Zpedia 

/ Qu’est-ce qu’un modèle de responsabilité partagée ?

Qu’est-ce qu’un modèle de responsabilité partagée ?

Un modèle de responsabilité partagée est un cadre de sécurité et de gestion des risques dans le cloud qui définit les processus et les responsabilités en matière de cybersécurité qui incombent au fournisseur de services cloud (CSP) et ceux qui incombent au client. Avec la migration croissante des architectures informatiques vers le cloud, un modèle de responsabilité partagée favorise une sécurité renforcée et établit les responsabilités en ce qui concerne la sécurité du cloud.
Visionner notre présentation de deux minutes
Protection contre les menaces en ligneSécurité CloudSécurité des données
  1. Pourquoi est-ce si important ?
  2. Fonctionnement
  3. Types de modèles
  4. Avantages
  5. Bonnes pratiques
  6. Comment Zscaler peut vous aider
  7. Ressources suggérées
  8. Autres thèmes similaires

Pourquoi les modèles de responsabilité partagée sont-ils importants ?

Dans un environnement de data center sur site, la responsabilité de la sécurité incombe uniquement au propriétaire. La responsabilité du maintien des contrôles de sécurité, des correctifs et de l'infrastructure physique incombe à l'équipe de sécurité de l'entreprise (ou à une autre partie responsable, comme le service informatique), jamais au(x) fournisseur(s) de matériel. Toutefois, lorsque des parties d’un réseau utilisent ou sont composées de services de cloud privé ou public, certaines responsabilités de sécurité incombent au CSP.

C'est là qu'intervient un modèle de responsabilité partagée, qui définit précisément les tâches de sécurité, les états des données, les emplacements, etc. qui relèvent de la responsabilité du CSP et ceux qui relèvent de celle du client. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) et d’autres CSP ont chacun leur propre modèle, adapté à leurs offres spécifiques.

Comment fonctionnent les modèles de responsabilité partagée

La plupart des modèles de responsabilité partagée vous tiennent, en tant que client, responsable de tout ce qui est sous votre contrôle direct : les données, les informations d'identification et les configurations, ainsi que toutes les fonctionnalités qui se trouvent en dehors des ressources cloud du CSP, telles que les pare-feu de votre entreprise et autres dispositifs de sécurité réseau internes.

Un manque de clarté concernant les responsabilités peut contribuer à des erreurs de configuration qui affaiblissent votre posture de sécurité et, à terme, entraînent des défaillances de la sécurité dans le cloud. Il est donc essentiel que vous compreniez où se situent les responsabilités de votre entreprise en matière de sécurité par rapport à celles de vos fournisseurs.

Différents types de modèles de responsabilité partagée

La répartition des responsabilités dépend du type de service cloud que vous utilisez. Vous serez toujours responsable de la sécurité de vos données, de vos appareils, de vos comptes et de la gestion des accès. De même, les CSP seront toujours responsables de la sécurité de l'infrastructure physique, c'est-à-dire de leurs hôtes, de leurs data centers et de leurs réseaux. Voyons maintenant où se situent les autres différences :

  • Logiciel en tant que service (SaaS) : le fournisseur de services cloud assume la responsabilité de la sécurité des systèmes d'exploitation, des contrôles réseau et des applications qui composent le service, ainsi que des données générées dans le service. La responsabilité varie pour l'infrastructure d'identité et d'annuaire.
  • Plateforme en tant que service (PaaS) : ici, la responsabilité incombe généralement moins au fournisseur de cloud, la responsabilité de la sécurité des contrôles réseau, des applications et de l'infrastructure d'identité et d'annuaire variant d'un service à l'autre. Il demeure toutefois responsable du système d’exploitation.
  • Infrastructure en tant que service (IaaS) : les CSP assument ici la responsabilité la plus faible, la charge de sécuriser tout sauf l'infrastructure physique du CSP incombant uniquement au client. Le client gère tous les correctifs du système d'exploitation et des applications, ainsi que les contrôles du réseau.

Avantages d'un modèle de responsabilité partagée

En soi, la responsabilité réduite du client dans le cadre d'un service cloud est un avantage majeur par rapport à la responsabilité totale que vous assumez avec votre infrastructure privée sur site, mais ce n'est pas tout. Partager la responsabilité de la sécurité du cloud avec un fournisseur de services vous permet également de bénéficier des avantages suivants :

  • Réduction des coûts : en termes simples, tirer parti de la sécurité et de l'infrastructure d'un fournisseur signifie moins de gestion de votre part, ce qui vous évite de devoir acheter des ressources supplémentaires qui pourraient grever votre budget.
  • Amélioration de la cybersécurité : une délimitation claire des responsabilités en matière de sécurité dans l’infrastructure cloud réduit le risque d’erreurs pouvant entraîner des vulnérabilités et des violations de données.
  • Réduction de la charge opérationnelle : plus votre CSP assume de responsabilités en matière de sécurité, plus votre équipe aura de temps à consacrer à d’autres priorités.

Les défis de la responsabilité partagée

L'adoption du cloud et le partage des responsabilités présentent de nombreux avantages, mais certains défis potentiels doivent toutefois être pris en compte.

