Renforcer la sécurité des données dans le cloud : cinq étapes

Lorsque les entreprises transfèrent des processus commerciaux complets vers le cloud, les objectifs commerciaux attendus ne peuvent être atteints que si la migration est protégée dès le début par une stratégie de sécurité informatique complète - dans laquelle la sécurité des données joue un rôle décisif. NTT Security concrétise les activités les plus importantes en cinq étapes.

1. identifier et classer les données

Pour commencer, les entreprises doivent déterminer quelles applications et quelles données doivent être transférées lors de la migration de leur propre centre informatique vers un fournisseur de cloud. Il faut par exemple déterminer de quel type de données il s'agit et si des données personnelles sont impliquées, car les règles strictes du RGPD s'appliquent alors. Dans quelles applications les données sont-elles utilisées, par qui et comment ? Sont-elles uniquement lues ou également traitées ? Le modèle de sécurité est construit sur la base de ces informations.

2. définir le niveau de protection pour chaque étape du flux de travail

Sur la base de la classification et de l'évaluation des risques des données, le niveau et la classe de protection doivent être définis pour chaque étape de la charge de travail. Le cryptage est-il nécessaire, et si oui, quand : pendant la transmission, lors du stockage, au niveau du champ ? La pseudonymisation ou les clés sont-elles nécessaires ? Où les clés de chiffrement doivent-elles être conservées : sur site, directement chez le fournisseur de cloud ou chez un fournisseur de cloud séparé ?

3. définir des règles pour le contrôle d'accès

Afin d'atteindre un niveau de protection élevé, les données ne doivent pas être accessibles sans protection à tout moment au cours d'un processus d'entreprise. Il faut également s'assurer que les copies des données stockées ou archivées sont aussi protégées que les originaux pendant le traitement et que ces copies sont supprimées lorsqu'elles ne sont plus nécessaires. En fonction des rôles au sein de l'entreprise, des autorisations d'accès sont attribuées et leur respect est contrôlé, de sorte que personne de non autorisé ne puisse lire, copier, modifier ou supprimer des données.

4. enregistrer tous les accès aux données dans des fichiers journaux

Les entreprises doivent associer les règles d'attribution des droits d'accès à une gestion complète des logs. Les journaux d'accès enregistrent et stockent toutes les activités de données. Ces enregistrements et l'analyse de tous les accès aux données ainsi que d'autres événements liés à la sécurité sont la condition préalable à un monitoring complet de la sécurité informatique. L'analyse des fichiers journaux permet d'une part d'identifier les événements extraordinaires et d'en déterminer les causes et, d'autre part, elle aide les entreprises à retracer toutes les activités lors des audits de sécurité.

5. respecter le cycle de vie des données

L'obligation de conserver les données est réglementée en détail dans les secteurs des services financiers, des technologies médicales, de la chimie-pharmacie et autres. La protection des données personnelles tout au long de leur cycle de vie est régie par le RGPD (en Suisse par la loi sur la protection des données, mais le RGPD s'applique également aux entreprises suisses ayant des relations commerciales avec l'UE), que les données se trouvent dans leur propre centre de données ou dans le cloud. Pour les entreprises, cela signifie qu'elles doivent conserver en permanence un contrôle total sur les données personnelles, de leur collecte à leur archivage en passant par leur traitement. Cela vaut pour les applications individuelles et standard, qu'elles se trouvent sur site ou dans le cloud.

Source et informations complémentaires : NTT Sécurité