imswebs

Utiliser des effectifs informatiques accrus pour renforcer la sécurité et...

Cybersecurité

Utiliser des effectifs informatiques accrus pour renforcer la sécurité et la conformité du cloud

3views
0

L’adoption du cloud continue de croître, tout comme les gros titres concernant les dépôts exposés, les jetons détournés et les amendes réglementaires. L’écart entre la vitesse à laquelle les unités commerciales génèrent de nouvelles charges de travail cloud et la vitesse à laquelle les équipes de sécurité peuvent embaucher, former et retenir les talents n’a jamais été aussi grande.

Selon TechRadar, 83 % des organisations ont subi au moins une violation du cloud au cours des 18 mois précédents. Les responsables de la sécurité ne manquent ni de motivation ni d’outils ; Ils manquent de personnes suffisamment formées, occupant les bonnes places au bon moment.

Entrez dans l'augmentation du personnel informatique : la pratique consistant à faire appel à des spécialistes externes au sein de votre organisation de sécurité existante pour une période déterminée, selon vos conditions et selon vos processus. Lorsqu'il est exécuté délibérément, un module augmenté peut fournir des ingénieurs cloud experts demain au lieu de quatre trimestres d'ici, combler les lacunes de couverture chroniques et aider votre équipe interne à développer une posture de conformité durable.

Pourquoi le déficit de compétences en matière de sécurité du cloud refuse de se combler

La technologie dépasse la formation. Kubernetes gérés, environnements d'exécution sans serveur, pipelines d'IA et plates-formes low-code : chaque version oblige les architectes de sécurité à repenser les modèles de menaces et les contrôles de conformité. Ensuite, les responsables du recrutement doivent localiser les personnes capables de sécuriser ces plateformes et de parler le langage de la gouvernance et du risque. L'offre n'est tout simplement pas tenue à jour :

  • La demande continue d’augmenter. Gartner estime que les offres d'emploi en sécurité cloud augmenteront de 15 % d'une année sur l'autre en 2025.
  • L'usure reste élevée. Les ingénieurs cloud expérimentés sont quotidiennement courtisés par les fintechs, les sociétés SaaS et les cabinets de conseil, ce qui augmente les attentes salariales.
  • Les diplômes sont en retard par rapport à la réalité. Même les programmes de certification respectés sont en retard de 12 à 18 mois par rapport aux fonctionnalités de pointe.

Pendant ce temps, les régulateurs taillent leurs crayons. En 2024, l’Autorité bancaire européenne a commencé à exiger des banques utilisant le cloud qu’elles démontrent une « conformité continue en matière de surveillance », et pas seulement des instantanés d’audits annuels. Un langage similaire apparaît dans les règles de la SEC des États-Unis sur les délais de divulgation des incidents. Ce qui était autrefois un objectif de « meilleurs efforts » est rapidement devenu un mandat au niveau du conseil d’administration.

Utiliser des effectifs informatiques accrus pour renforcer la sécurité et la conformité du cloud

La cible mouvante de la responsabilité partagée

Les diagrammes de responsabilité partagée des fournisseurs de cloud sont utiles, mais ce ne sont pas des contrats. AWS GuardDuty peut identifier les anomalies IAM, mais ne rejettera pas une stratégie dont la portée est incorrecte. Azure Policy peut appliquer le chiffrement, mais pas si vous n’avez jamais écrit la stratégie. Les conteneurs, les maillages de services, les lacs de données et les principales API des modèles d'IA brouillent les lignes chaque trimestre.

La cible étant en constante évolution, les équipes de sécurité ont besoin de deux types de personnes à la fois : des architectes expérimentés capables de concevoir des contrôles et du personnel de première ligne capable de les ajuster quotidiennement. C'est là que la bonne entreprise de recrutement de personnel informatique devient stratégique plutôt que tactique.

Où l’augmentation du personnel s’intègre-t-elle dans le manuel de sécurité du cloud

L’augmentation du personnel est souvent combinée à l’externalisation, mais elles résolvent des problèmes différents. L'externalisation signifie : « Enlevez toute cette fonction de mes épaules ». L'augmentation dit : « Prêtez-moi plus de mains pendant que je reste aux commandes. » Pour la sécurité et la conformité, cette distinction est importante. La plupart des RSSI ne souhaitent pas confier les clés à un tiers ; Ils veulent plus de conducteurs dans la voiture.

Bien réalisée, l’augmentation offre trois avantages uniques :

  1. Temps d'impact. Vous pouvez intégrer un ingénieur cloud IR (réponse aux incidents) en deux semaines au lieu du cycle de recrutement de quatre à six mois.
  2. Expérience élastique. Augmentez les ressources lors d'un audit, d'une migration ou d'une lutte zero-day, puis réduisez-les.
  3. Transfert de compétences. Des experts tiers travaillent avec vos analystes, laissant derrière eux des guides, des modules Terraform et des garde-corps automatisés qui restent après la fin du contrat.

Comparez cela aux missions de conseil pur (idéales pour le conseil, peu d’exécution en ligne) ou aux services de sécurité gérés traditionnels (excellents pour la surveillance permanente, moins flexibles pour les projets internes nuancés). L’augmentation occupe le juste milieu.

