Violation de Bonobos : Comment s'assurer que votre CSP tiers sécurise vos données ?

Lorsque le cloud a été inventé, beaucoup d'entre nous ont pensé qu'il pourrait être le centre de données sécurisé "tout et tout le temps". Cependant, comme la froide réalité des violations de données nous l'a appris, le transfert des actifs, de la puissance de traitement et du stockage de votre entreprise vers un environnement en nuage tiers ne vous dispense pas de votre responsabilité de comprendre où et comment vos données sont sécurisées.

Bonobos, une filiale de Walmart, en est le dernier exemple. L'entreprise a récemment signalé une violation de données chez un fournisseur de services en nuage (FSC) tiers, qui a entraîné l'exposition des IPI des clients. Cette violation est une autre illustration des pièges de la responsabilité partagée. La responsabilité incombe-t-elle au client, à la tierce partie ou au CSP ?

Comprendre la responsabilité des fournisseurs de services en nuage

Comprendre les différences entre les niveaux de services de cloud computing peut vous aider à déterminer les normes de contrôle à intégrer dans vos modèles de services de cloud computing. Il existe quatre niveaux de base pour les fournisseurs de services en nuage (FSC) :

1. Informatique d'entreprise (on prem)
2. Infrastructure en tant que service (IaaS)
3. Plate-forme en tant que service (PaaS)
4. Logiciel en tant que service (SaaS)

Chaque niveau de soutien reflète si la responsabilité du risque incombe au client ou au fournisseur. Dans le cadre de la structure Enterprise IT, le fournisseur a mis en place des contrôles pour les dix zones de responsabilité (voir le tableau ci-dessous). Cependant, si vous vous engagez dans une forme quelconque de "as a Service", la responsabilité peut varier entre le client, le fournisseur, ou les deux.

Lorsque vous évaluez la sécurité de la chaîne d'approvisionnement, méfiez-vous des réponses générales de vos fournisseurs indiquant qu'ils sont "protégés" dans le cloud. S'ils utilisent le cloud, déterminez alors le niveau de service dont ils disposent et les contrôles mis en place pour soutenir ce qui est couvert par leur contrat CSP.

Le modèle de responsabilité partagée de Microsoft*

Évaluer les risques liés à votre fournisseur de services en nuage tiers

Les brèches comme celle qui a touché Bonobos nous rappellent qu'il faut mettre en œuvre les meilleures pratiques, intégrer des normes de contrôle pour protéger vos données et évaluer en permanence les tiers qui stockent et gèrent vos données. Que vous utilisiez des services en nuage pour des données de sauvegarde ou des données actives, veillez à prendre en compte les meilleures pratiques suivantes :

1. Se tenir au courant de l'évolution des pratiques de sécurité
2. N'oubliez pas d'utiliser l'authentification, d'autoriser avec une gestion d'identité appropriée, et de maintenir la responsabilité avec la gestion des journaux.
3. Stockez les informations d'identification privilégiées en toute sécurité et protégez les clés.
4. Mettre en œuvre et utiliser les guides de durcissement
5. Mettre l'accent sur la gestion du changement
6. Utiliser la vérification automatique
7. Évaluez régulièrement la posture de sécurité de vos fournisseurs et validez la présence de contrôles par une surveillance continue.

Prevalent peut faciliter les évaluations de sécurité des IaaS, PaaS, SaaS et autres CSP en utilisant le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire ) de la Cloud Security Alliance (CSA) intégré à la plateformePrevalent . Ce questionnaire est une norme de l'industrie pour documenter les contrôles de sécurité du cloud et les capacités de sécurité du CSP en utilisant une terminologie standardisée et de meilleures pratiques. Grâce à des rapports complets sur la norme, vous obtenez une image claire des contrôles de sécurité de votre CSP et pouvez prendre des décisions plus éclairées.

Pour compléter l'évaluation régulière des contrôles, Prevalent Vendor Threat Monitor peut fournir des informations continues sur la cybersécurité, la réputation et les finances de vos FSC. Cela inclut la surveillance des discussions de pirates sur les forums du dark web, qui offre une fenêtre sur les risques réels et potentiellement invisibles, tout en validant la présence de certains contrôles.

Le fait de confier le contrôle et la gestion de vos données à un CSP ne signifie pas nécessairement que vous êtes libéré de toute responsabilité en matière de gouvernance réglementaire et de reddition de comptes. Ainsi, lorsqu'un fournisseur ou un vendeur indique qu'il utilise des services en nuage, ne vous arrêtez pas là dans votre évaluation. Découvrez quel niveau de CSP votre tiers utilise et comment les contrôles sont régis, tant du côté du fournisseur que du côté du prestataire. Veillez également à prendre en compte les bases de données actives, sauvegardées et résiliées, le cas échéant. Cela pourrait vous éviter bien des maux de tête !

Prochaines étapes

Pour en savoir plus sur la façon dont Prevalent peut aider à traiter les aspects réglementaires et de gouvernance de la gestion des risques liés aux tiers pour les FSC, consultez notre livre blanc sur les meilleures pratiques, The Third-Party Risk Management Compliance Handbook. Ou contactez-nous dès aujourd'hui pour une séance de stratégie.

*Source : Lanfear, Terry. "Laresponsabilité partagée dans le cloud" Documentation Microsoft Azure, 16 octobre 2019.