégies et les rôles d'accès pour garantir une efficacité continue.

Accès juste à temps

L'accès juste à temps (JIT) avec gestion de l'expiration des fenêtres glissantes est un modèle de sécurité qui permet aux utilisateurs d'accéder temporairement aux ressources cloud en fonction des besoins. Cette approche minimise la surface d'attaque et permet d'éviter une mauvaise utilisation inattendue des ressources cloud.

L'accès JIT permet aux utilisateurs d'accéder aux ressources pendant une période limitée et avec des privilèges limités. Avec la gestion de l'expiration des fenêtres glissantes, l'accès est accordé pour une fenêtre de temps définie, par exemple 30 minutes, puis expire automatiquement. Cette approche permet d'empêcher les accès non autorisés et de réduire le risque de violations de données et d'autres incidents de sécurité.

Les informations suivantes décrivent comment l'accès JIT avec la gestion de l'expiration des fenêtres glissantes peut aider à maintenir un bon modèle de sécurité et à prévenir toute utilisation abusive inattendue :

  • Limiter l'exposition : en limitant l'accès aux ressources cloud aux seuls utilisateurs qui en ont besoin, la surface d'attaque est réduite et le risque d'accès non autorisé est réduit.
  • Réduire le risque de vol d'informations d'identification : avec l'accès JIT, les utilisateurs n'ont pas besoin d'informations d'identification d'accès à long terme, qui peuvent être volées ou compromises. Au lieu de cela, ils bénéficient d'un accès temporaire, ce qui réduit le risque de vol d'identifiants.
  • Imposer le moindre privilège : avec la gestion de l'expiration des fenêtres glissantes, l'accès est accordé uniquement pour une durée limitée et avec des privilèges limités. Cette approche permet d'appliquer le principe du moindre privilège, qui limite le niveau d'accès accordé aux utilisateurs et réduit le risque de violation de données et d'autres incidents de sécurité.
  • Automatiser la gestion des accès : l'accès JIT avec gestion de l'expiration des fenêtres glissantes peut être automatisé, ce qui facilite la gestion et l'application des contrôles d'accès sur un grand nombre de ressources cloud.
  • Améliorer la capacité d'audit : l'accès JIT avec la gestion de l'expiration des fenêtres glissantes fournit une piste d'audit des personnes ayant accédé aux ressources cloud et de leur date d'accès, ce qui facilite la détection et l'investigation des incidents de sécurité.

Accès avec le moins de privilèges

L'implémentation du niveau minimal d'autorisation requis pour effectuer une action est un aspect important du maintien d'un bon état de sécurité dans n'importe quel système. Ce principe, connu sous le nom de principe du moindre privilège (PoLP), stipule qu'un utilisateur ne doit bénéficier que du niveau d'accès minimal requis pour exécuter sa fonction.

Les informations suivantes expliquent pourquoi l'implémentation du niveau minimal d'autorisation requis est importante pour maintenir un bon état de sécurité :

  • Réduction du risque de violation de données : en limitant les autorisations utilisateur à ce qui est nécessaire pour exécuter leur fonction, le risque de violation de données est réduit. Si le compte d'un utilisateur est compromis, l'attaquant aura accès à un ensemble limité de données, plutôt qu'à l'ensemble du système.
  • Limitation de la propagation de logiciels malveillants et de virus : si un compte utilisateur est compromis, tout logiciel malveillant ou virus introduit dans le système aura également un accès limité aux données et aux ressources.
  • Assurer la conformité : De nombreuses réglementations de conformité exigent que les entreprises mettent en œuvre le principe du moindre privilège. Ce faisant, votre organisation peut démontrer que vous prenez les mesures appropriées pour protéger les données sensibles et maintenir la conformité.
  • Gestion plus facile : en limitant les droits d'accès à ce qui est nécessaire, il est plus facile de gérer les comptes utilisateur et les contrôles d'accès. Cela réduit le risque de mauvaises configurations et d'erreurs pouvant entraîner des incidents de sécurité.
  • Responsabilité accrue : lorsque les utilisateurs obtiennent uniquement le niveau minimal d'autorisation requis, il est plus facile de suivre et d'auditer leurs actions. Cela augmente la responsabilité et facilite la détection et l'investigation des incidents de sécurité qui pourraient se produire.

