Connecter les Canadiens
Une étude de TELUS explique pourquoi l’infonuagique n’est pas à la hauteur des attentes en matière de cybersécurité
3 août 2023
De nos jours, les investissements infonuagiques sont monnaie courante pour les entreprises qui cherchent à profiter de ses avantages, comme l’agilité, la mise à l’échelle et la sécurité. Toutefois, à mesure qu’elles accroissent leur présence infonuagique, nombre d’entreprises découvrent un écart entre leurs attentes et la réalité en matière de cybersécurité.
Dans l’Étude sur la sécurité infonuagique au Canada menée auprès de plus de 500 décideurs en cybersécurité par TELUS Affaires en partenariat avec IDC Canada, 89 pour cent des personnes interrogées indiquent que le nuage n’a pas répondu à une ou plusieurs de leurs attentes, la sécurité infonuagique étant la principale déception.
Plus de la moitié des données des organisations canadiennes sont désormais stockées dans le nuage, mais les entreprises affirment presque à l’unanimité (98 pour cent) qu’il est plus difficile de sécuriser leurs environnements infonuagiques que leur infrastructure sur place. Or, 89 pour cent des personnes interrogées indiquent que leur entreprise connaît au moins un incident de cybersécurité par an, et le coût annuel moyen pour faire face aux incidents s’élève à 438 000 $.
Voilà peut-être pourquoi 99 pour cent des personnes interrogées admettent que si elles pouvaient revenir en arrière et passer à nouveau à l’infonuagique, elles consacreraient plus de temps à au moins un aspect de la sécurité. Les aspects les plus souvent mentionnés sont les mécanismes d’évaluation des menaces et des risques, les contrôles de surveillance et de détection, ainsi que les contrôles de prévention des menaces.
Les lacunes semblent évidentes après coup, mais les entreprises peuvent néanmoins tirer parti de tous les avantages de l’infonuagique et réduire les risques en choisissant les bonnes solutions et les bons partenaires.
Carey Frey, chef du service de la sûreté de TELUS, explique que, pour améliorer la sécurité infonuagique, les entreprises doivent d’abord savoir qui est responsable de chacun des aspects de la sécurité. « Les entreprises doivent bien comprendre leurs responsabilités et celles de leurs fournisseurs de services infonuagiques », précise-t-il.
Par exemple, l’erreur humaine est la première cause des incidents de sécurité infonuagique selon l’étude. Or, les brèches sont souvent causées par un oubli de l’entreprise qui « ne verrouille pas sa porte virtuelle », c’est-à-dire qu’elle n’a pas mis en place les bons protocoles de sécurité pour protéger ses données.
Il faut se demander : à qui la responsabilité? Incombe-t-elle à l’entreprise détentrice des données et aux employés qui y accèdent ou plutôt au fournisseur de services infonuagiques? La question est particulièrement épineuse puisque, d’après l’étude de TELUS, les organisations ont massivement adopté une stratégie multinuage, ayant recours en moyenne à plus de huit fournisseurs de services infonuagiques différents.
« Rien de plus facile que d’acquérir des services infonuagiques auprès de divers fournisseurs qui s’occupent de la mise en œuvre et gèrent les services, mais la sécurité est une responsabilité partagée, souligne M. Frey. Au départ, je crois que les entreprises n’ont pas fait assez d’efforts pour comprendre quelles sont leurs responsabilités et se préparer à les gérer. »
Lors d’une tentative de brèche, il devient essentiel de savoir quelles données sont protégées et à quel endroit elles sont stockées, une surveillance que peut offrir un partenaire de sécurité infonuagique de confiance.
« Par exemple, à TELUS, nous utilisons des processus comme la sécurité intégrée et la protection de la vie privée dès la conception pour saisir et enregistrer les renseignements sur les données stockées dans nos environnements infonuagiques, explique M. Frey. En cas d’incident, nous commençons par déterminer le jeu de données et les contrôles de sécurité visés afin de cerner rapidement le type de situation dans laquelle nous nous trouvons et la marche à suivre. »
En préparant un plan d’intervention, nous pouvons agir rapidement en cas de brèche infonuagique. « Les entreprises doivent rédiger un document qui définit avec précision l’ensemble des responsabilités, indique M. Frey. Il s’agit d’une méthodologie courante à la portée de tous. »
De plus, les organisations doivent s’assurer de tenir à jour leurs technologies pour profiter de la meilleure protection possible. M. Frey précise que les organisations ne sont pas toujours au courant des mises à jour des protocoles de sécurité ou croient à tort que leurs technologies plus anciennes sont protégées dans un environnement infonuagique. Dans les deux cas, cela entraîne des malentendus sur les systèmes infonuagiques actuels. Par exemple, la sécurité risque d’être négligée lorsqu’une entreprise fait migrer un vieux logiciel vers un environnement infonuagique (un « réhébergement par déplacement »), tout en s’attendant à ce que sa protection demeure inchangée.
« Dans le cas d’un réhébergement par déplacement, l’entreprise ne tire pas parti de tous les avantages de conception des applications infonuagiques, indique M. Frey. Il faut parfois ajouter des contrôles de sécurité d’un réseau traditionnel, comme un coupe-feu, puisqu’il s’agit du meilleur moyen de protéger ces anciennes technologies. »
Heureusement, les entreprises disposent aujourd’hui d’un plus grand nombre d’options technologiques pour profiter d’une sécurité infonuagique efficace. Ces solutions permettent d’obtenir une meilleure vue d’ensemble des environnements infonuagiques, de détecter les configurations erronées, de réagir aux menaces et plus encore. Un excellent exemple est celui de l’outil de gestion de la posture de sécurité infonuagique, qui détecte et comble les lacunes de sécurité avant qu’elles ne causent de problèmes.
« Nous savons que les nouvelles technologies comportent des avantages incroyables, mais également certains défis, rappelle M. Frey. Nous devons agir intelligemment pour protéger nos données afin de profiter de tous les avantages de nouvelles technologies comme l’infonuagique. »
Il n’existe pas de solution universelle, mais l’Étude sur la sécurité infonuagique de TELUS fournit des orientations sur les stratégies de sécurité infonuagique efficaces que les entreprises peuvent adopter afin de comprendre et de connaître comment utiliser l’infonuagique en toute sécurité.
Cet article est d’abord paru dans le journal
The Globe and Mail
. 
