Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesModèle
Création d'une politique de sécurité cloud efficace : Guide et modèle

Création d'une politique de sécurité cloud efficace : Guide et modèle

Une politique de sécurité cloud robuste est impérative pour toute organisation qui s'appuie sur des services cloud pour stocker et traiter des données sensibles. Elle améliore la sécurité en établissant des normes et des procédures claires pour la protection des ressources cloud, en détaillant les rôles impliqués dans la sauvegarde des données, et en promouvant une culture consciente de la sécurité. De plus, avoir une politique de sécurité cloud documentée est une exigence de certaines réglementations de conformité et audits.

Ce document offre des conseils pour créer une politique de sécurité cloud efficace : il détaille les sections à inclure et fournit des exemples pour illustrer. N'hésitez pas à l'adapter pour répondre aux exigences légales et de conformité uniques de votre organisation.

Gardez à l'esprit que votre politique de sécurité du cloud fait partie d'une stratégie de sécurité plus large. Elle doit s'aligner sur vos autres politiques et pratiques de sécurité, y compris la sécurité du réseau et les politiques de protection des données, pour créer une défense solide contre les menaces et les vulnérabilités.

Modèle de politique de sécurité du Cloud

  1. Objectif

La création d'une politique de sécurité cloud commence par la définition de son objectif déclaré qui décrit les buts et objectifs globaux. Cet objectif déclaré servira de fondation qui guidera la sélection de contrôles de sécurité spécifiques, de procédures et de stratégies qui répondront aux besoins de l'organisation et aux exigences réglementaires. Cela garantit que la politique est concentrée, pertinente et alignée avec la stratégie de sécurité globale de l'organisation, fournissant une direction claire pour le développement et la mise en œuvre de la politique.

Exemple

Le but de cette politique est de protéger la confidentialité, l'intégrité et la disponibilité des données traitées par les services de cloud computing. Elle établit un cadre structuré de responsabilités et de mesures pour garantir la conformité aux exigences réglementaires et le respect des directives de sécurité dans le domaine du cloud computing.

  1. Portée

Le champ d'application d'une politique de sécurité cloud délimite sa couverture. Il précise les services cloud, les données, les utilisateurs, les emplacements géographiques et les contrôles de sécurité auxquels la politique s'applique au sein d'une organisation.

Exemple

Cette politique concerne les systèmes gérant les données définies dans la section "2.1. Types d'informations" de ce document et englobe tous les services cloud pertinents. Elle s'applique aux serveurs, bases de données et appareils régulièrement utilisés pour les courriels, l'accès au web ou les tâches de travail, couvrant à la fois les nouvelles installations et les installations existantes. Chaque utilisateur interagissant avec les services informatiques de l'entreprise est soumis à cette politique, et ses exigences en matière de contrôle de sécurité sont universellement applicables à tous les systèmes cloud approuvés.

2.1. Types d'informations

Le but de cette section est de fournir une liste exhaustive des types d'informations qui relèvent de la compétence de la politique proposée. Vous devez étiqueter vos données stockées et traitées de manière précise en utilisant les meilleures pratiques pour la classification des données.

Exemple

Cette politique est applicable à toutes les informations considérées comme des données sensibles par la politique de classification des données de l'entreprise. Les types de données sensibles couverts par cette politique incluent :

Données d'identité et d'authentification

  • Mots de passe
  • Clés privées cryptographiques
  • Tables de hachage

Données financières

  • Factures
  • Données de paie
  • Données de revenus
  • Données sur les comptes clients

Données propriétaires

  • Test et analyse de logiciels
  • Recherche et développement

Données personnelles des employés

  • Noms et adresses
  • Numéros de sécurité sociale
  • Numéros de permis de conduire
  • Numéros de carte d'identité
  • Numéros de compte financier, y compris les codes ou mots de passe permettant l'accès au compte
  • Informations sur l'assurance médicale et santé

3. Propriété et Responsabilités

Cette section de la politique de sécurité du cloud est essentielle pour garantir que les individus et les équipes comprennent leurs rôles dans la sécurisation des ressources du cloud, établissant une responsabilité claire et prévenant les lacunes qui augmentent le risque d'incidents de sécurité.

Vous devriez énumérer tous les rôles liés aux actions et contrôles de sécurité du cloud et décrire les responsabilités associées. Si vous ne savez pas comment commencer à compiler la liste, considérez les questions suivantes :

  • Quels individus ou équipes utilisent des services cloud et doivent être conscients des politiques de sécurité ?
  • Qui est responsable de la configuration et de la maintenance des paramètres de sécurité dans l'environnement cloud ?
  • Qui s'assure que les déploiements dans le cloud sont conformes aux exigences de conformité pertinentes et aux politiques internes ?
  • Qui est responsable de la prise de décision concernant la sélection des solutions cloud ?

