Sécurité cloud vs sécurité sur site

Sécurité Cloud vs Sécurité sur Site

Une entreprise qui gère ses propres serveurs sur site maintient un contrôle plus complet sur la sécurité. Ils sont chargés de définir des politiques d'accès utilisateur appropriées, d'installer des pare-feux et des logiciels antivirus, de s'assurer que les correctifs de sécurité sont installés rapidement et de se prémunir contre les cyberattaques. Ce degré de contrôle peut être une sorte d'épée à double tranchant. Pour une entreprise avec un support informatique approprié, les solutions sur site donnent aux entreprises l'assurance que leurs serveurs sont verrouillés - elles n'ont pas besoin de faire confiance à une autre entreprise pour leurs données privées. D'un autre côté, s'ils sont mal gérés, les serveurs sur site peuvent rendre une organisation vulnérable aux menaces de sécurité.

La sécurité du cloud par rapport à la sécurité sur site est une considération clé. Les contrôles de sécurité du cloud ont historiquement été considérés comme moins robustes que ceux sur site, mais le cloud computing n'est plus une nouvelle technologie. De nos jours, de plus en plus d'entreprises font confiance au cloud pour leurs besoins de sécurité.

Entre autres, les environnements cloud ont la réputation d'être moins sécurisés que les environnements sur site. Cependant, ce jugement n'est pas tout à fait exact. Alors que les organisations se justifient dans leur appréhension lorsqu'elles envisagent une migration vers le cloud, la sécurité du cloud n'est pas intrinsèquement de seconde classe. Au contraire, le défi de la sécurisation d'un environnement cloud est basé sur des différences fondamentales entre les environnements sur site et cloud.

En réalité, déplacer les données vers un service d'hébergement cloud réputé tel que Microsoft Azure ou Microsoft 365 offre un niveau de sécurité qui ne peut pas être dupliqué sur site. C'est parce que la plupart des organisations n'ont tout simplement pas les ressources financières ou en personnel pour offrir les mêmes avantages en matière de sécurité que les grands fournisseurs de services cloud.

Microsoft 365, en tant que service, contient de nombreux portails d'administration, options et paramètres de configuration axés uniquement sur la sécurité. Chaque service est principalement protégé par Azure Active Directory pour l'authentification, chaque application autorisant les utilisateurs à accéder soit à l'application elle-même, soit au contenu qui s'y trouve.

Dans leur configuration par défaut, les nouveaux locataires Microsoft 365 (créés le ou après le 22 octobre 2019) ont des valeurs de sécurité par défaut activées qui implémentent certaines fonctionnalités nécessaires et quelques unes des meilleures pratiques. Les locataires créés avant cette date n'auront pas ces valeurs de sécurité par défaut activées.

Cependant, les anciens comme les nouveaux locataires Microsoft 365 nécessitent un niveau de sécurité plus élevé pour être protégés contre les menaces avancées.

“Ne jamais faire confiance, toujours vérifier”

"Never trust, always verify"

Un acte de malveillance peut être réalisé dans l'entreprise par du personnel interne comme par du personnel externe. De plus, un pirate informatique n'a pas besoin d'être dans les locaux de l'entreprise pour effectuer un acte malveillant.

Les organisations ont besoin aujourd'hui d'un nouveau modèle de sécurité qui s'adapte plus efficacement à la complexité de l'environnement moderne.

Le modèle Zero Trust suppose une violation et vérifie chaque demande comme si elle provenait d'un réseau ouvert.

Indépendamment de l'origine de la demande ou de la ressource à laquelle on accède, Zero Trust nous apprend à "ne jamais faire confiance, toujours vérifier".

Chaque demande d'accès est totalement authentifiée, autorisée et chiffrée avant d'accorder l'accès. Les principes de micro-segmentation et d'accès au moindre privilège sont appliqués pour minimiser les mouvements latéraux.

Source : https://www.microsoft.com/en-us/insidetrack/implementing-a-zero-trust-security-model-at-microsoft

Au quotidien, j'aide de nombreuses organisations à mettre en œuvre tout ou partie des différentes phases du modèle Zero Trust sur leur environnement Microsoft 365.