3 clés pour garantir que votre fournisseur de cloud propose une stratégie de cybersécurité solide

L’époque où la plupart des entreprises hésitaient complètement à utiliser les ressources cloud pour des données ou des applications hautement sensibles est révolue, et pour cause. Aujourd’hui, les fournisseurs de cloud peuvent offrir de meilleures protections en matière de cybersécurité que de nombreuses entreprises ne peuvent offrir sur site. Mais vous devez savoir quoi rechercher chez un fournisseur de cloud.

La pénurie de professionnels de la sécurité

Quelque 3,5 millions d’emplois en cybersécurité ne sont pas pourvus dans le monde, dont 750 000 aux États-Unis, selon des chercheurs de Entreprises de cybersécurité. Cela fait grimper les salaires, ce qui rend à la fois coûteux le recrutement de professionnels de la sécurité et difficile leur rétention.

Les fournisseurs de services cloud (CSP) ont souvent un avantage à cet égard. Compte tenu de la nature de leur activité, les coûts liés à la sécurité sont intégrés au modèle économique. Ils savent à quel point un incident de cybersécurité peut être dommageable : le rapport annuel IBM/Ponemon Institute sur le coût d’une violation de données l’évalue à 4,88 millions de dollars en 2024. ¹– et ainsi prendre les mesures nécessaires pour réduire les cyber-risques. Cela implique à la fois de payer le prix du marché pour une expertise de qualité et d’offrir une formation continue en cybersécurité aux employés existants.

Toute entreprise souhaite également éviter les incidents de sécurité et prend des mesures raisonnables à cet égard. Mais si la sécurité n’est pas fondamentale pour votre entreprise, il est difficile de rivaliser pour les rares professionnels de la sécurité avec les entreprises pour lesquelles elle l’est.

Défense en profondeur

La manière dont le CSP attire, forme et fidélise les professionnels de la sécurité est certainement une question à soulever lors de la sélection des prestataires, ainsi que la stratégie de sécurité globale de l’entreprise. L’adhésion à une stratégie de défense en profondeur doit être au premier plan.

La défense en profondeur implique de disposer de plusieurs niveaux de protections de sécurité ; si une seule couche est violée, il y en a une autre qui fait obstacle aux intrus potentiels. En pratique, cela pourrait signifier des pare-feu protégeant le périmètre du cloud, puis des outils de gestion des identités (authentification, autorisation, comptabilité ou AAA) pour garantir que seuls les utilisateurs autorisés sont autorisés à entrer. Les systèmes de détection/prévention des intrusions (IDS/IPS) peuvent détecter lorsqu’un intrus réussit à violer ces systèmes, tandis que les outils de sécurité des applications empêchent l’accès non autorisé à des applications spécifiques.

Une architecture Zero Trust est étroitement liée à la défense en profondeur, dans laquelle la société cloud suppose fondamentalement que tous les utilisateurs potentiels ne sont pas autorisés jusqu’à preuve du contraire, en utilisant diverses mesures AAA, notamment l’authentification multifacteur. (La confiance zéro peut également s’appliquer à d’autres infrastructures cloud, notamment les serveurs, les bases de données et les applications.)

Certifications tierces

Enfin, demandez aux fournisseurs de cloud potentiels quelles certifications de sécurité tierces ils ont obtenues.

« Les certifications, notamment SOC 2 et ISO 27001, nécessitent des audits approfondis et témoignent de bonnes pratiques de sécurité », a déclaré Jason Bright, responsable du marketing produit chez Hyland, une société de gestion de contenu d’entreprise qui a obtenu les deux certifications. « Hyland fait également partie de la Cloud Security Alliance et a obtenu la certification STAR et l’élévation de Trusted Cloud Provider. »

Hyland a lancé l’année dernière un Centre de confiance assurer la transparence aux clients sur la manière dont les informations sont stockées, traitées et protégées. Trust Center est également un référentiel de contrôles, de politiques, de certifications, de rapports d’audit et d’attestations de tiers qui fournissent une preuve supplémentaire de la posture de sécurité de Hyland. Les clients peuvent consulter et télécharger les attestations SOC 2, les certifications ISO 27001 et TX-RAMP, un package de diligence raisonnable (y compris la documentation SIG) et des informations sur la manière dont Hyland permet aux clients de se conformer au RGPD, au CCPA, à la HIPAA et à d’autres cadres réglementaires de confidentialité des données. .

De telles mesures indiquent qu’une entreprise prend la sécurité du cloud au sérieux et investit dans la réduction des risques pour ses clients. Alors que les services cloud continuent de jouer un rôle plus important dans les stratégies informatiques des entreprises, les responsables informatiques feraient bien de prêter attention à la capacité de leurs fournisseurs à étayer leurs affirmations en matière de cybersécurité.

Pour en savoir plus, visitez Hylande.

_{[1] « Rapport sur le coût d’une violation de données 2024 » IBM.com.}