Dans un monde qui se numérise rapidement, encore accéléré par la pandémie de COVID-19, la technologie cloud est devenue une pierre angulaire essentielle pour les entreprises du monde entier. Récemment, l'Autorité monétaire de Singapour (MAS) a introduit une circulaire contenant des lignes directrices sur le cloud public concernant les cyber-risques associés à son adoption, affectant à la fois les secteurs financier et technologique.
L’évolution de la technologie cloud a remodelé le mode de fonctionnement des entreprises auparavant enclavées. Le besoin d’une sécurité renforcée dans le cloud, en particulier dans le secteur des technologies financières étroitement réglementées, qui pourrait avoir des implications considérables, n’a jamais été aussi grand.
Le récent webinaire intitulé «Comment les nouvelles directives MAS sur le cloud public vous impactent», animé par Paul Hadjy, PDG du spécialiste de la cybersécurité Horangi, a réuni des experts du secteur pour faire la lumière sur les lignes directrices mises à jour fixées par l'Autorité monétaire de Singapour (MAS).
Parmi les panélistes figuraient Anand Nirgudkar, directeur technique de la fintech des paiements CardUp et Ivy Young, responsable de la sécurité chez AWS Professional Services, ASEAN.
Cette discussion cruciale, mettant en vedette certains des plus grands experts du secteur, offrant une vision globale du paysage du cloud public en relation avec le lignes directrices établies par le MAS, approfondit ses implications et ce qu'elles signifient pour les organisations.
Exploiter la puissance du cloud
L'omniprésence du cloud ces dernières années n'a pas échappé aux panélistes. Qu'il s'agisse d'assurer une disponibilité 24h/7 et XNUMXj/XNUMX jusqu'à fournir un accès aux données de marché, l'infrastructure cloud est l'épine dorsale de leurs opérations.
Pendant ce temps, Anand, parlant de l'expérience de CardUp, a souligné la philosophie cloud de l'entreprise, soulignant l'adhésion à la norme PCI DSS, les meilleures pratiques architecturales et la croissance régionale comme principaux facteurs de motivation de leur dépendance au cloud.
Le défi de la sécurité du cloud
Malgré les nombreux avantages offerts par la technologie cloud, les défis inhérents qu’elle pose, notamment dans le domaine de la sécurité, sont remarquables. L’un de ces défis est une mauvaise configuration. Anand souligne le dynamisme de la sécurité du cloud et cite le fameux incident de Capital One comme un rappel brutal de la façon dont de simples erreurs de configuration peuvent conduire à des violations importantes.
Cependant, il ne s’agit pas seulement d’une mauvaise configuration. Comme le soulignent les lignes directrices du MAS, la gestion des identités et des accès reste primordiale. Paul a souligné l'importance de mettre en place des contrôles robustes, en particulier en ce qui concerne les pratiques d'intégration et de désintégration.
Réflexion sur le violations récentes des protocoles DeFi Harbor et Exactement dans des attaques distinctes, le panel a rappelé les motivations qui motivent les attaquants. Lorsqu’il y a plus à gagner, l’attention des attaquants est invariablement attirée. Ainsi, même si l’infrastructure cloud offre des avantages inégalés, les enjeux n’ont jamais été aussi élevés.
Le modèle de responsabilité partagée
Un sujet central de discussion centré autour du « modèle de responsabilité partagée ». Ivy Young a fait remarquer : « Quelque chose de fondamental ici, lorsque nous considérons la sécurité, est un modèle de responsabilité partagée. »
Ce modèle met l'accent sur la répartition des responsabilités entre les fournisseurs de cloud et leurs clients. Alors que les fournisseurs de cloud assurent la sécurité du cloud, les clients doivent sécuriser ce qu'ils y mettent, qu'il s'agisse de données ou d'applications.
Ivy a en outre souligné qu'il est essentiel de comprendre le modèle de responsabilité partagée. Cependant, le défi surgit lorsque cette compréhension ne se traduit pas dans les opérations et processus quotidiens. Par conséquent, des erreurs de configuration ou des lacunes en matière de gouvernance pourraient apparaître.
Visibilité dans l'infrastructure cloud
Anand a souligné l'importance de la visibilité dans l'infrastructure cloud. "L'aspect fondamental pour savoir si vous souhaitez sécuriser les données ou empêcher quoi que ce soit est l'aspect visibilité", a-t-il commenté.
