Dans la dernière décennie, des millions d’organisations de tous les secteurs partout au monde ont migré une partie ou la totalité de leurs activités commerciales vers le nuage. Ceci est une réaction directe au besoin de s’adapter à un monde de plus en plus numérisé, où les utilisateurs et les clients dépendent largement des technologies en ligne pour obtenir des produits et services. Cependant, cette transformation numérique pose des défis particuliers en matière de sécurité, et ceux-ci requièrent une expertise spéciale et une excellente compréhension des environnements infonuagiques.
Dans ce contexte, la demande en matière de professionnel·les qualifié·es en sécurité infonuagique n’a jamais été aussi forte. Les organisations ont besoin d’une solide protection infonuagique qui leur permet de fonctionner efficacement et en toute sécurité, sans que les données des utilisateurs, les informations commerciales confidentielles et leurs actifs économiques soient mis en danger. Des équipes de sécurité infonuagique sont donc devenues indispensables aux organisations de toutes tailles.
Comprendre le défi de la sécurité infonuagique
L’un des principaux défis que doivent relever les organisations en ce qui concerne la mise en Å“uvre de solutions infonuagiques est une mauvaise compréhension des responsabilités en matière de sécurité infonuagique. Pierre Defoy, directeur principal de la sécurité et OPSI chez FX Innovation, a collaboré avec l’ÉÉP de 9IÖÆ×÷³§Ãâ·Ñ au développement du microprogramme en sécurité infonuagique; il nous explique cet obstacle majeur : « Il existe une fausse idée selon laquelle les environnements infonuagiques sont sécurisés par leurs fournisseurs, à savoir Microsoft, AWS, Google et les autres. Cela est partiellement vrai. Ils sont chargés de la sécurisation de l’infrastructure sous-jacente, des centres de données, des serveurs physiques, des réseaux, du stockage, etc. Mais la responsabilité de sécuriser ce qui est déployé sur cette infrastructure sous-jacente revient au client. (...) lorsque vous déployez un compte de stockage à accès public, il demeure vulnérable. Vous devez configurer les ressources que vous déployez de manière sécuritaire. »
Dans le cadre complexe de cette responsabilité partagée en matière de sécurité, les organisations doivent bien comprendre ce qu’elles doivent faire pour protéger leurs déploiements infonuagiques. Comme le souligne Nicandro Scarabeo, qui est chargé de cours à l’ÉÉP et a contribué à la création du programme : « En l’absence d’une structure de gouvernance claire pour encadrer les politiques de sécurité, les équipes finissent souvent par créer des risques, soit par accident, soit parce qu’elles trouvent le processus de sécurité trop lent ou trop restrictif. Dans le domaine de la conformité, les équipes de sécurité, en particulier celles dirigées par des OPSI, se perdent parfois dans le modèle de responsabilité partagée des fournisseurs infonuagiques. »
Bonnes pratiques en sécurité infonuagique
Pour relever ces défis, les organisations doivent appliquer des mesures de sécurité exhaustives dès le départ. « La sécurité commence dès la phase de conception », souligne M. Defoy. Il recommande de suivre les cadres et les directives du secteur : « Pendant la phase de conception, le fait d’appliquer de bonnes pratiques (p. ex. le cadre Well-Architected et les références du Center for Internet Security [CIS]) améliorera considérablement la posture de sécurité de base de l’environnement infonuagique qui sera créé. »
Mehdi Lahjomri, un autre chargé de cours de l’ÉÉP travaillant au sein du programme de micro-accréditation, met l’accent sur une approche fondamentale : « Il faut automatiser, automatiser et encore automatiser. Les organisations doivent utiliser des outils et des solutions d’automatisation et appliquer l’Infrastructure as Code (IaC) afin d’assurer la cohérence des configurations. Sinon, elles perdront le contrôle de leur environnement infonuagique. »
Parmi les bonnes pratiques visant à créer un système de sécurité infonuagique efficace et durable, on retrouve celle-ci :
- Examiner régulièrement l’architecture de sécurité et obtenir des évaluations par des tiers;
- Utiliser des outils de gestion de posture de sécurité infonuagique (CSPM) pour obtenir une meilleure visibilité;
- Surveiller les configurations de sécurité en permanence; et
- Effectuer régulièrement des audits et des mises à jour de sécurité.
Habiletés recherchées et évolution des rôles
Le marché de l’emploi dans le domaine de la sécurité infonuagique évolue rapidement. Les organisations recherchent des professionnels capables de concilier la rapidité du développement technologique et les défis croissants en matière de sécurité. Selon Pierre Defoy, le secteur est en train de passer d’un modèle de développement et d’exploitation traditionnel (DevOps) à un modèle de développement et d’exploitation sécuritaire (DevSecOps), dans lequel la sécurité est un aspect fondamental du développement infonuagique. Pierre Defoy nous explique que dans le cadre de cette évolution, les développeurs ont besoin de pleinement comprendre les défis en matière de sécurité infonuagique et leurs solutions.
