Stratégie Zero Trust : la sécurité du cloud « by design »

Appel au changement

Comme nous l'avons vu au cours des 18 derniers mois, le cloud ouvre la voie à une agilité organisationnelle à une échelle sans précédent. Mais la sécurité est essentielle pour tirer parti du potentiel du cloud. Accenture, grâce à sa taille, son évolutivité et sa complexité, a pu constater par lui-même la puissance de la sécurité dans le cloud.

Il y a six ans, Accenture a initié la transition vers le cloud. Bien que notre étude récente ait révélé que les risques en matière de sécurité et de conformité sont considérés comme l'un des deux principaux points faibles de l'adoption du cloud, nous avons clairement compris dès le départ que la sécurité du cloud serait un élément essentiel pour répondre à nos besoins commerciaux.

Passer d'une infrastructure sur site où nous avions un contrôle total à la collaboration dans le cloud avec les fournisseurs et à la nécessité de s'appuyer sur leur technologie et leur environnement a été un changement important. L'infrastructure et les nouvelles capacités de service dans le cloud sont différentes ; nous ne pouvions pas simplement traduire ce que nous avions sur site directement dans le cloud.

Nous devions repenser l'approche de la mise en œuvre de notre modèle de sécurité afin d'exploiter les capacités des solutions cloud natives. Nous avons développé des principes directeurs de sécurité essentiels pour répondre aux exigences d'exploitation dans le cloud. Nous avons redéfini nos règles de sécurité pour nous adapter à l'infrastructure cloud mise à jour. Lorsque nous examinons notre approche de la sécurité, nous pensons au-delà de l'infrastructure pour englober également le niveau des applications, des données et du code.

Aujourd'hui, l'infrastructure informatique d'Accenture fonctionne dans le cloud hybride et coûte nettement moins cher que nos modèles de prestation traditionnels. Notre stratégie consistait à être sécurisée dès le début, en reformulant notre sécurité en termes de capacités cloud, ce qui nous a permis de voir comment nos solutions cloud peuvent prendre en charge tous les éléments de sécurité nécessaires au sein de l'entreprise.

Quand la technologie rencontre l'ingéniosité humaine

Au début de notre parcours de continuum cloud, nous avons compris la nécessité d'adapter nos pratiques de sécurité à nos valeurs de sécurité fondamentales pour le Cloud. Nous voulions être alimentés par un logiciel défini, sécurisant notre code d'application et d'infrastructure dès le départ. Nous avons intégré des analyses basées sur le comportement, en utilisant l'intelligence artificielle (IA) automatisée pour identifier les anomalies plus rapidement et avec plus de précision lorsque nous travaillons sur nos plateformes cloud. Il était important pour nous d'opter pour un cloud agnostique, adapté à un environnement multi-cloud, afin que le cadre et les principes de sécurité s'appliquent à tout fournisseur de cloud auditable.

De plus, nous avons intégré une défense robuste, en nous appuyant sur plusieurs couches de sécurité à différents niveaux : cloud, réseau, accès, données et points de terminaison. Nous avons centré notre stratégie sur une approche Zero Trust, en protégeant chaque aspect du parcours de sécurité du cloud en traitant tout comme non fiable. En mettant l'accent sur le Zero Trust, nous avons suivi une approche centrée sur l'identité, en nous basant sur l'identité de tous les accès où chaque demande est explicitement vérifiée.

Cinq fonctions clés ont contribué à la réussite du parcours de sécurité du cloud :

Nous avons partagé des responsabilités. À mesure que nous avons augmenté notre consommation de logiciels en tant que service (SaaS) et de plateformes en tant que service (PaaS) dans le cloud, nous nous sommes concentrés sur un modèle de responsabilité partagée avec nos fournisseurs de cloud et nous y avons fait confiance. En partageant la responsabilité avec nos entreprises de taille supérieure au lieu de s'approprier la responsabilité, nous sommes intrinsèquement plus sûrs. Nos partenariats avec les services cloud Microsoft, Amazon et Google ont profité de leur maturité sur le marché, de leurs nombreuses certifications de sécurité et du fait qu'ils accordent autant d'importance à la sécurité que nous.