Révision d'accès

L'évaluation périodique des autorisations utilisateur est un aspect important du maintien d'un bon état de sécurité dans n'importe quel système. Cette évaluation consiste à examiner les autorisations accordées aux utilisateurs pour s'assurer qu'elles sont toujours nécessaires et affectées aux fins appropriées. Les informations suivantes expliquent pourquoi l'évaluation périodique des autorisations utilisateur est importante :

  • Limitation de l'accès : au fil du temps, les utilisateurs peuvent accumuler des autorisations qui ne sont plus nécessaires à leur fonction. En examinant et en révoquant périodiquement les autorisations inutiles, l'accès aux données et aux ressources sensibles est limité, ce qui réduit le risque d'accès non autorisé et de violations de données.
  • Réduction de la surface d'attaque : les autorisations inutiles peuvent augmenter la surface d'attaque d'un système, ce qui le rend plus vulnérable aux attaques. En évaluant périodiquement les autorisations des utilisateurs et en révoquant les accès inutiles, la surface d'attaque est réduite, ce qui rend plus difficile l'accès des attaquants aux données sensibles.
  • Conformité : de nombreuses réglementations de conformité nécessitent des révisions périodiques des autorisations utilisateur pour s'assurer que les contrôles d'accès sont gérés correctement. En effectuant ces examens, vous pouvez vous assurer que vous êtes en conformité avec les réglementations pertinentes.
  • Assurer que les droits d'accès sont affectés dans le but approprié : les droits d'accès utilisateur doivent être affectés en fonction de la fonction et des besoins de l'entreprise. En effectuant des évaluations périodiques, vous pouvez vous assurer que les autorisations sont toujours utilisées dans le but prévu.
  • Détection des anomalies : les évaluations périodiques des droits d'accès utilisateur peuvent aider à détecter les anomalies ou les modifications non autorisées des droits d'accès. Cela peut indiquer un incident de sécurité potentiel ou une violation des stratégies de sécurité.

Sécurité de l'infrastructure

Configurez des pare-feu, des systèmes de détection et de prévention des intrusions, des pare-feu d'application Web et d'autres mesures de sécurité pour protéger l'infrastructure. La mise en œuvre de la sécurité de l'infrastructure est essentielle pour protéger vos données et vos systèmes contre les cybermenaces.

  • Sécurité réseau
    • Segmentez le réseau en différentes zones pour limiter l'exposition des systèmes sensibles et des données aux réseaux non sécurisés.
    • Utilisez des pare-feu pour contrôler le trafic entre les segments de réseau et appliquer des stratégies de sécurité.
    • Mettre en place des systèmes de détection et de prévention des intrusions (IDS/IPS) pour surveiller et bloquer les attaques réseau.
  • Pare-feu
    • Configurez des règles de pare-feu pour bloquer tout le trafic par défaut et autoriser uniquement le trafic nécessaire en fonction de la source, de la destination et du numéro de port.
    • Implémentez une inspection avec conservation de statut pour suivre l'état des connexions réseau et empêcher tout accès non autorisé.
    • Utilisez des réseaux cloud virtuels pour chiffrer et sécuriser l'accès distant au réseau.
  • Identity and Access Management
    • Pour IAM, implémentez un modèle avec le moindre privilège, où les utilisateurs disposent uniquement du niveau d'accès minimal requis pour exécuter leurs fonctions.
    • Utilisez l'authentification à plusieurs facteurs pour vérifier l'identité de l'utilisateur et empêcher tout accès non autorisé.
    • Implémentez des processus de provisionnement et de déprovisionnement des utilisateurs pour vous assurer que l'accès est accordé et révoqué en temps opportun et de manière contrôlée.
  • Gestion de la vulnérabilité
    • Implémentez un processus de gestion des correctifs pour appliquer les mises à jour logicielles et les correctifs de sécurité de manière opportune et contrôlée.
    • Effectuez régulièrement des analyses de vulnérabilité pour identifier et corriger les vulnérabilités avant qu'elles ne puissent être exploitées.
    • Utilisez un flux d'informations sur les menaces pour identifier les nouvelles menaces et hiérarchiser les efforts de correction.
  • Journalisation et surveillance
    • Implémentez une solution centralisée de journalisation et de surveillance pour collecter et analyser les journaux des événements de sécurité à partir des périphériques réseau, des serveurs et des applications.
    • Implémentez la gestion des informations et des événements de sécurité (SIEM) pour corréler et analyser les événements de sécurité en temps réel et générer des alertes sur les incidents de sécurité potentiels.
    • Effectuez régulièrement des audits de sécurité et des tests d'intrusion pour identifier et corriger les faiblesses de la posture de sécurité.