Création d'un module de sécurité cloud augmenté

La façon la plus simple d’envisager l’augmentation du personnel est de constituer un groupe pré-assemblé : un mélange de rôles calibrés en fonction de votre carnet de commandes, de votre culture et de votre niveau de maturité. Un modèle courant ressemble à ceci :

  • 1 architecte de sécurité cloud
  • 2 x ingénieurs plateforme de sécurité/devops
  • 1 analyste conformité
  • Facultatif : chef de projet à temps partiel pour maintenir des délais honnêtes.

Avant d’échanger des curriculum vitae, répondez à quatre questions sur la portée :

  1. Quel problème résolvons-nous ? Exemple : “Nous avons besoin d'une couverture 24h/24 et 7j/7 pour les vulnérabilités critiques des conteneurs au cours des six prochains mois.”
  2. Quels systèmes, données et domaines le pod doit-il toucher ? S'agit-il uniquement d'AWS ou également d'Azure DevOps et de GCP BigQuery ?
  3. Comment les performances seront-elles mesurées ? Délai moyen de remédiation (MTTR) inférieur à 48 heures ? Avez-vous réussi l'audit SOC 2 Type 2 avant le troisième trimestre ?
  4. Quelles normes culturelles les entrepreneurs doivent-ils respecter ? Étiquette décontractée, approbations de contrôle des modifications et style de documentation.

Une fois la portée définie, revenez à la composition du groupe. Résistez à la tentation d’exagérer votre expertise en matière d’outils. Un professionnel qui comprend la modélisation des menaces et les pipelines IaC (infrastructure as code) apprendra Tool X plus rapidement que quelqu'un qui a simplement mémorisé son interface utilisateur.

Favoriser la productivité dès le premier jour

Même les ingénieurs vedettes trébuchent sans contexte clair. Fournir:

  1. Plans d'accès : de quels référentiels, consoles et secrets ils ont besoin.
  2. Bibliothèques de contrôle : le catalogue actuel des politiques, y compris les lacunes.
  3. Rituels de communication : Stand-ups quotidiens, revues de risques hebdomadaires, cadences rétro.

Associez chaque ingénieur qualifié à un « copain » interne pour les aider à naviguer dans les caprices de l’organisation. Le partenaire remporte le tutorat ; l'entrepreneur gagne en vitesse.

6be28502-d117-4fbc-9773-cae0fb3bd656

Accélérer la conformité grâce à des talents externes

Réussir les audits n’est pas le but ; La véritable tâche est de conserver les preuves entre les audits. Les sociétés de recrutement en informatique brillent ici car elles peuvent recruter des auditeurs devenus opérateurs qui parlent à la fois Kubernetes et l'Annexe A.

Prenons par exemple le sujet brûlant de la surveillance continue des contrôles (CCM). Au lieu de feuilles de calcul, CCM attend des signaux en temps quasi réel : état de chiffrement, dérive des moindres privilèges, application de l’AMF et limites de résidence des données. Le déploiement CCM s'arrête souvent parce que les ingénieurs en sécurité ne peuvent pas mapper le langage de contrôle aux API cloud ou parce que les analystes de conformité ne peuvent pas lire CloudTrail. Un module augmenté combinant les deux élimine la taxe de traduction.

Prenons trois domaines problématiques en matière de conformité et la manière dont le personnel augmenté y répond :

  • Cartographie de contrôle. Terraform est écrit par des ingénieurs et des balises sont attachées aux ressources, les analystes aux identifiants NIST 800-53, qui sont traçables.
  • La preuve sous forme de code. Les experts DevSecOps disposent de pipelines qui collectent automatiquement les artefacts d'audit (politique JSON, différences IAM), réduisant ainsi le temps de préparation d'un facteur quatre.
  • Surveillance réglementaire. Les analystes contractuels suivent les changements de règles à venir (par exemple, la divulgation des incidents SEC 2026) et mettent à jour les matrices de contrôle, évitant ainsi aux équipes internes le fardeau de l'enquête.

Le rapport IBM sur le coût d'une violation de données pour 2025 évalue le prix moyen à 4,44 millions de dollars et note que « les organisations dotées d'un CCM mature réduisent ce coût de 23 % ». Les talents externes accélèrent cette courbe de maturité sans multiplier les effectifs permanents.

Modèle de gouvernance et KPI pour les équipes augmentées

L’augmentation échoue lorsque tout le monde suppose que quelqu’un d’autre dirige. Évitez ce piège en formalisant un modèle de gouvernance.

  • RACI au niveau sprint. Pour chaque élément du backlog, indiquez qui est responsable, qui est responsable, qui consulte et qui est informé. Le « A » doit rester entre les mains d’un leader interne, même si les clés peuvent être confiées à un entrepreneur.
  • Des SLA qui donnent la priorité à la sécurité. Les exemples incluent le MTTR pour les vulnérabilités critiques du cloud, le pourcentage de piles IaC sous politique en tant que code et la mise à jour des preuves de conformité (
  • Livrables du plan de sortie. Avant la facture finale, l'espace doit fournir des runbooks, des pages wiki et des sessions de démonstration mis à jour. Rendez-le explicite dès le début.

Les tableaux sont importants, mais les conversations dans les couloirs le sont encore plus. Encouragez les entrepreneurs à démontrer leurs réalisations lors de réunions publiques et à contribuer aux guildes d’architectes internes. La visibilité renforce la confiance et réduit les frictions entre « nous et eux ».

boîte à outils de cybersécurité (3) (1)



Source link

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in