Nous avons recherché des solutions basées sur le cloud. Les fournisseurs de cloud investissent massivement dans leurs offres d'innovation et de sécurité. En utilisant des stratégies, des contrôles, des processus et des technologies cloud natifs et basés sur le cloud, nous avons pu bénéficier d'une agilité et d'une évolutivité inhérentes à la prise en charge de notre propre sécurité dans le cloud.

Nous avons assuré la conformité. En partenariat avec nos fournisseurs, notre stratégie de sécurité dans le cloud s'appuie sur des normes reconnues par le secteur et s'adapte en permanence aux besoins des entreprises. Nous respectons les politiques définies par le secteur, en utilisant des alertes, en suivant le principe de Zero Trust et en gérant la sécurité via le code pour maintenir la conformité. Cela garantit que nos services, utilisateurs, charges de travail et données sont sécurisés dès le premier jour, qu'ils restent protégés contre l'évolution constante des menaces et qu'ils peuvent faire l'objet d'un audit pour validation par des tiers.

Nous avons augmenté la visibilité. Nous avons adopté une approche multicouche, en améliorant la sécurité grâce à la technologie des fournisseurs de cloud et à des solutions avancées de détection des menaces. Nous avons gagné en visibilité non seulement pour notre propre gestion exploitable, mais aussi pour l'auditabilité externe.

Nous nous sommes épanouis dans la confiance. Nous pensons que l'identité est le nouveau pare-feu. Notre approche centrée sur l'identité implique une stratégie de Zero Trust, dans laquelle nous intégrons une validation d'identité appropriée et continue. La confiance va désormais être fondamentalement déterminée par l'identité et le rôle.

Une différence précieuse

Nous avons adopté une approche globale des différents éléments de l'exploitation dans le cloud pour élaborer une stratégie de sécurité dans le cloud véritablement global. À mesure que nous mettons en œuvre cette approche transformationnelle de la sécurité dans une infrastructure multi-cloud, nous pouvons continuer à appliquer des stratégies, des ressources et des services de sécurité hautement efficaces.

Voici quelques-unes de nos leçons tirées de l'efficacité de la sécurité dans le cloud :

• Conception en termes de cloud : Un parcours de continuum cloud nécessite un modèle d'exploitation très différent de toute solution sur site. Repensez vos principes de sécurité en termes de cloud, pour libérer la puissance de la sécurité dans le cloud et transformer votre entreprise.

• Faire le changement culturel : Comblez l'écart culturel avec les services cloud natifs par le haut. L'éducation et la formation peuvent aider à changer d'état d'esprit afin que les gens comprennent les avantages du cloud et pourquoi votre stratégie de sécurité est importante.

• Promouvoir la collaboration et le partenariat : Tout parcours de continuum cloud implique non seulement de confier un certain contrôle à des tiers, mais également d'hériter de la sophistication des solutions cloud. Il est essentiel de construire des relations de confiance avec vos fournisseurs et de considérer la sécurité comme une responsabilité partagée.

À l'avenir, pour sécuriser et gérer les contrôles d'accès dans un environnement multi-cloud, nous nous efforçons d'aligner les identités sur toutes les plateformes et tous les fournisseurs. En utilisant les données comme facteur clé, notre sécurité dans le cloud continuera d'être complète à mesure que nos capacités dans le cloud se développeront sur toutes les plateformes.

Nous voulons également découvrir de nouvelles solutions et renforcer notre sécurité grâce à l'IA pour la détection des menaces et l'apprentissage automatique, afin de corriger notre code et ainsi éviter les vulnérabilités potentielles. Cette approche, associée à notre stratégie de prévention, de protection, de détection et de récupération, peut renforcer notre impératif Zero Trust.