{"id":99835,"date":"2019-07-03T23:47:46","date_gmt":"2019-07-04T06:47:46","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=99835"},"modified":"2019-07-03T23:47:46","modified_gmt":"2019-07-04T06:47:46","slug":"cloud-big-cloud-5-holistic-cloud-security-strategy","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2019\/07\/cloud-big-cloud-5-holistic-cloud-security-strategy\/?lang=fr","title":{"rendered":"The 5 Big Cloud : une strat\u00e9gie holistique de s\u00e9curit\u00e9 du cloud"},"content":{"rendered":"<p>Aujourd\u2019hui, pleins feux sur \u00ab\u00a0The 5 Big Cloud\u00a0\u00bb. Inspir\u00e9e de notre collaboration avec des centaines de clients, cette approche ne pr\u00e9tend nullement \u00eatre exhaustive, mais elle permettra \u00e0 votre \u00e9quipe de tracer les grandes lignes de sa strat\u00e9gie de s\u00e9curit\u00e9 du cloud.<\/p>\n<p><div style=\"max-width:100%\" data-width=\"500\"><span class=\"ar-custom\" style=\"padding-bottom:63.6%;\"><img loading=\"lazy\" decoding=\"async\"  class=\"aligncenter size-large wp-image-99836 lozad\"  data-src=\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-500x318.png\" alt=\"\" width=\"500\" height=\"318\" srcset=\"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-500x318.png 500w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-230x146.png 230w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-768x489.png 768w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-471x300.png 471w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-63x40.png 63w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr-874x556.png 874w, https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-fr.png 974w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/span><\/div><\/p>\n<p style=\"text-align: center;\">Figure\u00a01\u00a0: \u00ab\u00a0The 5 Big Cloud\u00a0\u00bb<\/p>\n<p style=\"text-align: center;\"><em>Les accidents imputables \u00e0 une erreur humaine sont tr\u00e8s souvent dus \u00e0 une mauvaise lecture de la situation. \u2013<\/em> Nullmeyer, Stella, Montijo et Harden, 2005<\/p>\n<ol>\n<li><strong> \u00c9largissez et approfondissez votre visibilit\u00e9 du cloud.<\/strong><\/li>\n<\/ol>\n<p>Avant toute chose, vous devez bien comprendre comment vos d\u00e9veloppeurs et vos \u00e9quipes m\u00e9tiers utilisent le cloud <em>aujourd\u2019hui<\/em>. Ce bilan initial est le premier pas vers une gestion simplifi\u00e9e de la conformit\u00e9 et de la s\u00e9curit\u00e9 du cloud. Priorit\u00e9 num\u00e9ro un\u00a0: identifier tous les cas d'usage du cloud sortant du champ de contr\u00f4le de la fonction informatique (Shadow IT). Ensuite, il faut creuser. La r\u00e8gle du 80-20 vous permettra d\u2019identifier la plateforme cloud \u00e0 laquelle vous devez vous attaquer en premier. Mais attention \u00e0 ne pas vous limiter \u00e0 de simples facteurs quantitatifs\u00a0: si les \u00e9quipes de s\u00e9curit\u00e9 doivent conna\u00eetre le <em>quoi<\/em> (quelles plateformes cloud sont utilis\u00e9es), elles doivent aussi comprendre le <em>comment<\/em> (ce qui s'y ex\u00e9cute). C\u2019est l\u00e0 que les API des CSP (Cloud Service Providers) entrent en jeu.<\/p>\n<p>Les API sont l\u2019un des principaux facteurs de diff\u00e9renciation du cloud par rapport aux d\u00e9ploiements sur site. Gr\u00e2ce \u00e0 elles, vous avez une lecture beaucoup plus pr\u00e9cise de la situation dans vos environnements cloud\u00a0: non seulement vous savez quelles applications cloud sont utilis\u00e9es, mais vous assurez aussi un suivi du moindre changement effectu\u00e9 jusque dans la couche de m\u00e9tadonn\u00e9es.<\/p>\n<ol start=\"2\">\n<li><strong> Placez des garde-fous automatiques pour pr\u00e9venir les erreurs de configuration.<\/strong><\/li>\n<\/ol>\n<p>Commencez par r\u00e9pondre \u00e0 la question suivante\u00a0: quelles sont les configurations \u00e0 bannir \u00e0 tout prix\u00a0? Prenons un cas d\u2019\u00e9cole\u00a0: une base de donn\u00e9es ne devrait jamais \u00eatre directement accessible depuis Internet. Cela tombe sous le sens, et pourtant, selon nos \u00e9quipes de recherche de l'Unit\u00a042, un acc\u00e8s direct a pu \u00eatre observ\u00e9 dans 28\u00a0% des environnements cloud. Pour parer \u00e0 ce type de danger, dressez votre liste initiale des pratiques interdites, puis enrichissez-la \u00e0 mesure que votre programme de s\u00e9curit\u00e9 du cloud \u00e9volue. Deux pr\u00e9cautions d'usage\u00a0: chaque fois qu'une mesure de s\u00e9curit\u00e9 est automatis\u00e9e, commencez petit et guettez d\u2019\u00e9ventuelles cons\u00e9quences impr\u00e9vues (du genre d\u00e9ni de service auto-impos\u00e9). Parall\u00e8lement, travaillez au contact direct des \u00e9quipes de d\u00e9veloppement. Inutile d\u2019impl\u00e9menter des mesures de protection automatis\u00e9es sans avoir obtenu leur feu vert. En r\u00e9sum\u00e9, impliquez les d\u00e9veloppeurs d\u00e8s le d\u00e9part et ne cherchez pas \u00e0 aller trop vite. Une fois ces conditions remplies, vous pourrez acc\u00e9l\u00e9rer le d\u00e9ploiement.