En 2020, plus de 1 001 cas de violation de données ont été signalés aux États-Unis seulement. Dans le marché d’aujourd’hui, les données sont désormais l’atout le plus important pour toutes les industries. Il est essentiel de protéger cet actif à tout prix avec une sécurité complète des données, que vous migriez vers le cloud ou que vous entreteniez vos serveurs sur site.
Malheureusement, pendant le processus de migration vers le cloud, il y a des moments où les données sont vulnérables et exposées. Considérez cette étude de cas de la violation de données de Keepnet Lab, où l’entrepreneur a désactivé le pare-feu pendant dix minutes lors de la migration vers ElasticSearch. Cette décision a exposé la base de données à des attaquants qui ont piraté plus de 5 milliards d’enregistrements de données.
Pour empêcher les tentatives de piratage lors de vos propres processus de migration critiques, suivez ces sept étapes et conseils pour améliorer la sécurité des données lors de votre propre migration vers le cloud.
#1 : Évaluer la situation actuelle des données
À moins qu’un problème ne se présente, il est possible de passer des années sans évaluer les données dont vous disposez, qui peuvent être stockées dans plusieurs bases de données. Il se peut qu’il n’y ait pas de différenciations en place pour les données critiques et inutiles qui ont été stockées pendant des années.
C’est pourquoi l’évaluation de vos données est la première étape du processus de migration pour aligner les données dont vous disposez sur les politiques de rétention de vos cadres de gouvernance des données. La migration des données est un processus sensible, et il peut présenter des risques potentiels pour les données de votre entreprise s’il n’est pas traité correctement.
La migration est le bon moment pour effectuer ces évaluations en utilisant une variété d’outils d’évaluation souvent fournis par les fournisseurs de cloud. Utilisez AWS Schema Conversion Tool (AWS SCT) pour créer un rapport d’évaluation de migration de base de données. L’outil de conversion de schéma AWS est conçu pour vous aider à convertir votre schéma de base de données existant d’un moteur de base de données à un autre. Suivez les étapes décrites ici.
#2 : Comprenez votre régime de conformité
Les exigences de conformité varient d’un secteur à l’autre. Des secteurs comme la santé, la finance et le commerce électronique sont très réglementés. Alignez vos contrôles de données en fonction des organismes de réglementation appropriés pour vos opérations stratégiques. Vérifiez ces réglementations appliquées pour éviter toute pénalité ou amende due à des problèmes de conformité, en particulier pendant le processus de migration prévu. Vous devrez peut-être suivre certaines réglementations en matière de transit de données. Par exemple, si votre entreprise opère dans le secteur de la santé, vous devrez vous conformer aux réglementations de conformité HIPAA concernant les transits de données.
Gramm-Leach-Bliley Act travaille pour le secteur financier avec les données sensibles des clients. De même, le Règlement général sur la protection des données (RGPD) traite des entreprises détenant des données de personnes.
#3 : Choisissez les bons outils de sécurité des données
Les bons outils de sécurité des données sont nécessaires pendant le processus de migration. Explorez les ressources de votre fournisseur de cloud pour trouver les outils nécessaires qui pourraient potentiellement vous aider à effectuer une migration sécurisée. De plus, les exigences réglementaires sont extrêmement utiles pour informer les outils de sécurité des données dont vous pourriez avoir besoin pendant la migration. Par exemple, AWS Database Migration Service (DMS) est inclus dans le programme de conformité HIPAA d’AWS. Ainsi, vous pouvez utiliser en toute sécurité AWS Database Migration Service pour déplacer des données entre vos applications conformes à la loi HIPAA, y compris les informations de santé protégées (PHI) dans le cadre de votre contrat d’associé commercial (BAA) signé avec AWS.
Surtout, choisissez toujours le bon outil pour faire le travail. Ne dépensez pas trop en outils inutiles pour accomplir une petite tâche. Il existe une variété de solutions disponibles pour effectuer le même travail en utilisant différents outils. Par conséquent, recherchez toujours une solution mesurable qui a le potentiel de répondre correctement à vos besoins.
