The Doppler Quarterly (FRANÇAIS) Hiver 2018 | Page 13

L’évaluation de la sécurité de vos environnements
Azure au moyen de bancs d’essais normalisés permet
de garantir que votre posture de sécurité organisa-
tionnelle n’a pas été affaiblie.
De plus en plus d’entreprises cherchent à tirer des avantages offerts par le
marché concurrentiel des fournisseurs de cloud public. Si AWS conserve sa
position de leader, la croissance de Microsoft Azure est exponentielle. Le point
commun à toute initiative de cloud public réside dans la nécessité de bâtir un
programme de sécurité du cloud qui se concentre généralement sur les tâches
suivantes :
• Reconnaissance de l’étendue des risques pour la sécurité des informa-
tions de l’organisation associés aux objectifs internes tels que la « pri-
orité au cloud », puis défi nition de l’impact et des améliorations néces-
saires à trois niveaux : les individus, les processus et les technologies.
• Évaluation et mise en œuvre de contrôles de sécurité visant à limiter l’ex-
position aux risques dans ces domaines.
Or, dans la pratique, de nombreuses entreprises initient souvent des pro-
grammes de sécurité dans le cloud a posteriori et en réaction à des charges de
travail déjà déployées dans des clouds publics. De nombreuses équipes de
sécurité sont depuis longtemps persuadées que les charges de travail ne seront
jamais protégées adéquatement dans le cloud public. Dès lors, le passage en
revue de l’état actuel des contrôles de sécurité d’Azure mis arbitrairement en
œuvre par différentes équipes de livraison est devenu une nécessité impérieuse
pour de nombreuses organisations.
Commencez votre évaluation de la sûreté d’Azure en
défi nissant un banc d’essai de sécurité normalisé
Supposons que vous acceptiez de considérer l’évaluation des contrôles de
sécurité déjà à l’œuvre dans vos environnements Azure comme l’une de vos pri-
orités. Par où faut-il commencer ?
Les nouvelles normes de sécurité NIST SP 800-53 et ISO 27001 sont des dis-
positifs exhaustifs, mais leur mise en œuvre nécessite plusieurs mois de plani-
fi cation et d’exécution. Le CIS (Center for Internet Security) énonce les 20 pre-
miers contrôles de sécurité critiques au xquels il convient de donner la priorité,
en mettant l’accent sur les plus essentiels. Ces contrôles ont été pensés pour
« servir de base à des actions immédiates et à valeur élevée » et pour s’aligner
sur d’autres normes de sécurité telles que PCI ou FedRAMP, ce qui fait de cette
norme un point de départ très effi cace. Le dispositif CIS AWS Foundations
Benchmark, déjà existant, défi nit des confi gurations de sécurité prescriptives
pour un sous-ensemble de services AWS fondamentaux. Mais aucun équivalent
n’est disponible pour Azure.
C’est pourquoi CTP a développé son propre banc d’essai des fonctions fonda-
mentales d’Azure, baptisé Azure Foundations Benchmark, en s’inspirant du
modèle CIS AWS Foundations Benchmark. Pourquoi avons-nous choisi de
modéliser ce dispositif, au lieu de commencer directement par les 20 premiers
contrôles de sécurité critiques du CIS ? L’une des principales raisons était d’as-
HIVER 2018 | THE DOPPLER | 11