Cybersécurité dans le cloud computing : cinq choses à savoir
Garantir une cybersécurité robuste dans le cloud computing ne se limite pas au déploiement de technologies et à la création de politiques de sécurité. Il s’agit également de créer une culture parmi les employés qui fait de la protection des actifs numériques une seconde nature dans leur travail quotidien.
Les dirigeants d’entreprise de niveau C, en collaboration avec les directeurs de l’information (CIO) et les directeurs de la sécurité de l’information (CISO), ont un rôle central à jouer dans la création de cette culture. C’est bénéfique pour l’organisation et peut aider à établir et à maintenir la confiance avec les clients et les partenaires commerciaux. Si vous cherchez des moyens de rendre votre organisation plus sûre, gardez ces cinq choses à l’esprit.
1. La cybersécurité dans le cloud computing est une responsabilité partagée
La responsabilité de votre fournisseur de services cloud en matière de sécurité a des limites, il est donc important de savoir où se termine la sienne et où commence la vôtre. Une bonne cybersécurité dans le cloud computing nécessite d’abord de tirer pleinement parti de la suite de fonctionnalités et de capacités liées à la sécurité disponibles dans la plate-forme cloud que vous avez choisie. L’équipe informatique de l’organisation, et non le fournisseur de services cloud, est chargée de rester au fait des processus de gestion interne, tels que la suppression des informations d’identification de l’utilisateur lorsqu’un employé quitte l’organisation et le contrôle de l’accès en fonction des rôles professionnels. Selon Mohammed Lazhar, vice-président et directeur de la sécurité de l’information, Wolters Kluwer, « Nous mettons en œuvre une stratégie durable basée sur une formation complète, un personnel de sécurité hautement qualifié, des solutions avancées et une amélioration continue mesurable. Grâce à des programmes tels que l’apprentissage régulier, des exercices de test de résistance réguliers qui aident nos équipes à prévoir et détecter les menaces, des exercices de réponse de sécurité sur table et l’automatisation, nous donnons un ton fort de la part du sommet pour inculquer une culture de responsabilité et de vigilance à l’ensemble de nos 19 000 employés. .”
Il est également essentiel de traiter toutes les vulnérabilités des applications logicielles internes par le biais de principes et de processus rigoureux de sécurité dès la conception dans le cadre du cycle de vie global du développement logiciel. Notre approche innovante d’intégration de la sécurité dans notre processus de développement de produits basé sur le cloud est l’une des façons dont nos équipes mettent cela en pratique ; en savoir plus sur notre programme primé ici.
2. La cybersécurité recoupe la conformité et la confidentialité
Il est bien entendu aujourd’hui que les données ont d’énormes exigences en matière de sécurité et de confidentialité, et cela va au-delà de ce que les entreprises ont traditionnellement considéré comme des informations sensibles, telles que les transactions des clients, les déclarations de revenus et la propriété intellectuelle. Votre entreprise doit également agir en tant que dépositaire consciencieux des données personnelles que vous stockez. Non seulement votre entreprise pourrait faire face à des sanctions réglementaires et judiciaires pour non-respect de ces obligations de garde, mais elle pourrait également subir une perte de confiance de la part de ses partenaires et de ses clients – sans doute votre devise la plus précieuse. Selon Saskia Sjardin, vice-présidente et responsable de la confidentialité de l’entreprise, Wolters Kluwer, « les lois et réglementations sur la confidentialité obligent les entreprises à se concentrer sur la manière dont vos données personnelles sont traitées et sur la mise en œuvre de mesures de sécurité adéquates. La confidentialité et la sécurité vont de pair et sont également devenues la préoccupation des cadres supérieurs et des conseils d’administration, compte tenu des conséquences potentiellement graves et de grande envergure.
3. Une bonne cybersécurité doit être omniprésente mais non intrusive
Sans une solide posture de sécurité, votre entreprise pourrait être suffisamment perturbée pour ne plus pouvoir respecter ses obligations envers ses clients et ses partenaires. Idéalement, la sécurité ne devrait pas entraver les opérations ou la productivité, il est donc important de rationaliser l’accès, mais il est essentiel que tout accès aux applications et aux données soit dicté par les rôles professionnels et des politiques de sécurité strictes. Lors de la création de vos propres applications et services, adoptez une approche « décalée vers la gauche » qui intègre la sécurité et les tests à chaque phase du processus de développement de produits, ce qui vous permet de créer des produits sécurisés dès la conception pour vos utilisateurs et clients. Il peut simultanément renforcer votre posture de cybersécurité et vos contrôles opérationnels. En tant que tel, un accès segmenté aux applications et aux données par fonction doit guider les politiques de sécurité.
4. Votre CIO et CISO doivent s’asseoir à la table de direction
Une cybersécurité efficace et robuste exige que chaque membre d’une organisation investisse du temps et de l’énergie. Cela signifie également comprendre les menaces potentielles à la continuité des activités aux plus hauts niveaux. Votre équipe de direction, ainsi que le conseil d’administration, doivent être conscients de ces menaces et engager des ressources sérieuses pour gérer le risque. En tant que tel, il est essentiel de fournir une place de choix à votre CIO et CISO autour de la table pour un flux d’informations continu. Alors que les équipes de direction et les membres du conseil d’administration dirigent l’organisation à travers la transformation numérique, n’oubliez pas qu’une plus grande partie de votre entreprise est exposée aux menaces numériques. Dans ce monde, la cybersécurité n’est plus seulement quelque chose dont « l’informatique peut s’occuper ».
5. Un leadership efficace et la cybersécurité commencent par vous
Les dirigeants peuvent favoriser une bonne hygiène de sécurité en mettant en évidence et en modélisant les meilleurs comportements et en créant autour d’eux une culture où la cybersécurité est l’affaire de tous. En d’autres termes, nous devrions « suivre l’exemple ». La suite C doit personnellement donner la priorité à la cybersécurité et faire un effort supplémentaire en connaissant et en démontrant des pratiques sécurisées dans toutes ses actions quotidiennes, comme l’utilisation de mots de passe forts et l’authentification multifactorielle. Si vous prenez des raccourcis autour de la politique de sécurité, vos employés le feront aussi.
L’éducation et le comportement des utilisateurs sont essentiels pour une utilisation sûre des produits et services basés sur le cloud. La direction générale – idéalement, le PDG – devrait envoyer des messages réguliers par e-mails ou bulletins d’information sur le rôle important que joue la cybersécurité dans le maintien de la santé de l’entreprise. À mesure que les entreprises numérisent leurs opérations, les obstacles physiques aux fuites de données involontaires disparaissent, ce qui rend d’autant plus important l’établissement de barrières numériques sécurisées.
Maintenir une cybersécurité robuste dans le cloud computing est également une question de transformation culturelle. Les dirigeants doivent diriger cette transformation en articulant clairement et régulièrement qu’une posture de sécurité solide qui applique les meilleures pratiques en matière de cybersécurité est un objectif continu à long terme de l’organisation et fondamental pour le succès de l’entreprise.
Accédez à plus de sujets sur la cybersécurité et la confidentialité de Wolters Kluwer :
https://www.wolterskluwer.com/en/expert-insights/software-development-and-security-are-a-winning-combination
Trouvez plus de ressources sur la semaine de la confidentialité des données et le mois de la sensibilisation à la cybersécurité :
https://cybersecuritymonth.eu/
https://www.cisa.gov/cybersecurity-awareness-month