Sécuriser le Cloud ? Conseils de la NSA sur l'atténuation des vulnérabilités dans le cloud

According to the National Security Agency, managing risk in the cloud requires that customers fully consider exposure to threats and vulnerabilities, not only during procurement but also as an on-going process. Clouds can provide a number of security advantages over traditional, on-premises technology, such as the ability to thoroughly automate security-relevant processes, including threat and incident response. With careful implementation and management, cloud capabilities can minimize risks associated with cloud adoption, and empower customers to take advantage of cloud security enhancements.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Note de la rédactrice : Publié par la National Security Agency (NSA) à titre d'avis à l'intention des dirigeants organisationnels et des professionnels techniques, la récente fiche d'information sur la cybersécurité sur l'atténuation des vulnérabilités dans le cloud peut être utile pour les professionnels de la découverte de données et de la découverte juridique lorsqu'ils envisagent de la sécurité du cloud pendant et après l'achat de services cloud.

Extrait de la mise à jour de l'information sur la cybersécurité de l'Agence nationale de sécurité

Atténuer les vulnérabilités dans le cloud

Bien que l'adoption prudente du cloud puisse améliorer la posture de sécurité d'une organisation, les services cloud peuvent présenter des risques que les organisations doivent comprendre et aborder tant pendant le processus d'approvisionnement que pendant leurs activités dans le cloud. Une évaluation complète des implications en matière de sécurité lors du transfert de ressources vers le cloud permettra d'assurer une disponibilité continue des ressources et de réduire le risque d'exposition aux informations sensibles. Pour mettre en œuvre des mesures d'atténuation efficaces, les entreprises devraient tenir compte des cyberrisques pour les ressources infonuagiques, comme elles le feraient dans un environnement local.

Ce document divise les vulnérabilités du cloud en quatre classes (mauvaise configuration, mauvais contrôle d'accès, vulnérabilités de location partagée et vulnérabilités de la chaîne d'approvisionnement) qui englobent la grande majorité des vulnérabilités connues. Les clients du cloud ont un rôle essentiel à jouer dans l'atténuation de la mauvaise configuration et du mauvais contrôle d'accès, mais ils peuvent également prendre des mesures pour protéger les ressources du cloud contre l'exploitation des failles de location partagée et de la chaîne d'approvisionnement. Les descriptions de chaque classe de vulnérabilité ainsi que les mesures d'atténuation les plus efficaces sont fournies pour aider les entreprises à verrouiller leurs ressources cloud. En adoptant une approche basée sur les risques pour l'adoption du cloud, les entreprises peuvent bénéficier en toute sécurité des nombreuses fonctionnalités du cloud.

Les présentes lignes directrices sont destinées à la fois à la direction de l'organisation et au personnel technique. Le leadership organisationnel peut se référer à la section Cloud Components, à la section Cloud Threat Acteurs et à la présentation Cloud Vulnerabilities and Mitivations pour obtenir une perspective sur les principes de sécurité cloud. Les professionnels des techniques et de la sécurité devraient trouver ce document utile pour répondre aux considérations de sécurité dans le cloud pendant et après l'achat de services cloud.

Fiche d'information complète de la NSA sur l'atténuation des vulnérabilités dans le cloud

CSI-MITIGATING-CLOUD-VULNÉRABILITIES_20200121

Conclusion

La gestion des risques dans le cloud exige que les clients tiennent pleinement compte de l'exposition aux menaces et aux vulnérabilités, non seulement lors de l'approvisionnement, mais aussi en tant que processus continu. Les nuages peuvent offrir un certain nombre d'avantages en matière de sécurité par rapport à la technologie locale traditionnelle, comme la capacité d'automatiser complètement les processus pertinents en matière de sécurité, y compris la réponse aux menaces et aux incidents. Grâce à une mise en œuvre et une gestion minutieuses, les fonctionnalités cloud peuvent minimiser les risques associés à l'adoption du cloud et permettre aux clients de tirer parti des améliorations apportées à la sécurité du cloud. Les clients doivent comprendre la responsabilité partagée qu'ils ont avec les fournisseurs de services cloud (FSC) en matière de protection du cloud. Les fournisseurs de services de confiance peuvent offrir des contre-mesures personnalisées pour aider les clients à renforcer leurs ressources cloud. La sécurité dans le cloud est un processus constant et les clients doivent surveiller en permanence leurs ressources cloud et travailler à améliorer leur posture de sécurité.

Lire la suite sur NSA Cybersecurity Advisories and Technical Guidance

Lecture supplémentaire

Confidentialité ? Le cadre de confidentialité du NIST

Cadre pour l'amélioration de la cybersécurité : considérations liées à l'infrastructure du NIST

Source : CompleDiscovery

La Cour de Reynen obtient des fonds supplémentaires

According to the media release, Reynen Court has secured $4.5 million...

De la détection proactive aux examens de violation de données : découverte et extraction de données sensibles avec Ascema

A steady rise in the number of sensitive data discovery requirements...

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Nouveau du NIST : Intégration de la cybersécurité et de la gestion des risques d'entreprise (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guide de l'acheteur des systèmes de divulgation électronique — Édition 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

La course à la ligne de départ ? Annonces récentes d'examen sécurisé à distance

Not all secure remote review offerings are equal as the apparent...

Activation de la découverte électronique à distance ? Un instantané des DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

À la maison ou à l'extérieur ? Considérations relatives à la taille du marché et à la tarification des collections eDis

One of the key home (onsite) or away (remote) decisions that...

Révisions et décisions ? Nouvelles considérations relatives aux examens à distance sécurisés eDiscovery

One of the key revision and decision areas that business, legal,...

Un aperçu macroéconomique de la taille du marché de la découverte électronique passée et projetée de 2012 à 2024

From a macro look at past estimations of eDiscovery market size...

Une saison de changement ? Dix-huit observations sur la confiance des entreprises de la découverte électronique à l'automne 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Le cas persistant des contraintes budgétaires dans l'activité de la découverte électronique

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Comptes en suspens ? Mesures opérationnelles eDiscovery à l'automne 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Tenir le gouvernail ? Résultats du sondage sur la confiance des entreprises en ligne Automne 2020

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

La Cour de Reynen obtient des fonds supplémentaires

According to the media release, Reynen Court has secured $4.5 million...

DISCO lève 60 millions de dollars

According to the media release, DISCO will use this investment to...

Rampiva et la fusion du groupe RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

Fusions, acquisitions et investissements de découverte électronique au troisième trimestre 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Cinq grandes lectures sur la découverte électronique pour octobre 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinq grandes lectures sur la découverte électronique pour septembre 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinq bonnes lectures sur eDiscovery pour août 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinq grandes lectures sur la découverte électronique pour juillet 2020

From business confidence and operational metrics to data protection and privacy...