Qu'est-ce que la sortie de données ? Entrée et sortie

La définition faussement simple de la sortie des données est "données quittant un réseau". Bien entendu, la surveillance et le contrôle de la sortie des données n'ont jamais été simples. Dans le monde moderne de l'e-commerce, de l'infrastructure informatique hébergée dans le cloud et de la menace croissante des cyberattaques, les professionnels de l'informatique et les chefs d'entreprise doivent avoir une compréhension nuancée de la sortie des données et des coûts et risques de sécurité qui y sont liés.

Les coûts, par exemple, préoccupent les entreprises disposant d'une infrastructure informatique dans le cloud, car les fournisseurs facturent généralement la sortie de données, et ces frais peuvent s'additionner. Les problèmes de sécurité liés à la sortie des données, quant à eux, se concentrent sur des informations précieuses ou sensibles qui peuvent être transmises accidentellement hors du réseau ou volées délibérément par un acteur de la menace qui cherche à mettre l'organisation dans l'embarras ou à obtenir une rançon pour ces données.

La dépendance à l'égard d'Internet et des applications mobiles signifie que la sortie des données et les risques qui y sont liés font partie du quotidien des entreprises. La surveillance de ces flux de données est essentielle pour limiter les menaces financières et de sécurité.

Qu'est-ce que la sortie de données ?

La sortie de données fait référence aux informations qui sortent d'un réseau (par e-mail, interactions avec des sites web ou transferts de fichiers) vers des conteneurs de stockage cloud ou d'autres sources. C'est de cette manière que les organisations modernes communiquent entre elles et avec leurs clients. Au fur et à mesure que les entreprises migrent vers des infrastructures cloud et adoptent des applications SaaS (Software-as-a-Service), elles utilisent également ces services via la sortie et l'entrée de données. En fait, à moins qu'une organisation n'exploite un réseau isolé de niveau militaire qui n'a absolument aucune connexion au-delà de son périmètre, les informations circulent en permanence à l'intérieur et à l'extérieur du réseau.

Avant l'arrivée d'Internet public et du cloud au début des années 1990, les réseaux d'entreprise étaient généralement fermés ou liés uniquement à des réseaux choisis délibérément par une organisation. Ces liaisons étaient assurées par des lignes de réseau privées spécialisées achetées auprès d'opérateurs de télécommunications. À l'époque, les risques posés par la sortie de données étaient entièrement liés à la sécurité, c'est-à-dire au risque de fuite ou de vol d'informations sensibles.

Actuellement, avec la plupart des réseaux d'entreprise exposés à Internet, ces risques de sécurité ont augmenté de manière exponentielle. En outre, un nouveau risque de coût est apparu car les fournisseurs de services cloud facturent la sortie de données, parfois de manière contre-intuitive et surprenante.

Sortie de données et entrée de données

Le concept traditionnel de sortie des données est strictement lié aux données quittant un réseau d'entreprise, tandis que l'entrée de données est généralement considérée comme des données non sollicitées entrant dans un réseau. Lorsque des informations sont envoyées au réseau en réponse à une demande interne, les pare-feu les laissent généralement passer librement. Pour protéger l'organisation, les pare-feu arrêtent généralement les données non sollicitées, sauf si des règles contraires spécifiques ont été établies.

L'économie du cloud complique ce modèle simple. Les fournisseurs de services cloud facturent des frais par gigaoctet pour la sortie de données, mais autorisent généralement l'entrée de données sans frais. De plus, les services cloud ont introduit de nouveaux concepts pour la sortie de données qui, dans la pratique, établissent plus de types de limites de réseau que le périmètre réseau traditionnel de l'entreprise. Par exemple, avec Amazon Web Services (AWS), le trafic sur le même réseau virtuel est souvent mesuré et facturé lors du déplacement entre les zones de disponibilité. Les zones de disponibilité font référence aux centres de données cloud qui se trouvent peut-être dans la même région géographique, mais qui ont, par exemple, des opérateurs réseau et des fournisseurs d'énergie différents, ce qui réduit fortement la probabilité qu'ils tombent en panne en même temps. En répartissant les ressources entre plusieurs zones de disponibilité, les fournisseurs de cloud peuvent limiter l'impact des pannes matérielles, des catastrophes naturelles et des pannes de réseau sur leurs services. Bien que les zones de disponibilité soient positives, les frais de sortie associés peuvent représenter une charge financière importante et imprévue, en particulier lorsqu'une entreprise migre pour la première fois vers le cloud.

En ce qui concerne la surveillance et la sécurité, il est important de profiler à la fois l'entrée et la sortie des données. Alors que le trafic entrant inconnu est généralement bloqué par des pare-feu, le profilage de ce trafic peut fournir des informations utiles sur les menaces pour les équipes de sécurité. En raison de la nature et de la prévalence des pare-feu, la surveillance des entrées est courante. Cependant, beaucoup moins d'entreprises surveillent la sortie des données aussi attentivement. Le pare-feu et la limitation du trafic sortant aux cibles connues peuvent limiter l'impact des attaques et fournir une protection contre les logiciels malveillants.