Exemples

  • Administrateur de la sécurité du cloud : Responsable de la configuration et de la maintenance des paramètres et contrôles de sécurité dans l'environnement cloud, y compris la gestion des accès, le chiffrement et la surveillance.
  • Propriétaire des données : L'individu ou l'équipe responsable des données de l'organisation stockées dans le cloud, y compris la classification des données, le contrôle d'accès et les politiques de conservation des données.

4. Utilisation sécurisée des services de Cloud Computing

Cette section décrit les exigences pour l'utilisation acceptable des services cloud. Pour la préparer, vous devriez prendre les mesures suivantes pour chaque service cloud :

  • Identifiez les utilisateurs de service, internes et externes.
  • Documentez le type de service cloud (SaaS, PaaS, IaaS), avec des spécifications détaillées.
  • Précisez les types de données à stocker dans le service.
  • Détaillez les solutions et configurations de sécurité nécessaires, telles que le chiffrement, la surveillance et les sauvegardes.
  • Compilez un historique des incidents de sécurité passés impliquant le fournisseur de cloud choisi.
  • Demandez la documentation des certifications de sécurité disponibles.
  • Assurez la sécurité des copies de l'Accord de Niveau de Service (SLA) et des autres accords avec le fournisseur de cloud.

4.1 Services approuvés

Fournissez un résumé de votre infrastructure basée sur le cloud, y compris un catalogue des services approuvés alignés avec leurs départements respectifs. Décrivez le processus d'approbation de l'adoption des services. Envisagez d'inclure une liste des services non autorisés.

Exemple

Seules les solutions basées sur le cloud approuvées énumérées dans la Section 4.1 sont autorisées à l'usage. L'installation de logiciels non autorisés sur les appareils appartenant à l'organisation et les composants de l'infrastructure informatique est interdite. L'administrateur de la sécurité du cloud doit autoriser les services cloud tiers avant leur utilisation ; tout service non autorisé doit déclencher des alertes et des blocages d'accès.

Infrastructure en tant que Service (IaaS)

  • Amazon Web Services (AWS) — Service informatique
  • Microsoft Azure — Département informatique

Logiciel en tant que service (SaaS)

  • Office 365 — Tous les départements
  • Salesforce — Réservé aux départements des ventes et du marketing

5. Évaluation des risques

La section d'évaluation des risques dicte les paramètres et responsabilités liés à l'identification, l'évaluation et la priorisation des risques de sécurité associés aux services cloud.

Exemple

L'administrateur de la sécurité du cloud et l'équipe de sécurité informatique sont responsables de la réalisation des évaluations des risques. Une évaluation des risques doit être effectuée :

  • Suite à la mise en œuvre d'un nouveau service cloud
  • Après des mises à niveau ou des mises à jour importantes d'un service cloud existant
  • Suite à tout changement de configuration d'un service cloud
  • En réponse à un événement ou incident de sécurité
  • Trimestriel pour tous les services cloud existants

De plus, un spécialiste externe de l'évaluation des risques effectuera une évaluation des risques tous les six mois.

6. Contrôles de sécurité

Cette section détaille à la fois les contrôles de sécurité internes de l'organisation et ceux fournis par le fournisseur de services cloud. Des exemples de contrôles de sécurité incluent les droits d'accès au serveur, les règles de pare-feu, les ACLS VLAN et la segmentation réseau.

Regroupez les contrôles en catégories logiques, telles que le contrôle d'accès, la protection des données, la réponse aux incidents et la conformité. Fournissez une description claire de l'objectif et de la portée de chaque contrôle. Si applicable, référencez toute directive ou norme industrielle (par exemple, ISO 27001, NIST, GDPR) que les contrôles aident à satisfaire.

Exemple

Contrôle 23 : Authentification Multifacteur (MFA)

  • Description: Mettez en œuvre MFA pour tous les utilisateurs accédant aux services cloud afin d'améliorer la sécurité en exigeant plusieurs formes d'authentification avant d'accorder l'accès.
  • Responsabilité: Équipe de sécurité informatique
  • Référence: NIST SP 800-63B, Section 5.1
  • Exigences: Tous les utilisateurs ayant accès aux ressources cloud doivent s'inscrire au système MFA de l'organisation avant d'obtenir l'accès. Les méthodes MFA autorisées incluent les codes SMS, l'authentification par application mobile, les jetons matériels et la biométrie. Une formation et des directives seront fournies aux utilisateurs sur la manière de configurer et d'utiliser correctement les méthodes MFA. Un contournement temporaire du MFA pour des scénarios spécifiques tels que la récupération de compte est autorisé.

6.1. Évaluation du contrôle de sécurité

Définissez la fréquence à laquelle les contrôles de sécurité font l'objet d'évaluations régulières de leur efficacité et de leurs vulnérabilités.

Exemple

L'administrateur de la sécurité du cloud est responsable de la réalisation d'une évaluation complète des configurations des contrôles de sécurité sur une base trimestrielle. L'évaluation inclura la révision de tous les paramètres et configurations des contrôles de sécurité pour tous les environnements cloud. Elle comprendra également l'investigation de toutes les instances de tentatives d'accès échouées afin d'identifier les faiblesses dans les contrôles de sécurité.