Isolation de la charge globale

L'isolement des charges de travail est essentiel dans le cloud computing pour maintenir la sécurité, car il permet d'éviter la propagation de violations de sécurité ou d'attaques entre différentes charges de travail exécutées sur la même infrastructure. L'isolation des charges de travail fait référence à la pratique consistant à séparer les charges de travail afin qu'elles soient isolées les unes des autres en termes de ressources de calcul, de stockage et de réseau. Cette séparation garantit que si une charge de travail est compromise, les dommages seront limités à cette charge de travail et que d'autres charges de travail resteront sécurisées.

Segmentez le trafic réseau, utilisez des clouds privés virtuels (VPC) et utilisez des groupes de sécurité pour isoler les charges de travail. Les informations suivantes décrivent les étapes à suivre pour implémenter les meilleures pratiques d'isolement de charge globale :

  • Identifier les ressources et les données critiques : déterminez les charges globales qui contiennent des données ou des ressources critiques nécessitant le plus haut niveau de sécurité.
  • Définir des stratégies d'isolement de charge globale : définissez des stratégies d'isolement de charge globale qui régissent la manière dont les charges globales seront séparées les unes des autres en fonction de leur sensibilité et de leur criticité.
  • Choisissez le bon service cloud : choisissez un service cloud qui offre des fonctionnalités d'isolation des charges de travail telles que le réseau cloud virtuel (VCN), la liste de sécurité ou les groupes de sécurité réseau (NSG) et les pare-feu.
  • Utilisation de réseaux cloud virtuels ou de groupes de sécurité réseau : utilisez des réseaux cloud virtuels ou des groupes de sécurité réseau pour segmenter les charges globales en fonction de leurs exigences de sécurité. Les réseaux cloud virtuels assurent une isolation au niveau du réseau, tandis que les groupes de sécurité réseau fournissent un contrôle plus précis sur le flux de trafic.
  • Implémenter des contrôles d'accès : implémentez des contrôles d'accès pour garantir que seul le personnel autorisé a accès aux charges globales critiques.
  • Surveiller et auditer : surveillez et auditez régulièrement les stratégies d'isolement de charge globale pour vous assurer qu'elles sont efficaces et que les charges globales restent sécurisées.
  • Implémenter le cryptage : implémentez le cryptage pour protéger les données sensibles au repos et en transit entre les charges globales.

Séparation des préoccupations

La séparation des préoccupations est un principe de conception de logiciel qui favorise la séparation des différentes fonctionnalités ou préoccupations en modules, classes ou composants distincts. Cette approche facilite le développement, le test et la maintenance de systèmes complexes, car chaque composant peut être développé indépendamment et modifié sans affecter les autres.

Dans l'implémentation de la sécurité dans le cloud, la séparation des problèmes peut être utilisée pour isoler les problèmes de sécurité des autres problèmes du système. Cette séparation permet d'implémenter et de maintenir les stratégies et procédures de sécurité indépendamment des autres composants du système.

Par exemple, dans un environnement cloud, la séparation des préoccupations peut impliquer l'implémentation d'un système de gestion des stratégies de sécurité distinct des autres composants du système. Ce système serait responsable de la définition et de l'application des stratégies de sécurité, telles que le contrôle d'accès et la protection des données, et serait indépendant des autres composants du système, tels que les serveurs d'applications ou les bases de données.

Auditer les journaux d'autorisations et d'accès

La vérification des journaux d'autorisations d'audit et des journaux d'accès est un aspect important du maintien d'un bon état de sécurité dans n'importe quel système. Ces journaux peuvent fournir des informations précieuses sur l'activité des utilisateurs, les performances du système et les incidents de sécurité potentiels. Le transfert de ces journaux vers un système SIEM (Security Information and Event Management) peut générer des informations pertinentes pour faire face aux menaces de sécurité potentielles.