Conformité et responsabilité ultime

Avant tout, vous devez pouvoir confier vos données à votre fournisseur en toute confiance. Les politiques de sécurité des données de votre entreprise, qu'il s'agisse de règles internes ou de réglementations externes, ont une grande influence à cet égard. Si vous choisissez un fournisseur, assurez-vous de bien comprendre ce à quoi vous vous engagez. Dans de nombreux cas, votre entreprise restera responsable en cas de violation de ces règles ou réglementations liée à une compromission des données.

Comprendre et s'adapter

Pour respecter votre part du contrat de sécurité, vous devez comprendre exactement où s'arrêtent vos responsabilités et où commencent celles du CSP. Votre personnel doit également savoir comment utiliser les outils du CSP et naviguer dans ses contrôles pour éviter d'introduire des vulnérabilités. Au-delà de cela, vous devez être capable de vous adapter lorsque les architectures et les systèmes changent, par exemple lors de nouvelles intégrations, afin que vous et vos workloads restiez en sécurité.

Bonnes pratiques en matière de responsabilité partagée

Les bonnes pratiques spécifiques à un modèle de responsabilité donné dépendent de vos besoins spécifiques et de l'offre du fournisseur, mais certaines pratiques générales doivent être prises en compte dans toute situation relevant d’un modèle de responsabilité partagée en matière de sécurité :

  • Donnez la priorité à la sécurité des données et à vos autres responsabilités. Étant donné que vous êtes responsable de la sécurité de vos données, de vos terminaux, des identifiants des utilisateurs et de la gestion des accès, quel que soit le type de service cloud que vous utilisez, vous devez vous acquitter de ces obligations en priorité. Cela s’étend à la définition des tâches et des responsabilités au sein de votre propre entreprise.
  • Sachez ce à quoi vous vous êtes engagé et soyez prêt à réagir aux changements. L'accord de niveau de service (SLA) d'un fournisseur définira précisément ses responsabilités et les vôtres. Elles sont toutefois rarement immuables. Il est donc important de rester attentif aux mises à jour que les CSP peuvent apporter à leurs SLA et d'agir en conséquence si elles affectent votre environnement cloud.
  • Utilisez des outils de sécurité et de visibilité modernes. La gestion de la sécurité dans un environnement cloud peut s'avérer extrêmement complexe en raison de la quantité considérable de ressources, des niveaux d'autorisation, des API, des vecteurs d'attaque potentiels, etc. Tenez-vous informé des dernières innovations en matière d'opérations de sécurité et de capacités de traque des menaces, ainsi que de la manière dont vous pouvez les adopter.

Comment votre entreprise peut-elle préserver sa sécurité dans le cloud ?

Le cloud est le lieu où vivent les entreprises modernes. Peu de gens contestent ce fait. Mais il est tout aussi indéniable que l'utilisation des services cloud expose vos utilisateurs, vos terminaux et vos données à de nouveaux risques. Il est essentiel de bien comprendre vos responsabilités en matière de sécurité afin de vous protéger contre ces risques.

Mais ce n'est qu'une partie du problème. Assumer vos responsabilités peut s'avérer fastidieux lorsque vous traitez avec des partenaires tiers, plusieurs chaînes logistiques et les risques croissants liés aux ransomwares, au phishing et autres attaques avancées qui ciblent vos terminaux, vos identifiants et vos données. Ces aspects de votre sécurité vous incomberont toujours, et compte tenu des nombreuses voies d'attaque et de perte de données possibles, il est primordial de choisir les bons partenaires de sécurité.

Sécurisez votre transformation numérique avec Zscaler

Zscaler peut vous aider à tirer parti, en toute sécurité, de tous les avantages du cloud : flexibilité, évolutivité, portée, facilité d'utilisation, etc.

Zscaler Posture Control est une plateforme cloud native unifiée et hautement performante, conçue dès le départ pour hiérarchiser les risques liés à la sécurité des infrastructures et des applications dans les clouds distribués et tout au long des cycles de vie du développement et du DevOps, vous aidant ainsi à :

Sécuriser les configurations

Maintenez des contrôles CSPM complets sur l’infrastructure, les ressources, les données et les identités cloud.

En savoir plus

Sécuriser les droits

Sécurisez les identités humaines et machine tout en appliquant le principe de l’accès le moins privilégié.

En savoir plus

Sécuriser l’infrastructure en tant que code

Déplacez la sécurité en amont avec les flux de travail des développeurs et des DevOps pour corriger les vulnérabilités et les problèmes de conformité.

En savoir plus

Sécuriser les données

Sécurisez les données confidentielles sur plusieurs référentiels cloud tout en maintenant la visibilité, le contrôle et la conformité.

En savoir plus

Sécuriser les charges de travail et les applications

Tirez parti de Zero Trust pour sécuriser sans agent les hôtes, les conteneurs et les fonctions sans serveur tout au long du cycle de vie des applications.

En savoir plus

Ressources suggérées

SaaS, IaaS et PaaS : ce que le modèle de responsabilité partagée signifie pour le Zero Trust
Lire le blog
Qu’est-ce qu’une plateforme de protection des applications cloud natives (CNAPP) ?
En savoir plus
Posture Control pour les applications cloud natives
Consulter cette ressource
Posture Control de Zscaler
En savoir plus

01 / 02