Nicandro Scarabeo ajoute : « À l’heure actuelle, l’un des plus grands défis en matière de sécurité infonuagique consiste à rapprocher les équipes de sécurité et les développeurs. La solution parfaite serait de trouver des « licornes », c’est-à -dire des professionnel·les de la sécurité qui connaissent parfaitement leur domaine mais qui ont aussi de l’expérience pratique en création d’applications ou de pipelines. »
Les rôles suivants sont très recherchés dans le domaine de la sécurité infonuagique :
- Spécialistes de la sécurité ayant de l’expertise en plateformes infonuagiques
- Architectes de la sécurité connaissant bien les différents environnements infonuagiques
- Professionnel·les du développement et de l’exploitation sécuritaire (DevSecOps) capables d’intégrer les principes de sécurité aux pipelines de développement
- Spécialistes de la gestion des identités et de l’accès, de la protection des données et de la sécurité des réseaux infonuagiques
Ìý
Combler les lacunes en matière d’habiletés : le microprogramme en sécurité infonuagique de l’Université 9IÖÆ×÷³§Ãâ·Ñ
Pour répondre au besoin croissant de professionnel·les qualifié·es en sécurité infonuagique, l’École d’éducation permanente de l’Université 9IÖÆ×÷³§Ãâ·Ñ a récemment créé un microprogramme en sécurité infonuagique spécialisé. Ce microprogramme novateur a vu le jour grâce à la collaboration de chefs de file du secteur, tels que FX Innovation, et doit en partie son existence au soutien du (CNC) et du gouvernement du Canada (), qui veillent à ce que le programme d’enseignement soit conforme aux normes et aux besoins réels du secteur.
Ken Barker, PhD, directeur scientifique du CNC, souligne l’importance du programme : « Le programme de financement du CNC soutient des projets qui facilitent la collaboration intersectorielle, stimulent la croissance économique et font progresser des technologies qui protègent les Canadien·nes. Nous sommes fiers de soutenir le microprogramme en sécurité infonuagique de l’Université 9IÖÆ×÷³§Ãâ·Ñ, car celui-ci réalise ces objectifs en offrant des occasions de reconversion et de perfectionnement dans un domaine de la cybersécurité où les besoins en professionnel·les qualifié·es sont en croissance. »
« En tant que fournisseur de services de sécurité infonuagique gérés ayant une grande expérience des pratiques de sécurité, nous travaillons au sein d’environnements variés dans de multiples secteurs verticaux », nous dit M. Defoy pour expliquer pourquoi la contribution de FX Innovation à la création de ce microprogramme est essentielle. « Cette expertise nous permet de bien comprendre ce qui est nécessaire pour déployer et maintenir une solution infonuagique sécurisée. »
Le microprogramme est spécialement conçu pour aider les professionnels à évoluer vers des postes de sécurité infonuagique ou à progresser dans leur carrière actuelle. « Le microprogramme en sécurité infonuagique de l’Université 9IÖÆ×÷³§Ãâ·Ñ est conçu pour combler les lacunes et mener les professionnels des technologies de l’information vers le domaine de la sécurité, plus précisément celui de la sécurité infonuagique », explique Defoy. « Comme nous vivons un grand changement de paradigme par rapport à la sécurité traditionnelle, ces professionnels pourront acquérir les connaissances et l’expertise nécessaires pour créer des environnements infonuagiques sécurisés mais aussi pour les maintenir et garantir la continuité de leur posture de sécurité. »
Regard vers l’avenir
La sécurité infonuagique continue d’évoluer à mesure que les organisations sont confrontées à des menaces et à des exigences réglementaires plus sophistiquées. Les professionnel·les de la sécurité infonuagique qui peuvent comprendre et relever efficacement ces défis tout en appliquant de solides mesures de sécurité seront très recherché·es par des organisations du Canada et du monde entier.
En offrant une formation pratique et un enseignement adapté au secteur, des programmes tels que le microprogramme en sécurité infonuagique de l’Université 9IÖÆ×÷³§Ãâ·Ñ contribuent à former la prochaine génération de professionnel·les de la sécurité infonuagique. Les participant·es à ce microprogramme acquerront une compréhension concrète des tâches et des activités essentielles en matière de sécurité, comme la traque des menaces, la cryptographie de la sécurité infonuagique, la confidentialité des données, le contrôle des accès et les systèmes de détection d’intrusion, ce qui les aidera à réussir dans ce domaine dynamique.
Pour les organisations comme pour les professionnel·les, le fait d’investir dans l’expertise en sécurité infonuagique ne consiste pas seulement à répondre aux besoins actuels, mais aussi à se préparer à un avenir où l’infonuagique jouera un rôle encore plus important dans les activités commerciales. Grâce à une formation spécialisée et à de l’expérience pratique, les professionnel·les peuvent se placer à la fine pointe de ce domaine en pleine croissance tout en aidant les organisations à maintenir de solides processus de sécurité dans leurs environnements infonuagiques.