Comment AWS offre des assurances de cybersécurité dans le nuage

Parmi les fournisseurs d'informatique en nuage, Amazon a définitivement déployé ses muscles en matière de cybersécurité dans un effort concerté continu pour regrouper les outils et les solutions de sécurité de son service infonuagique public Amazon Web Services (AWS), afin d'inculquer une meilleure assurance face à la protection des données, la confidentialité, et une plus grande confiance des clients.  

Par exemple, en 2022 la société a annoncé la venue d’Amazon Security Lake, un service d’analyse de gestion des données de sécurité basé sur le cadre de schéma de cybersécurité ouvert (OCSF) œuvrant pour la recherche et la détection des menaces. Le service recueille, stocke et centralise les données de sécurité infonuagique d’AWS et d’autres sources de données de sécurité d’entreprise, analyse les journaux et les alertes de données de sécurité et offre aux clients une compréhension plus complète de leur paysage de menace.

En juillet dernier, Amazon a remanié son programme Security Competency Partners (Partenaires AWS disposant de la compétence Sécurité) composé de spécialistes ayant démontré leur succès en matière de sécurité sur AWS. Le nouveau lancement a mis en vedette 42 partenaires et huit nouvelles catégories de spécialisations, notamment : la sécurité de base, la protection du périmètre, la sécurité des applications, la conformité et la confidentialité, la protection des données et de l’infrastructure, la détection et la réponse aux menaces, ainsi que la gestion des identités et des accès.

La plateforme AWS elle-même offre une vaste gamme de solutions de sécurité et de cybersécurité, notamment celles-ci :

• AWS IAM (gestion des accès et des identités) : Une fonction de gestion de la sécurité centralisée destinée à spécifier qui ou quoi peut accéder aux services et aux ressources dans AWS. Par exemple, des privilèges peuvent être accordés à certains utilisateurs pour accéder à des données ou des serveurs spécifiques.
• AWS GuardDuty : Un service intelligent de détection des menaces qui surveille continuellement les comptes et les charges de travail afin de détecter toute activité inhabituelle.
• AWS Shield : Un service géré qui détecte et identifie les attaques par déni de service distribué (DDoS) pour les organisations qui utilisent de nombreuses applications et de nombreux serveurs Web.
• AWS Firewall Manager : Configure les protections une fois de façon centralisée, puis applique automatiquement ces configurations sur les comptes et les ressources, même lorsqu’elles sont ajoutées. 
• AWS Trusted Advisor : Inspecte les environnements AWS, établit des rapports sur l’utilisation du service, puis signale les opportunités d’économiser de l’argent, d’améliorer la disponibilité et la performance du système ou d’aider à combler les lacunes en matière de sécurité. Lorsqu’il est configuré, il signale également les non-conformités aux services organisationnels.  

« Il existe de nombreuses façons pour AWS de sécuriser vos données et de nombreuses fonctionnalités de sécurité », déclare Mme Sema.  

« Les organisations doivent faire preuve de diligence raisonnable dans l’évaluation des mesures de sécurité, des politiques de confidentialité des données et de la conformité aux normes de sécurité pertinentes d’un fournisseur », déclare Mme Sema. Pour protéger les systèmes et les données infonuagiques contre tout accès non autorisé, il est essentiel pour un fournisseur de services infonuagiques d’offrir une authentification multifacteur forte et des contrôles d’accès basés sur les rôles. Un client de services infonuagiques doit également être assuré que les données, en transit et au repos, sont toujours chiffrées pour empêcher l’accès non autorisé ou le vol de renseignements sensibles.

Mme Sema affirme que les clients devraient également demander au fournisseur d’un service infonuagique s’il teste et met à jour régulièrement ses mesures de cybersécurité en effectuant des tests d'intrusion. Se conforment-ils aux réglementations et aux normes en vigueur pour assurer la sécurité de leurs systèmes et de leurs données en nuage? Utilisent-ils des systèmes de gestion des informations et des événements de sécurité (GIES) pour identifier les menaces de sécurité?

Il est également important que les clients comprennent les éléments de sécurité qu’ils doivent posséder et comprennent clairement quelles sont les responsabilités du fournisseur de services infonuagiques. Mme Sema explique que les fournisseurs de services infonuagiques sont responsables des centres de données infonuagiques et des éléments d’infrastructure physique comme les serveurs, tandis que les clients doivent être responsables de la sécurisation de leurs réseaux et de leurs connexions privées virtuelles.

Un client de services infonuagiques doit toujours déterminer et gérer qui devrait avoir accès aux ressources informatiques en nuage et comment l’authentification doit être configurée. Ils doivent également être au courant si des employés quittent l’entreprise ou si des entrepreneurs temporaires ont pu avoir accès aux ressources. Les autorisations doivent être révoquées dès que les utilisateurs quittent l’organisation.

Amazon cherche également à aider les organisations à migrer de l’environnement de leurs locaux vers le nuage.

« Parfois, lorsque les gens pensent au nuage, ils ont peur de l’inconnu », confie Mme Sema. « Ou ils sont habitués à travailler sur place et ne sont pas sûrs comment ils travailleront dans le nuage. Mais il n’y a pas beaucoup de différence entre les deux quant à l’utilisation.

« Personnellement, je conseillerais ceci aux gens : si vous ne souhaitez pas utiliser vos applications existantes, passez au nuage », ajoute-t-elle. « Il existe des organisations avec des applications qui ne peuvent pas fonctionner dans le nuage. Amazon améliore donc ses services infonuagiques pour s’adapter aux environnements hybrides... et aux applications existantes sur place. »

En plus de la cybersécurité, AWS offre également une optimisation des coûts grâce à une gestion intelligente des données. Par exemple, grâce à un service de stockage de données appelé Amazon S3, les clients peuvent choisir différents types de services de stockage en fonction de l’accès aux données, de la résilience et des exigences de coûts des charges de travail.

Le stockage Amazon S3 Standard le plus cher offre une durabilité, une disponibilité et un stockage d’objets de performance tous très élevés pour les données fréquemment consultées. Inversement, le stockage Amazon SE Glacial Deep Archive à prix plus bas représente une option moins chère pour les données à longue durée de vie qui doivent être rarement consultées. Chaque option de stockage Amazon S3 permet aux utilisateurs d’accorder des autorisations afin de contrôler qui a accès aux données contenues.

Mme Sema propose Amazon S3 Intelligent Tiering qui selon elle représente une option de stockage particulièrement attrayante. Certaines organisations ne savent pas à quelle fréquence elles accèdent à leurs données. Par conséquent, le système S3 Intelligent Tiering surveille la façon dont les données sont consultées selon différentes classes de stockage. Si les données sont reconnues comme n’ayant pas été fréquemment consultées et qu’elles se trouvent dans une classe d’entreposage de données plus coûteuse, le système intelligent de niveau S3 les déplacera automatiquement vers des options moins coûteuses.

Elle affirme également, « Je trouve cette option vraiment attrayante pour les organisations qui dépensent beaucoup d’argent et qui ne comprennent pas leurs habitudes d’accès aux données ».