Une surveillance complète garantit une prévention, une détection et une gestion efficaces des incidents, adaptées au cloud. Des outils tels qu'Incident Manager d'AWS, Azure Sentinel et d'autres jouent un rôle central en offrant cette visibilité, aidant les organisations à détecter rapidement les erreurs de configuration et à mettre en œuvre des modèles de gouvernance robustes.
Décoder les jargons de la sécurité du cloud
L'évolution rapide de la technologie cloud introduit souvent de nouvelles terminologies et acronymes. Les panélistes ont fait visiter aux participants une visite éclair de celles-ci, en commençant par CWPP (Cloud Workload Protection Platform) jusqu'à CSPP (Cloud Security Posture Management) et enfin CNAPP (Cloud Native Application Protection Platform). Le thème principal de chacun était d’assurer la sécurité et la conformité dans un environnement cloud en évolution rapide.
« Comprenez les principaux cas d'utilisation », a souligné le panel, ajoutant que quel que soit l'acronyme, l'accent doit toujours être mis sur la protection des données, les plans de contrôle et la garantie d'une sécurité solide dans le cloud.
Le défi de la fatigue d’alerte
S’il est essentiel de disposer d’outils en place, Anand a souligné le véritable défi : « la lassitude face aux alertes est réelle ».
Les systèmes de sécurité peuvent inonder les équipes d’alertes, entraînant une perte de concentration sur les menaces réelles au milieu d’un océan de faux positifs. Il est donc crucial non seulement de mettre en œuvre des outils, mais également de s'assurer qu'ils sont conçus pour fournir des informations exploitables sans surcharger le personnel de sécurité.
Plonger dans la circulaire MAS sur l'adoption du cloud
La nouvelle circulaire de l'Autorité monétaire de Singapour sur l'adoption du cloud pour les organisations singapouriennes était le principal point central du webinaire. La circulaire met l'accent sur la migration rapide du secteur des services financiers de Singapour vers les plateformes cloud.
Comme l’a observé Paul Hadjy, même si la circulaire du MAS ne détaille pas tous les acronymes, elle souligne l’importance de mettre en place des solutions, des processus et des stratégies d’atténuation efficaces. L'objectif de la circulaire vise à garantir que les entités réglementées maintiennent les normes les plus élevées en matière de sécurité du cloud.
Comment les directives MAS sur le cloud public impactent les entreprises
Paul a souligné l'importance de comprendre les erreurs de configuration dans le développement du cloud, soulignant la valeur du Directives du cloud public MAS. Il a déclaré : « Les développeurs, sachant en quelque sorte d’où viennent la plupart des erreurs de configuration, peuvent être très influents et importants. » Selon Paul, ces lignes directrices constituent une lecture essentielle pour tous les acteurs du secteur, en particulier ceux impliqués dans les aspects techniques du cloud.
Les panélistes ont mis en lumière les implications plus larges des lignes directrices. Il a souligné l’importance non seulement pour les acteurs actuels de l’industrie mais aussi pour les entrepreneurs en herbe du secteur fintech de se familiariser avec ces lignes directrices.
Parlant de la croissance naissante du secteur des technologies financières, le panel a déclaré : « La dynamique de l'orientation des entreprises est définitivement vers le cloud. » Ils estiment que les investissements devraient être orientés vers les procédures de sécurité du cloud, en soulignant l'importance du travail basé sur le cloud, qu'il s'agisse de la gestion des informations, du flux de travail ou des réclamations.
Ivy, responsable de la sécurité chez AWS Professional Services dans l'ASEAN, a parlé de l'amélioration de la posture de sécurité. Selon elle, les exigences réglementaires ne devraient être considérées que comme un début.
Les entreprises devraient s’efforcer de créer dès le début une culture de la sécurité, car cela leur serait bénéfique à long terme. Elle a mentionné que de nombreuses entreprises considèrent désormais la sécurité comme un outil de vente, une perspective de plus en plus répandue en Asie.
Ivy a énuméré trois étapes initiales permettant aux entités financières réglementées de lancer leur programme de sécurité cloud. La première consiste à aligner les objectifs commerciaux sur les niveaux de maturité en matière de sécurité du cloud.