7. Récupération après un incident de sécurité

Cette section doit expliquer comment les employés doivent signaler les activités suspectes et les incidents de sécurité, y compris à qui s'adresser et par quels canaux.

Il devrait également détailler comment les incidents doivent être catégorisés en fonction de leur gravité, de leur impact et de leur nature ; fournir le processus d'escalade ; et décrire les procédures pour contenir, enquêter, atténuer et se remettre des incidents de sécurité.

L'équipe d'intervention en cas d'incident doit être clairement définie, avec les rôles et responsabilités de chaque membre explicités. Incluez également les coordonnées des parties externes pertinentes, telles que les avocats, les forces de l'ordre et les spécialistes en cybersécurité.

Exemple (Extrait)

L'équipe de réponse aux incidents (IRT) est responsable de la gestion et de l'atténuation des incidents de sécurité impliquant des environnements cloud. Tous les membres de l'IRT doivent suivre une formation régulière et des exercices pour garantir leur préparation et leur familiarité avec le processus de réponse aux incidents.

Le responsable de l'IRT est Alex Smith (alex.smith@email.com, 212-121-1234). Responsabilités :

  • Supervise le processus de réponse aux incidents
  • Coordonne la communication avec les parties externes
  • Assure la conformité aux exigences réglementaires

En cas d'incident de sécurité, les contacts externes suivants peuvent être sollicités :

  • Conseiller juridique: Cabinet d'avocats XYZ (Contact : legal@xyzlawfirm.com)
  • Application de la loi: Commissariat de police local (Contact : 911)
  • Spécialistes en informatique légale: CyberForensics Inc. (Contact : info@cyberforensics.com)
  • Spécialistes en cybersécurité: SecureTech Solutions (Contact : info@securetechsolutions.com)

8. Sensibilisation

Dans cette section, précisez le public cible pour la formation en sécurité, la fréquence et les méthodes de formation, ainsi que la personne qui supervisera la formation. Décrivez le processus pour traiter les cas de non-conformité et mettez l'accent sur les procédures de signalement des incidents. Soulignez l'importance de mettre à jour la formation pour s'adapter aux menaces de sécurité évoluant et aux meilleures pratiques. De plus, détaillez comment vous maintiendrez les registres des formations complétées et mesurerez leur efficacité.

Exemple

  • Public cible: La formation est requise pour toutes les personnes ayant accès aux ressources du cloud, y compris, mais sans s'y limiter, les employés, les contractuels et les fournisseurs tiers.
  • Fréquence: La formation à la sensibilisation à la sécurité doit être menée annuellement pour tout le personnel et lors de l'intégration des nouveaux employés.
  • Méthodes de livraison: La formation peut être dispensée via une combinaison de cours en ligne, de webinaires et de sessions en personne, selon ce qui convient le mieux au public cible.
  • Évaluation: Des évaluations de l'efficacité, y compris des quiz et des sondages périodiques, doivent être menées pour évaluer l'impact du programme de formation et identifier les domaines à améliorer.

9. Application

Cette section détaille comment la politique de sécurité sera appliquée, les conséquences du non-respect et les parties responsables de la supervision des efforts d'application.

Exemple

L'équipe de sécurité informatique, en collaboration avec les Ressources Humaines, appliquera la politique de sécurité par des évaluations de routine. Les employés qui ne respectent pas la politique ou échouent aux tests verront leurs comptes suspendus et devront suivre une formation de sécurité pour que le compte soit réactivé.

10. Documents associés

Cette section doit répertorier tous les autres documents pertinents pour la politique de sécurité, y compris toute politique concernant la sécurité, la conformité, le signalement des incidents et la formation à la sécurité. Des exemples peuvent inclure ce qui suit :

  • Politique de mot de passe
  • Politique de protection des données
  • Procédures de gestion de la non-conformité
  • Plan de réponse aux incidents

11. Historique des révisions

Un historique des révisions assure la transparence et la responsabilité en documentant tout changement ou mise à jour apporté à la politique au fil du temps. Assurez-vous de documenter chaque modification de la politique et sa justification.

Exemple

Version

Date de révision

Auteur

Description

1.0

02/01/2023

Blake Parker, administrateur de la sécurité du cloud

Version initiale

1.1

06/01/2023

Blake Parker, administrateur de la sécurité du cloud

Fréquence de formation mise à jour

Conclusion

Ce modèle de politique de sécurité du cloud offre une base solide pour élaborer une politique de sécurité du cloud efficace, adaptée aux besoins spécifiques de votre organisation. La politique doit aborder les préoccupations de sécurité liées au cloud computing de manière pratique et adaptable, afin que votre organisation puisse protéger correctement ses données sensibles aujourd'hui et demain.

Netwrix Auditor for SharePoint and Teams

Gardez vos données dans SharePoint et Microsoft Teams sécurisées sans sacrifier la productivité

Demander une démonstration individuelle

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management