Alors que je marchais dans les couloirs de l’immense Boston Convention Center cette semaine pour AWS re:Inforce, l’événement annuel sur la sécurité de la division, j’ai parlé à un certain nombre de fournisseurs, et un thème était clair : la sécurité du cloud est vraiment une responsabilité partagée.
Cette idée existe depuis un certain temps, mais elle a particulièrement touché la maison cette semaine alors que j’écoutais divers responsables de la sécurité d’AWS en parler lors du discours d’ouverture de l’événement et à travers les conversations que j’ai eues au cours de la semaine.
À un niveau très élevé, le fournisseur de cloud a le premier niveau de responsabilité en matière de sécurité. Il doit s’assurer que les centres de données qu’il gère sont sécurisés dans la mesure où il est sous son contrôle. Pourtant, à un moment donné, il y a une zone grise entre l’entreprise et le client. Bien sûr, le fournisseur peut sécuriser le centre de données, mais cela ne peut pas empêcher le client de laisser un compartiment S3 exposé, quelle qu’en soit la raison.
La sécurité est une entreprise si complexe qu’aucune entité ne peut être responsable de la sécurité d’un système, en particulier lorsqu’une erreur de l’utilisateur à n’importe quel niveau peut rendre un système vulnérable aux pirates intelligents. Il doit y avoir des canaux de communication à tous les niveaux de l’organisation, avec les clients et avec les tiers concernés.
Lorsqu’un événement externe comme la vulnérabilité Log4J ou l’exploit Solarwinds affecte l’ensemble de la communauté, ce n’est pas le problème d’un seul fournisseur. C’est le problème de tout le monde.
L’idée est que tout le monde doit communiquer lorsque des problèmes surgissent, partager les meilleures pratiques et se rassembler en tant que communauté dans la mesure du possible pour prévenir ou atténuer les événements de sécurité.