Les informations suivantes expliquent pourquoi il est important de consulter les autorisations d'audit et les journaux d'accès :

  • Détection des incidents de sécurité : les journaux d'autorisations d'audit et les journaux d'accès peuvent aider à détecter les incidents de sécurité, tels que les tentatives d'accès non autorisé ou les modifications apportées aux configurations système. En examinant ces journaux, les entreprises peuvent rapidement identifier les incidents de sécurité potentiels et prendre les mesures appropriées pour les atténuer.
  • Examen des incidents : si un incident de sécurité se produit, les journaux d'autorisations d'audit et les journaux d'accès peuvent fournir des informations précieuses pour enquêter sur l'incident. Ces journaux peuvent aider à identifier la source de l'incident, l'étendue des dommages et les mesures prises pour atténuer l'incident.
  • Amélioration des stratégies : la vérification des journaux d'autorisation d'audit et des journaux d'accès peut contribuer à améliorer les stratégies et procédures de sécurité. En analysant les données de ces journaux, vous pouvez identifier les domaines dans lesquels les stratégies de sécurité peuvent devoir être mises à jour ou améliorées pour mieux protéger les données et les ressources sensibles.
  • Surveillance de l'activité utilisateur : les journaux de droits d'accès et d'accès d'audit peuvent être utilisés pour surveiller l'activité utilisateur et s'assurer que les utilisateurs se conforment aux stratégies et procédures de sécurité. En consultant ces journaux, vous pouvez identifier toute activité ou tout modèle inhabituel pouvant indiquer un incident de sécurité potentiel ou une violation des stratégies de sécurité.
  • Conformité : de nombreuses réglementations de conformité imposent aux entreprises de tenir à jour et de consulter les journaux d'autorisations d'audit et les journaux d'accès pour s'assurer que les contrôles d'accès sont gérés correctement. En effectuant ces examens, vous pouvez vous assurer que vous êtes en conformité avec les réglementations pertinentes.

Sensibilité des données et conformité

Comprendre la sensibilité des données et les problèmes de conformité pour des normes telles que Payment Card Industry (PCI), Health Insurance Portability and Accountability Act (HIPAA), General Data Protection Regulation (GDPR), etc., est essentiel pour maintenir une bonne posture de sécurité et s'assurer que les données sensibles sont protégées contre tout accès non autorisé. Les informations suivantes expliquent pourquoi il est important de comprendre les problèmes de confidentialité et de conformité des données :

  • Protection des données sensibles : les données sensibles, telles que les informations de carte de crédit ou les informations de santé personnelle, doivent être protégées contre les accès non autorisés et le vol. En comprenant la sensibilité des données et les problèmes de conformité, vous pouvez implémenter des contrôles de sécurité appropriés pour protéger ces données.
  • Éviter les sanctions légales et financières : le non-respect de réglementations telles que PCI, HIPAA et GDPR peut entraîner des sanctions légales et financières. En comprenant les problèmes de conformité, vous pouvez vous assurer que vous êtes en conformité avec les réglementations pertinentes et éviter ces pénalités.

  • Maintenir la confiance des clients : les violations de données peuvent nuire à la réputation d'une entreprise et éroder la confiance des clients. En mettant en œuvre des contrôles de sécurité appropriés et en vous conformant aux réglementations pertinentes, vous pouvez démontrer votre engagement à protéger les données sensibles et à maintenir la confiance des clients. Les informations suivantes décrivent certaines des meilleures pratiques pour maintenir les normes PCI, HIPAA, RGPD et autres normes similaires sans compromettre la sécurité :

  • Identifier les données sensibles : identifier toutes les données sensibles, y compris les informations de santé personnelles, les données financières et autres informations personnellement identifiables, et implémenter des contrôles de sécurité appropriés pour protéger ces données.

  • Implémenter des contrôles d'accès : l'accès aux données sensibles doit être limité au personnel autorisé uniquement, et les contrôles d'accès doivent être implémentés pour garantir que seules les personnes ayant un besoin légitime d'accéder aux données sont en mesure de le faire.
  • Utiliser le cryptage : les données sensibles doivent être cryptées, qu'elles soient en transit ou inactives, pour les protéger des accès non autorisés.
  • Surveiller et auditer l'accès : l'accès aux données sensibles doit être surveillé et audité afin de détecter les accès non autorisés et les incidents de sécurité potentiels.
  • Réaliser des évaluations de sécurité régulières : des évaluations de sécurité régulières peuvent aider à identifier les vulnérabilités du système et à garantir la mise en place de contrôles de sécurité appropriés.
  • Former les collaborateurs : Les collaborateurs doivent être formés aux meilleures pratiques de sécurité et aux exigences de conformité pour s'assurer qu'ils comprennent l'importance de protéger les données sensibles et de se conformer aux réglementations pertinentes.

Lois locales et modèles de sécurité partagés

Comprendre et respecter les lois et réglementations locales en matière de protection des données. Tenez compte du modèle de sécurité partagé pour déterminer les responsabilités entre le fournisseur de cloud et le client.

