Guide technologique

Guide sur la sécurité informatique continue

La sécurité informatique et la cybersécurité doivent être continues et intégrées. Comment faire pour y parvenir ? Nous avons plusieurs idées à vous proposer, sachant qu'elles ne doivent pas être considérées comme les étapes d'un processus linéaire ni comme des mesures à mettre en place séparément. Considérez-les plutôt comme des engrenages qui s'entraînent les uns les autres, aucun ne pouvant tourner seul. Tous les éléments d'un plan de sécurité doivent évoluer de manière synchronisée.

Security guide diagram

Conception

Dès la conception, il faut penser à la sécurité.

Concevez des workflows qui imposent à vos équipes d'utiliser des processus collaboratifs et responsables afin de définir et mettre en œuvre la sécurité dans le cycle de vie informatique. Si vous utilisez des technologies associées à des environnements hautement connectés (tels que le cloud), sachez qu'un fournisseur externe se charge sûrement d'une part du contrôle.

Voici quelques questions à aborder avec votre équipe : quels types de contrôles et de processus de sécurité sont requis pour votre environnement ? Comment travaillerez-vous avec vos fournisseurs ? Comment assurerez-vous la bonne communication des principales décisions relatives à la sécurité entre les équipes ?

Design phase of security

Premiers pas :

  • Définir les exigences et les systèmes de contrôle en matière de sécurité
  • Développer des processus de sécurité de façon collaborative
  • Tenir les équipes informées des dernières normes de sécurité en vigueur
  • Adopter des méthodes de communication claires afin de pouvoir appliquer des solutions de façon aussi simultanée que possible dans l'ensemble du cycle de vie informatique en cas de problème
  • Sélectionner des fournisseurs de confiance et délimiter clairement l'étendue et les limites de leurs responsabilités

Création

Intégrez la sécurité dès la création grâce à l'automatisation

L'approche DevOps exploite l'automatisation pour mettre en place un flux de feedback continu dans toutes les phases du cycle de vie de l'application. Intégrer la sécurité revient à adopter ce principe, même si votre entreprise n'applique pas systématiquement l'approche DevOps. L'automatisation des vérifications et des processus de sécurité offre plusieurs avantages : elle évite les duplications et réduit le nombre d'erreurs humaines, elle donne accès à un tableau de bord centralisé qui facilite la prise de décisions, et elle accélère la détection des menaces et la prise de mesures pour y faire face. Vous pouvez également utiliser l'automatisation pour mettre en place des systèmes de verrouillage qui bloqueront automatiquement tout déploiement en cas de détection d'anomalie lors d'une vérification de sécurité.

Malgré cela, de fausses alertes et des menaces internes peuvent toujours se présenter. L'automatisation doit être gérée de manière à répondre aux besoins spécifiques de vos équipes. Lors de l'intégration de la sécurité dans votre infrastructure, vos applications et vos processus, veillez à ce que des systèmes de contrôle soient prévus pour éviter les modifications et les accès non autorisés. Utilisez le chiffrement dans toute situation qui le permet.

Build phase of security

Premiers pas :

  • Automatiser et intégrer les tests de la sécurité dans les processus de création et de déploiement
  • Utiliser des systèmes de verrouillage pour déclencher des actions appropriées, qu'il s'agisse de poursuivre ou de bloquer un déploiement
  • Utiliser des algorithmes et des interfaces cryptographiques
  • Choisir une infrastructure dotée de capacités de journalisation et de surveillance

Exécution

Exécutez vos applications sur des plateformes à la sécurité renforcée

Les modèles traditionnels de sécurité qui reposent sur des processus manuels ne sont pas compatibles avec les besoins des nouvelles technologies distribuées telles que le cloud. Ces technologies et les outils et processus sous-jacents dépendent énormément de l'automatisation. Que vous exploitiez un environnement physique, virtuel, de cloud privé ou public, assurez-vous que votre infrastructure comporte des plateformes à la sécurité renforcée aptes à protéger vos données et partagées par l'ensemble de vos environnements.