La seconde consiste à tirer parti des vastes ressources offertes par les fournisseurs de services cloud. Et troisièmement, il est crucial d’établir une visibilité dès le départ pour détecter et traiter les risques en temps opportun.
Anand Nirgudkar, CTO de CardUp, a proposé une vision globale, comparant pour la première fois l'expérience de la migration vers le cloud à des montagnes russes. Il a réitéré l'importance d'un processus de découverte approfondi et de tirer parti de l'aide fournie par les fournisseurs de services cloud.
En outre, Anand a souligné la nécessité de modéliser les menaces et les avantages de créer des « garde-corps » plutôt que des « portes ».
Il a également encouragé la communauté à explorer le Cloud Adoption Framework d'AWS de 2016, qui fournit des conseils complets qui peuvent être bénéfiques, quel que soit le fournisseur de services cloud spécifique que l'on peut utiliser.
Comprendre les piliers de la sécurité du cloud
Le panel a commencé par identifier trois piliers fondamentaux pour un programme de sécurité cloud efficace. Premièrement, la sécurité des terminaux revêt une importance primordiale, en particulier dans les secteurs sensibles aux attaques fréquentes, comme celui des cryptomonnaies.
Deuxièmement, ils ont mis en lumière la prévention des pertes de données (DLP). À mesure que les effectifs se développent et travaillent à distance, les fuites de données sont devenues une préoccupation majeure. Garantir l’accès aux informations cruciales sans compromettre la sécurité grâce à des mécanismes tels que l’authentification unique ou l’authentification à deux facteurs est essentiel.
Le dernier pilier tournait autour de la cyber-hygiène. À mesure que les organisations se développent, il devient indispensable d’inculquer une culture de bonnes pratiques en matière de cybersécurité. S'assurer que les employés, anciens et nouveaux, sont il est essentiel d’être bien informé sur les menaces potentielles.
Transition vers le Cloud : par où commencer ?
Lors de l'examen de la transition vers le cloud, la question « par où commencer » a été abordée par Anand Nirgudkar et Ivy Young. Anand a souligné l'importance de comprendre et de classer les actifs avant de prendre toute décision de migration. Il a préconisé une évaluation basée sur le risque et l’impact commercial associés à la migration potentielle de chaque actif.
Faisant écho à des sentiments similaires, Ivy a souligné l’importance des objectifs commerciaux. Il a été conseillé de commencer par migrer les actifs moins critiques pour acquérir de l'expérience, puis de passer progressivement aux charges de travail plus critiques, favorisant ainsi la confiance et cultivant un environnement d'apprentissage pratique.
Directives MAS sur le cloud public : points à retenir
L’une des questions les plus urgentes concernait les changements apportés par les directives du MAS sur le cloud public. Anand a fourni un résumé articulé des éléments essentiels des lignes directrices.
Il a félicité MAS pour sa circulaire complète, qui aborde des aspects allant de l'introduction de divers modèles de service, aux responsabilités partagées, à la gestion des identités et des accès, aux approches de sécurité de la charge de travail et aux principes de sécurité zéro confiance.
Les directives préconisent également des tests continus, la sécurité des données, la gestion des clés, etc. L’accent mis sur une approche de sécurité basée sur les risques constitue l’épine dorsale de l’ensemble de la circulaire, soulignant l’importance d’une approche équilibrée et pragmatique de la sécurité du cloud.
Le cloud comme impératif commercial
Même si toutes les questions n’ont pas pu être abordées en raison de contraintes de temps, les idées partagées par les panélistes offrent un apprentissage inestimable. Le Webinaire « Comment les nouvelles directives MAS pour le cloud public vous impactent » a souligné à quel point l'adoption et la sécurité du cloud ne sont pas de simples décisions informatiques, mais constituent des impératifs commerciaux essentiels à l'ère numérique d'aujourd'hui.
Si les nouvelles directives MAS introduisent un niveau de complexité supplémentaire, elles ouvrent également la voie à une ère de sécurité, de transparence et de confiance renforcées. Alors que les organisations suivent ces directives, une approche globale, stratégique et proactive de l’adoption et de la sécurité du cloud est non seulement recommandée, mais essentielle.
Regardez le webinaire à la demande à ce lien pour obtenir des informations.
Horangi participera au prochain Singapore Fintech Festival qui aura lieu du 15 au 17 novembre. En savoir plus sur leur participation au stand ici.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/