Lois locales

Pour les meilleures pratiques en matière de sécurité, il est important de prendre en compte non seulement les lois et réglementations mondiales, mais également les lois locales. Les lois locales peuvent varier considérablement entre les pays, les régions et même les municipalités, et violer ces lois peut avoir de graves conséquences pour les individus et les organisations. Les informations suivantes décrivent les raisons pour lesquelles les lois locales sont importantes pour améliorer les meilleures pratiques de sécurité :

  • Conformité : le respect des lois locales est essentiel pour éviter les sanctions légales et autres conséquences. La violation des lois locales peut entraîner des amendes, des poursuites judiciaires et des dommages à votre réputation.
  • Normes culturelles et sociétales : les lois locales peuvent refléter des normes culturelles et sociétales, ce qui peut avoir un impact sur les meilleures pratiques en matière de sécurité. Par exemple, dans certains pays, il pourrait être plus acceptable de partager des renseignements personnels que dans d'autres. La compréhension de ces normes est essentielle pour mettre en œuvre des meilleures pratiques de sécurité efficaces et culturellement sensibles.
  • Menaces émergentes : les lois locales peuvent être conçues pour répondre aux menaces de sécurité émergentes propres à une région ou à un pays donné. En comprenant ces menaces et en vous conformant aux lois pertinentes, vous pouvez anticiper les risques de sécurité potentiels et protéger vos données et systèmes.
  • Collaboration : Le respect des lois locales peut faciliter la collaboration entre les organisations et les gouvernements. En travaillant ensemble pour faire face aux menaces de sécurité, vous pouvez renforcer la confiance et créer des mesures de sécurité plus efficaces.

Les conséquences d'une violation des lois locales peuvent être graves. Selon la nature de la violation, les organisations peuvent être passibles d'amendes, d'actions en justice et de dommages à leur réputation. Dans certains cas, la violation des lois locales peut également entraîner des poursuites pénales et l'emprisonnement. Il est essentiel de comprendre et de se conformer aux lois locales pertinentes pour éviter ces conséquences et maintenir une bonne posture de sécurité.

Modèle de sécurité partagé

Le modèle de sécurité partagée est un cadre permettant de comprendre la répartition des responsabilités entre les fournisseurs de cloud et les clients en termes de sécurité. En tant que client, vous devez comprendre vos responsabilités en matière de sécurité et de gouvernance pour répondre aux aspirations de l'organisation. Dans un modèle de sécurité partagée, le fournisseur de cloud et le client sont responsables de différents aspects de la sécurité, comme suit :

  • Responsabilités du fournisseur cloud :
    • Sécurité physique des centres de données
    • Sécurité de l'infrastructure réseau
    • Sécurité de l'hyperviseur et du serveur hôte
    • Sécurité des services et des plateformes basés sur le cloud
    • Gestion des correctifs des systèmes sous-jacents
    • Conformité aux normes et réglementations de sécurité propres au secteur
  • Responsabilités des clients:
    • Sécurité des données et des applications
    • Identity and Access Management (IAM)
    • Configuration des contrôles de sécurité
    • Surveillance de la sécurité et gestion des événements
    • Conformité aux exigences réglementaires applicables
    • Sécurité de tout code personnalisé ou de toutes les applications exécutées dans le cloud

En général, le fournisseur de cloud est responsable de la sécurité de l'infrastructure cloud sous-jacente, tandis que le client est responsable de la sécurité de ses applications et de ses données hébergées dans le cloud. Les responsabilités spécifiques peuvent varier en fonction du type de modèle de déploiement cloud utilisé, tel qu'Infrastructure as a Service (IaaS), Platform as a Service (Paas) et Software as a Service (SaaS).

Surveillance de la sécurité et réponse aux incidents

La mise en place d'une surveillance continue des événements de sécurité, des anomalies et des violations potentielles, en plus d'établir des procédures de réponse aux incidents, est essentielle pour maintenir une posture de sécurité proactive et efficace dans un environnement cloud.

Les informations suivantes expliquent comment implémenter ces exercices.