<\/p>\n<ol start=\"3\">\n<li><strong> N\u2019oubliez pas que l\u2019automatisation est d'abord une question de standards.<\/strong><\/li>\n<\/ol>\n<p>On ne compte plus les \u00e9quipes de s\u00e9curit\u00e9 qui parlent d\u2019automatisation avant m\u00eame d'avoir \u00e9tabli des standards de s\u00e9curit\u00e9. Il est bon de se fixer un objectif ambitieux, par exemple atteindre 80\u00a0% d\u2019automatisation \u00e0 terme. Mais mettez-vous d'abord d'accord sur des standards, et l\u2019automatisation viendra d'elle-m\u00eame. \u00c0 moins d'\u00eatre une start-up, ne vous attendez pas \u00e0 automatiser tous vos processus en trois mois\u00a0: g\u00e9n\u00e9ralement, il faut au moins neuf mois avant qu\u2019une grande structure trouve son rythme.<\/p>\n<ol start=\"4\">\n<li><strong> Formez et embauchez des ing\u00e9nieurs s\u00e9curit\u00e9 qui savent coder.<\/strong><\/li>\n<\/ol>\n<p>Contrairement \u00e0 la plupart des data centers traditionnels, les clouds publics reposent sur des API. C'est donc en toute logique qu'ils constituent la cl\u00e9 de vo\u00fbte d'une gestion des risques dans le cloud.<\/p>\n<p>Comment proc\u00e9der\u00a0? Selon la taille de votre organisation, commencez par \u00e9tablir un bilan des comp\u00e9tences \u00e0 votre disposition. Certains de vos sp\u00e9cialistes s\u00e9curit\u00e9 ma\u00eetrisent-ils des langages comme Python et Ruby\u00a0? Si oui, exploitez ces comp\u00e9tences et alignez vos objectifs d\u2019automatisation en cons\u00e9quence. Si non, plusieurs options s\u2019offrent \u00e0 vous. Vous pouvez donner leur chance \u00e0 ceux qui ont envie d\u2019apprendre et aux membres de votre \u00e9quipe de d\u00e9veloppement qui s\u2019int\u00e9ressent \u00e0 la s\u00e9curit\u00e9. Proposez aux d\u00e9veloppeurs de se former \u00e0 la s\u00e9curit\u00e9 et aux ing\u00e9nieurs s\u00e9curit\u00e9 de d\u00e9couvrir les joies du code. Attention cependant \u00e0 bien y consacrer les ressources n\u00e9cessaires et \u00e0 harmoniser les objectifs p\u00e9dagogiques de chaque groupe.<\/p>\n<p>Pas beaucoup de pros du code dans votre entreprise\u00a0? N'h\u00e9sitez pas \u00e0 faire appel \u00e0 un consultant externe chevronn\u00e9 pour une mission de courte dur\u00e9e. Vous ne voudriez surtout pas vous retrouver avec des scripts dont votre \u00e9quipe ne saurait que faire. Une fois que vous aurez bien ma\u00eetris\u00e9 le processus, vous aurez toutes les cartes en main pour int\u00e9grer parfaitement la s\u00e9curit\u00e9 dans vos projets de d\u00e9veloppement.<\/p>\n<ol start=\"5\">\n<li><strong> Int\u00e9grez la s\u00e9curit\u00e9 dans vos projets de d\u00e9veloppement.<\/strong><\/li>\n<\/ol>\n<p>Qui, quoi, quand, comment et o\u00f9\u00a0? Telles sont les questions essentielles \u00e0 vous poser pour assurer la tra\u00e7abilit\u00e9 du code d\u00e9ploy\u00e9 dans le cloud. Localisez ensuite les points d\u2019entr\u00e9e les moins perturbateurs pour vos processus et outils de s\u00e9curit\u00e9. L\u00e0 encore, mettez toutes les chances de votre c\u00f4t\u00e9 en obtenant d'embl\u00e9e l\u2019adh\u00e9sion des \u00e9quipes de d\u00e9veloppement.<\/p>\n<p><strong>Conclusion<\/strong><\/p>\n<p>Quelle que soit leur taille, les \u00e9quipes de s\u00e9curit\u00e9 ont tout int\u00e9r\u00eat \u00e0 s\u2019inspirer de l\u2019approche \u00ab\u00a0The 5 Big Cloud\u00a0\u00bb pour \u00e9laborer leur strat\u00e9gie de s\u00e9curit\u00e9 dans le cloud public. Elles profiteront ainsi d'avantages qui \u00e9taient autrefois l'apanage des seules \u00e9quipes de d\u00e9veloppement. Commencez petit, mais voyez grand.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aujourd\u2019hui, pleins feux sur \u00ab\u00a0The 5 Big Cloud\u00a0\u00bb. Inspir\u00e9e de notre collaboration avec des centaines de clients, cette approche ne pr\u00e9tend nullement \u00eatre exhaustive, mais elle permettra \u00e0 votre \u00e9quipe de tracer &hellip;<\/p>\n","protected":false},"author":623,"featured_media":96982,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[],"coauthors":[6679],"class_list":["post-99835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/02\/corp-blog-cloud-600x300.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/623"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=99835"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99835\/revisions"}],"predecessor-version":[{"id":99849,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99835\/revisions\/99849"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/96982"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=99835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=99835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=99835"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=99835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}