#4 : Gérer le personnel autorisé pour l’accès aux données
Le principe du moindre privilège est incontournable dans les processus de migration de données. Les entreprises doivent suivre des protocoles d’accès encore plus stricts lors d’une migration vers le cloud. Seul un personnel spécifique doit avoir accès à toutes les données critiques.
Cette étape est nécessaire pour empêcher tout utilisateur non autorisé en limitant l’accès au seul personnel de confiance au sein de l’organisation qui connaît bien toutes les mesures de sécurité. Surtout, les entreprises doivent intégrer une authentification à deux facteurs ainsi qu’une limitation de l’accès pour assurer une sécurité complète des données.
Une fois votre migration terminée, vous pouvez restaurer tous les privilèges d’accès en toute sécurité tout en garantissant tous les protocoles de sécurité. Limiter l’autorisation pendant le processus de migration est une étape importante pour éloigner les acteurs malveillants des données temporairement exposées.
#5 : Chiffrer les données pendant le transit
La désactivation des pare-feu (comme nous l’avons vu dans le cas de Keepnet Lab) et d’autres étapes risquées lors du transit des données d’un endroit à l’autre peut ouvrir vos données à des vulnérabilités majeures. Même pour un court laps de temps. Ces transits peuvent prendre quelques minutes, mais toute entreprise qui expose sans le savoir ses bases de données est mûre pour les attaques de ceux qui attendent une telle opportunité
Il existe des moyens de faire transiter les données en toute sécurité, comme l’utilisation de contrôles de sécurité réseau et de protocoles réseau cryptés. Ces méthodologies ne permettent à aucun tiers d’intercepter et de voler vos données sensibles.
Dans un environnement cloud, de nombreux fournisseurs de cloud proposent des solutions de type concierge pour assurer une migration rapide et sécurisée des données en suivant des protocoles de sécurité stricts.
#6 : Planifier les activités de déclassement du centre de données restant
De nombreuses organisations peuvent laisser leurs supports physiques ou sur site abondants après la migration vers le cloud en l’absence d’un plan de mise hors service pour tout support stocké. Ayez un état d’esprit clair quant à savoir si vous prévoyez de réutiliser ou de recommercialiser tout équipement matériel actuel. Un plan de démantèlement est utile pour toutes les organisations qui passent au cloud, ce plan comprend une variété d’étapes telles que l’inventaire, la planification, le retrait d’équipement, la désinfection des données, etc. Les organisations peuvent également collaborer avec les fournisseurs de disposition des actifs informatiques (ITAD) pour externaliser leurs processus de déclassement de leurs équipements physiques.
De plus, si vous envisagez de vous appuyer sur le stockage physique dans le cadre d’une infrastructure cloud hybride, assurez-vous de mettre en œuvre un plan de sécurité complet pour votre architecture sur site et cloud.
#7 : Effacez stratégiquement les disques de données restants
L’effacement des disques de données restants fait partie de vos activités de déclassement prévues, mais cela vaut la peine d’accorder une attention particulière au processus. La disposition de vos actifs informatiques peut vous aider dans cette phase à effacer tous vos disques de données restants. Décidez si vos données restantes doivent être transportées hors site pour être désinfectées, ou demandez si vos entreprises ITAD peuvent proposer un plan de désinfection des données.
Vérifiez les flux de travail de vos entreprises ITAD partenaires pour vous assurer qu’elles utilisent des protocoles sûrs pour la désinfection des données et d’autres processus de déclassement. Si votre entreprise ITAD gère ses processus d’effacement des données avec soin, vous n’avez pas à vous soucier de vos activités de déclassement.
Sommaire
La migration vers le cloud est un processus complexe et peut vous exposer à des vulnérabilités sans plan de sécurité des données en place. L’entreprise inconsciente peut exposer ses données pendant la migration avec des protocoles de sécurité des données médiocres, laissant ses bases de données vulnérables pendant tout le processus de migration. Cela permet aux pirates de pénétrer et de violer facilement toutes les données précieuses sans faire face à aucune restriction de sécurité.
Restez vigilant et suivez les meilleures pratiques décrites ci-dessus pour améliorer la sécurité des données et vous assurer que le principal actif de votre entreprise n’est pas protégé à aucune étape du processus de migration vers le cloud.