Run phase of security

Premiers pas :

  • Automatiser et intégrer les tests de la sécurité dans les processus de création et de déploiement
  • Les plateformes d'infrastructure doivent être intégrées, faciles à utiliser et homogènes, quelles que soient les architectures. Elles doivent aussi pouvoir prendre en charge des processus très variés.

Gestion

Gérez les configurations, les utilisateurs et les accès

N'oubliez pas d'investir dans les outils de gestion nécessaires pour assurer l'automatisation des modifications, des audits et des corrections de la configuration de la sécurité. L'attribution rapide de rôles adaptés à vos besoins de sécurité spécifiques vous aidera à assurer la résilience de votre environnement de sécurité. Veillez à réserver l'attribution de privilèges aux personnes qui en ont besoin dans leur rôle. Vous attribuez probablement ces privilèges lorsqu'un nouvel employé intègre votre entreprise, mais n'oubliez pas de mettre à jour régulièrement les données utilisateur, en particulier en cas de départ d'un employé.

Voici quelques points à garder à l'esprit : avez-vous mis en place des outils pour analyser d'éventuels incidents et y remédier ? Comment utiliserez-vous l'automatisation pour appliquer les politiques de conformité réglementaire et effectuer les audits et corrections nécessaires automatiquement pour toutes vos charges de travail ?

Manage phase of security

Premiers pas :

  • Tenir à jour un catalogue des ressources et surveiller la consultation et l'utilisation
  • Déployer une solution de gestion pour une sécurité continue et proactive qui couvre toute l'infrastructure (physique, virtuelle, de cloud privé ou public)
  • Gérer activement les utilisateurs et les accès à l'aide d'un tableau de bord qui offre une visibilité sur toutes les phases du cycle de vie informatique
  • Définir des profils de sécurité qui incluent les systèmes de contrôle de sécurité requis
  • Automatiser l'application de ces profils de sécurité
  • S'assurer que le code de l'infrastructure et de la sécurité est disponible, pour avoir une infrastructure qui peut être dupliquée, partagée et vérifiée et pour faciliter la réalisation des audits de conformité

Adaptation

Adaptez-vous aux évolutions de l'environnement

L'univers de la sécurité change rapidement. Prévoyez des révisions régulières en fonction des modifications de gouvernance effectuées en parallèle et des exigences relatives aux audits. Sachez où trouver les alertes et conseils relatifs à la sécurité et utilisez ces informations pour réagir de façon appropriée. Même avec d'excellents plans de sécurité, de nouveaux vecteurs d'attaque sont régulièrement découverts. L'un des meilleurs moyens de protéger votre entreprise consiste à déployer une réponse rapide en cas de menace. Et pour que votre entreprise ne perde pas pied, il est très important de pouvoir bénéficier des conseils d'un partenaire qui vous assiste dans les correctifs, la résolution des problèmes et la récupération.

Adapt phase of security

Premiers pas :

  • Utiliser les analyses et l'automatisation pour s'adapter en procédant aux révisions, aux mises à jour et aux corrections rendues nécessaires par l'évolution de l'environnement
  • Mettre à jour les paramètres d'accès au fil des changements de rôles et de responsabilités
  • Appliquer sans retard les obligations relatives à la gouvernance et aux audits
  • Réviser et mettre à jour les politiques et la gouvernance lorsque l'environnement évolue

Ressources sur la sécurité

Développeurs

Programme Red Hat Developer

Maîtrisez la programmation sécurisée avec le programme Red Hat Developer.

Formation

Sécurité Red Hat : Linux dans des environnements physiques, virtuels et cloud (RH415)

Apprenez à gérer les risques liés à la sécurité et à respecter les exigences de conformité en utilisant nos solutions de sécurité.

Assistance

Gestion de compte technique

Faites appel à un conseiller technique pour bénéficier d'évaluations des risques et de vérifications de compatibilité.

En savoir plus sur l'approche de Red Hat en matière de sécurité