Surveillance continue

  1. Sélectionner des outils de surveillance :
    • Choisissez les outils et services de surveillance de la sécurité appropriés capables de collecter et d'analyser les journaux, les événements et les mesures à partir de diverses ressources cloud.
  2. Définissez les mesures et événements clés :
    • Identifiez les mesures de sécurité critiques, les événements et les anomalies à surveiller. Par exemple, échecs de connexion, trafic réseau inhabituel, tentatives d'accès non autorisé et anomalies d'utilisation des ressources.
  3. Implémentez la journalisation et l'audit :
    • Configurer la journalisation et l'audit pour les services et applications cloud. Collectez des journaux à partir de différentes sources, telles que des machines virtuelles, des conteneurs, des bases de données et des applications.
  4. Utilisez la gestion centralisée des journaux :
    • Utilisez un système centralisé de gestion des journaux ou une plate-forme SIEM (Security Information and Event Management) pour agréger, corréler et analyser les données des journaux provenant de différentes sources.
  5. Configurer des alertes en temps réel :
    • Configurez des alertes et des notifications en temps réel en fonction de seuils ou de modèles prédéfinis qui indiquent des incidents de sécurité potentiels.
  6. Utilisez la détection des anomalies :
    • Utilisez des techniques d'apprentissage automatique et d'analyse du comportement pour détecter des modèles inhabituels ou des écarts par rapport au comportement de référence.

Procédures de réponse aux incidents

  1. Utiliser la classification des incidents :
    • Définir des catégories d'incidents de sécurité en fonction de leur gravité et de leur impact. Classer les incidents en tant que priorité faible, moyenne ou élevée.
  2. Etablir une équipe de réponse aux incidents :
    • Mettre en place une équipe dédiée à la réponse aux incidents composée de personnes expertes en sécurité, en technologie cloud, en droit et en communication.
  3. Utilisez la détection et le tri des incidents :
    • Surveillez les alertes et les journaux pour identifier les incidents de sécurité potentiels. Évaluez rapidement la portée, l'impact et la gravité de chaque incident.
  4. Développer des playbooks de réponse :
    • Développer des guides de réponse aux incidents qui décrivent les procédures étape par étape pour différents types d'incidents. Ces manuels devraient inclure des instructions claires pour le confinement, l'éradication et le rétablissement.
  5. Confinement et atténuation des pratiques :
    • Prendre des mesures immédiates pour contenir l'incident et éviter d'autres dommages. Cela peut impliquer d'isoler les systèmes affectés, de désactiver les comptes compromis ou de bloquer les activités malveillantes.
  6. Exécuter une analyse médico-légale :
    • Effectuez une analyse médico-légale pour comprendre la cause première, les points d'entrée et l'étendue de l'incident. Préserver les preuves à des fins juridiques et d'enquête.
  7. Fournir des communications et des rapports :
    • Informer les parties prenantes concernées, y compris la direction, les utilisateurs légaux et les utilisateurs concernés, de l'incident. Fournir des mises à jour régulières et maintenir des canaux de communication ouverts.
  8. Corriger et récupérer :
    • Corrigez les vulnérabilités ou les faiblesses qui ont conduit à l'incident. Restaurez les systèmes concernés, validez leur intégrité et assurez-vous que les opérations normales reprennent.
  9. Effectuez un examen post-incident :
    • Réaliser un examen post-incident pour évaluer l'efficacité de la réponse, identifier les points à améliorer et mettre à jour les guides de réponse aux incidents.

Considérations supplémentaires

  • Confidentialité des données : assurer la conformité aux réglementations en matière de protection des données et implémenter des contrôles de confidentialité pour les données utilisateur.
  • Intégrations tierces : évaluez et sécurisez les intégrations tierces pour éviter les vulnérabilités introduites par les services externes.
  • Considérations géographiques : tenez compte des exigences de souveraineté et de localisation des données lors de la sélection de régions cloud.
  • Surveillance continue : évaluer et mettre à jour régulièrement les mesures de sécurité à mesure que de nouvelles menaces émergent et que l'environnement évolue.

Contraintes et bloqueurs

  • Modèle de responsabilité partagée : comprendre le modèle de responsabilité partagée entre le fournisseur cloud et le client, et implémenter les mesures de sécurité appropriées en conséquence.
  • Systèmes hérités : l'intégration des systèmes hérités peut poser des problèmes de sécurité en raison de problèmes de compatibilité.
  • Manque de sensibilisation : une connaissance inadéquate des pratiques et des risques liés à la sécurité dans le cloud peut entraîner des implémentations incorrectes.
  • Limites de ressource : les contraintes budgétaires et la disponibilité des ressources peuvent avoir une incidence sur la portée et la profondeur des mesures de sécurité.

Etapes suivantes

Définir le processus de gouvernance pour l'adoption du cloud