Qu'est-ce que le modèle de responsabilité partagée dans le cloud computing ?

Le modèle de responsabilité partagée décrit les obligations de sécurité en précisant les droits et les responsabilités du fournisseur de services cloud et du client. En substance, il clarifie qui est responsable de chaque aspect de la sécurité afin d'assurer une protection efficace de l'environnement cloud. Les spécificités de cette division sont légèrement différentes selon le modèle de service (SaaS, PaaS, IaaS).

Les différences entre les trois modèles incluent :

• SaaS (Logiciel en tant que service) : Le fournisseur gère l'infrastructure sous-jacente, l'application et les données, tandis que le client est responsable de l'accès utilisateur et de la classification des données.
• PaaS (Plateforme en tant que service) : Le fournisseur est responsable du système de support, y compris le service Web, le système d'exploitation, etc., tandis que le client est responsable de toutes les applications et données.
• IaaS (Infrastructure en tant que service) : Le fournisseur contrôle la couche physique tandis que le client contrôle les applications, les systèmes d'exploitation et les données.

Voici les responsabilités détaillées des fournisseurs SaaS :

• Sécurité physique : Protéger les centres de données et le matériel.
• Sécurité du réseau : Protection contre les menaces posées par les accès non autorisés ou les cyberattaques.
• Sécurité des applications : Mise à jour des logiciels pour corriger les faiblesses de sécurité ou les bogues afin de prévenir les violations
• Sécurité des données: Cryptage des données à la fois lorsqu'elles sont stockées et pendant la transmission, et s'assurer qu'il existe des sauvegardes ou une reprise après sinistre.
• Sécurité opérationnelle : Détection des menaces et réponse aux incidents de sécurité.

Le client SaaS doit prendre en compte :

• Sécurité des appareils : Protection de l'appareil utilisé pour accéder à l'application SaaS.
• Gestion des accès : Gestion des limitations appropriées des utilisateurs et de leur capacité à accéder à une application, des procédures de vérification de leur identité et de l'autorisation d'accès à l'application.
• Formation à la sensibilisation à la sécurité : Formation des employés sur les mesures de sécurité et les risques d'hameçonnage.
• Classification des données : Identification des données sensibles et mise en place de mesures pour les protéger.
• Réponse aux incidents : Avoir un plan d'urgence sur la manière dont les menaces de sécurité pourraient être gérées.

Les organisations et les fournisseurs et prestataires de logiciels en tant que service doivent :

1. Examinez régulièrement le fournisseur SaaS documentation et certifications de sécurité: Se renseigner sur leurs pratiques de sécurité et s'assurer qu'elles répondent aux normes de votre organisation.
2. Établir des canaux de communication clairs : Maintenez une communication claire avec votre fournisseur SaaS pour discuter des problèmes de sécurité, signaler tout problème et rester informé des changements de sécurité.
3. Participez à des programmes de sensibilisation à la sécurité : Encouragez vos employés à suivre la formation sur la sécurité fournie par le fournisseur SaaS.
4. Réaliser des évaluations de sécurité conjointes : Collaborer pour identifier et réduire les risques dans l'environnement partagé.
5. Établir un accord de niveau de service (SLA) : Établir les exigences et les devoirs de sécurité dans un document contractuel signé par les deux parties.