Alors que les organisations façonnent les contours d’une stratégie sécurisée de la périphérie au cloud, il est important de s’aligner sur des partenaires qui accordent la priorité à la fois à la cybersécurité et à la gestion des risques, avec des limites claires de responsabilité partagée.
Le modèle de responsabilité partagée en matière de sécurité est essentiel lors du choix des offres en tant que service, qui rendent un partenaire tiers responsable de certains éléments du modèle opérationnel de l’entreprise. L’externalisation des opérations informatiques est devenue une stratégie commerciale intelligente. Mais l’externalisation du risque opérationnel est intenable, étant donné l’importance de la modernisation axée sur les données pour le succès global de l’entreprise.
« La propriété intellectuelle est la clé du succès d’une entreprise », note Simon Leech, responsable de la sécurité opérationnelle pour HPE GreenLake Cloud Services. « Par conséquent, il appartient aux DSI de faire preuve de diligence raisonnable quant au type de contrôles de sécurité en place et de s’assurer que les données sont bien protégées dans un [as-a-service] modèle de fonctionnement. Le modèle de responsabilité partagée en matière de sécurité fournit une définition claire des rôles et des responsabilités en matière de sécurité. »
Avoir un modèle de responsabilité partagée en matière de sécurité bien articulé et parfaitement intégré est un enjeu de table. Les organisations passent beaucoup plus de temps à faire face aux coûts et aux conséquences de cyberattaques très complexes, à hauteur d’une augmentation de 72 % des coûts au cours des cinq dernières années, selon l’Institut Accenture/Ponemon «Neuvième coût annuel de la cybercriminalité » étude. Plus précisément, l’étude a attribué une perte moyenne de 4 millions de dollars aux interruptions d’activité, avec 5,9 millions de dollars supplémentaires associés aux pertes d’informations. Au total, le coût mondial de la cybercriminalité monte en flèche, devrait croître de 15% par an pour atteindre la barre des 10,5 billions de dollars d’ici 2025, a noté le «Entreprises de cybersécurité 2020 » rapport.
HPE GreenLake : la sécurité dès la conception
Dans ce contexte d’activité accrue de cybercriminalité, les organisations sont plus vulnérables, car la prolifération des plates-formes, des appareils de l’Internet des objets (IoT) et des applications cloud a créé une surface d’attaque étendue et élargi les failles de sécurité. Une nouvelle approche de sécurité dès la conception insuffle des pratiques et des capacités de sécurité directement dans les nouveaux systèmes au fur et à mesure de leur construction, au lieu de répondre aux exigences de sécurité plus tard, après coup.
L’approche d’une organisation en matière de sécurité doit également évoluer à la vitesse de la transformation numérique. Cela signifie que la sécurité doit être automatisée et intégrée directement dans les pipelines d’intégration continue/de livraison continue (CI/CD), garantissant que les protections sont appliquées de manière cohérente sur toutes les charges de travail, quel que soit l’endroit où résident les données. Cela permet également aux développeurs de créer plus facilement du code sécurisé. Alors que les organisations sont confrontées à des défis de complexité supplémentaires, elles ont besoin d’accéder à des experts en sécurité tiers pour combler toute faille de sécurité interne.
Le modèle de sécurité partagée de HPE GreenLake diffère de celui du fournisseur de cloud classique, car la plate-forme en tant que service offre une expérience de cloud public partout, y compris dans le centre de données privé d’une entreprise et/ou dans une installation de colocation partagée. L’entreprise ou le fournisseur de colocation reste responsable de la sécurisation de la connectivité et du centre de données physique, et les responsabilités de HPE varient en fonction du modèle de consommation HPE GreenLake choisi. Par exemple:
- Dans un modèle en métal nuHPE est responsable de la sécurisation de l’infrastructure HPE GreenLake et de l’expérience cloud, mais le client s’approprie tout ce qui se trouve au-dessus de cette infrastructure, y compris le système d’exploitation (OS), l’hyperviseur, l’orchestration des conteneurs, les applications, etc.
- Avec conteneurs et machines virtuelles, la responsabilité est transférée et HPE GreenLake gère la sécurité des couches inférieures, notamment les hyperviseurs, la mise en réseau définie par logiciel et l’orchestration des conteneurs. Là encore, le client est responsable de la sécurisation de l’OS invité, des applications et des données.
- Pour charges de travailcomme SAP Hana fourni en tant que service ou les dossiers de santé électroniques en tant que service, HPE GreenLake assume la responsabilité de la sécurité pour tout jusqu’à la couche d’application tandis que le client conserve la propriété de la sécurité des données.
« Dans les trois scénarios, la sécurité des données client est toujours la responsabilité du client », déclare Leech. « Il leur incombe en fin de compte de décider quelles données ils placent dans le cloud, quelles données ils gardent hors du cloud et comment ils protègent ces données. »
Meilleures pratiques pour une sécurité réussie
Explorez les détails. Leech prévient que la règle n ° 1 pour le succès de la sécurité est de comprendre les limites de la responsabilité et de ne faire aucune hypothèse prématurée. Les organisations doivent s’entretenir avec leur fournisseur de services cloud pour comprendre et délimiter clairement qui est responsable de quoi. La plupart des fournisseurs de cloud, y compris HPE, offrent des garanties qui approfondissent les détails de leur modèle de responsabilité partagée en matière de sécurité, et les clients devraient en tirer pleinement parti.
« Le risque est vraiment celui d’une ignorance béate », dit-il. « On peut supposer que la sécurité est là, mais à moins que vous n’entriez réellement dans le contrat et que vous examiniez les détails, vous pourriez faire une hypothèse erronée. »
Inclure l’équipe de gestion des risques de l’entreprise. Invitez l’équipe de gestion des risques de l’entreprise à la discussion dès le début, afin qu’elle ait une compréhension claire des risques potentiels. Grâce à ces connaissances, il peut aider à déterminer ce qui est acceptable, en fonction de divers facteurs, notamment le secteur, le climat réglementaire spécifique et les demandes des clients.
Suivez les principes de sécurité dès la conception. Utilisez le modèle de responsabilité partagée en matière de sécurité comme une opportunité d’aborder la sécurité dès le début et d’identifier les lacunes potentielles. En plus de l’automatisation et de la garantie que la sécurité est basée sur le code, adoptez la confiance zéro et l’identité et les privilèges comme principes fondamentaux. « En comprenant suffisamment tôt quelles sont ces lacunes, vous pouvez créer des contrôles compensatoires dans votre environnement et vous assurer qu’il est protégé comme vous l’attendez », explique Leech.
Sachez que la visibilité est essentielle. La surveillance de la sécurité doit faire partie de la routine pour acquérir une compréhension complète de ce qui se passe dans l’environnement. Les organisations peuvent choisir d’effectuer elles-mêmes la surveillance de la sécurité ou de faire appel à des services supplémentaires dans le cadre d’un contrat HPE GreenLake. « Cela revient à cette idée d’ignorance bienheureuse », dit Leech. « Si je ne fais aucune surveillance de la sécurité, je n’ai jamais d’incidents de sécurité, car je ne les connais pas. »
La plate-forme HPE GreenLake edge-to-cloud a été conçue avec des principes de confiance zéro et une sécurité évolutive comme pierres angulaires de son architecture et de son développement – tirant parti des blocs de construction de sécurité communs, du silicium au cloud, qui protègent en permanence votre infrastructure, vos charges de travail et vos données afin que vous peut s’adapter à des menaces de plus en plus complexes. Pour plus d’informations, rendez-vous sur https://www.hpe.com/us/en/greenlake/greenlake-security.html.
Source link