La complexité est l’ennemie de la sécurité du cloud

C’est un fait que la plupart des entreprises mettent les équipes et les outils de sécurité dans un silo. Cela me rend fou quand je vois ces mauvaises habitudes transférées à la sécurité du cloud computing. j’ai couvert ce sujet il y a trois anset pour la plupart, il est inchangé.

De nombreuses failles de sécurité d’aujourd’hui sont dus à une erreur humaine. Une étude de Ponemon et IBM indique que des serveurs cloud mal configurés provoquent 19% des violations de données. Le coût? Un demi-million de dollars par violation. La cause? La plupart du temps, il y a trop de pièces mobiles pour que les équipes de sécurité puissent les sécuriser. Ils perdent le fil, les choses sont mal configurées et la violation se produit. Simple.

La complexité n’est pas nouvelle ; ça nous guette depuis des années. Plus récemment, les déploiements multicloud et autres déploiements de plates-formes complexes et hétérogènes ont accéléré les déploiements trop complexes. Dans le même temps, les budgets, les approches et les outils de sécurité sont restés statiques. À mesure que la complexité augmente, le risque de violation s’accélère à peu près au même rythme.

La plupart des magasins informatiques ne considèrent pas la complexité comme une mesure importante à suivre lors de la recherche sur la cybersécurité ou la sécurité du cloud. Elle est souvent négligée car la plupart des systèmes de sécurité sont un ensemble de processus cloisonnés. Les équipes d’architecture considèrent la sécurité comme une boîte noire où des éléments sont jetés par-dessus un mur et deviennent comme par magie sécurisés.

Nous avons depuis longtemps besoin d’intégrer la sécurité au développement, à l’architecture et aux opérations. Certaines organisations pratiquent des devsecops (développement, sécurité et opérations) et intègrent ces concepts, apportant l’expertise de chacun sur tous les problèmes.

Dans un monde idéal, la sécurité n’est jamais le problème de quelqu’un d’autre car les lignes de démarcation entre le développement, l’architecture, la sécurité et les opérations n’existent pas. Tout le monde travaille ensemble sur tous les aspects du développement, de la conception et du déploiement. La sécurité est systémique pour tout, ce qui est la bonne façon de la voir.

Lorsque la sécurité est omniprésente, elle devient également un facteur lors de la définition des architectures cloud et non cloud de base, y compris la quantité de complexité introduite et la manière de la gérer efficacement. Cela comprend la gestion des risques de sécurité accrus par le biais d’opérations de sécurité. De nombreuses approches, concepts et technologies peuvent être utilisés pour gérer et réduire les risques tout en augmentant simultanément la valeur apportée à l’entreprise.

Alors que nous entrons en 2023, il est un peu déconcertant de constater que nous vivons toujours avec des risques de sécurité en raison de la complexité croissante ou des approches cloisonnées. La culture de nombreuses entreprises perpétue notre incapacité à gérer les choses. Trop de personnes dans l’informatique disent encore : “Vous restez dans votre coin de l’informatique pendant que je reste dans le mien.”

Ce n’est pas une façon de faire du cloud computing ou de la sécurité du cloud et d’espérer réussir. Regardons-nous dans le miroir et voyons ce que nous pouvons améliorer à mesure que nous entrons dans la nouvelle année.