Points à retenir

• La sortie de données représente un risque de coût pour les clients du cloud et un risque de sécurité pour les organisations.
• Les fuites de données sensibles peuvent entraîner des risques financiers et organisationnels importants.
• Une surveillance attentive de la sortie des données peut aider à gérer et à optimiser les dépenses liées au cloud tout en détectant rapidement les attaques malveillantes.
• Les pare-feu peuvent être configurés pour limiter le trafic entrant et sortant aux emplacements connus et sécurisés.
• Les outils de prévention de la perte de données (DLP) permettent d'identifier et de classer les données sensibles, ainsi que d'appliquer des contrôles supplémentaires pour empêcher la sortie de données non autorisées.

Explication de la sortie de données

La sortie des données est une constante qui doit être gérée avec soin en termes de sécurité et de coût. Par exemple, si une entreprise partage son catalogue de produits sur un site web orienté client, les données doivent quitter le réseau interne sur lequel le catalogue est géré et parcourir Internet pour atteindre le navigateur sur lequel le client consulte le site. Qu'une entreprise partage des données avec des filiales ou des partenaires ou qu'elle interagisse avec des clients via Internet, un certain volume de données quittera toujours le réseau de l'entreprise.

Pour les entreprises qui ont déplacé une partie ou la totalité de leurs infrastructures informatiques vers le cloud, tout déplacement de données peut entraîner des coûts de sortie de données cloud en fonction de leur fournisseur et de la conception de leurs applications.

Au-delà des dépenses, la sortie des données présente également le risque d'exposer des données sensibles à des destinataires non autorisés ou involontaires. Les organisations doivent surveiller les activités malveillantes des acteurs de la menace externes tout en surveillant les attaques internes telles que l'exfiltration de données par des personnes en interne. La protection d'une organisation contre ces attaques nécessite une approche complète qui inclut une conception réseau solide, une surveillance continue et des architectures d'application cloud correctement configurées. En règle générale, les organisations limitent la sortie des données à l'aide de pare-feu, en surveillant le trafic sortant à la recherche d'anomalies ou d'activités malveillantes. Les groupes de sécurité informatique peuvent également prendre des mesures pour limiter les transferts de données volumineux et bloquer des destinations sortantes spécifiques.

Une surveillance efficace nécessite une compréhension approfondie des modèles de trafic normaux et de leurs différences lors d'une attaque ou d'un incident d'exfiltration de données. Elle peut également représenter un véritable défi pour les organisations informatiques. La façon la plus courante de surveiller le trafic de sortie des données est d'examiner et d'analyser les fichiers journaux à la périphérie des réseaux cloud ou sur site. Toutefois, le volume de trafic provenant de ces appareils rend la tâche ardue pour les administrateurs. De nombreuses entreprises utilisent des outils de gestion des informations de sécurité et des événements (SIEM) pour mieux appréhender les menaces. Les outils SIEM incluent généralement des informations sur les modèles de menaces connus, la conformité réglementaire et les mises à jour automatisées pour s'adapter aux nouvelles menaces. Bien que la mise en œuvre de systèmes SIEM ne soit pas un processus simple, elle peut améliorer la compréhension des modèles de sortie des données d'une organisation, permettant aux équipes de sécurité d'identifier les attaques beaucoup plus tôt.

Par exemple, une augmentation soudaine de la sortie de données peut indiquer une attaque d'exfiltration de données, lorsqu'un acteur de la menace exporte de grandes quantités de données vers un hôte ou un service externe. De même, une surveillance et un contrôle minutieux des modèles de sortie des données peuvent aider à identifier les logiciels malveillants présents dans le réseau d'une entreprise et qui tentent d'obtenir des instructions supplémentaires de la part de son réseau de commande et de contrôle. De nombreuses attaques de ransomware modernes tentent d'exfiltrer d'importants volumes de données pour extorquer des fonds à une organisation avant de chiffrer ces données. Les outils tels que le DLP, les systèmes d'analyse du trafic réseau tels que les renifleurs de paquets et l'analyse du comportement des utilisateurs pour détecter les modèles anormaux peuvent aider le service informatique à détecter les exfiltrations. Le filtrage de sortie, où le service informatique surveille le trafic sortant et bloque le trafic considéré comme malveillant, permet également de réduire ces risques.

Au-delà des pare-feu, les organisations utilisent également le logiciel DLP pour se protéger contre l'exfiltration des données. Ces outils utilisent des techniques telles que le catalogage et le balisage des données avec des étiquettes de sensibilité, le chiffrement et l'audit pour empêcher les données sensibles de quitter le réseau.

Menaces liées à la sortie des données cloud

En plus d'augmenter les coûts du cloud, une importante sortie de données peut indiquer plusieurs types de menaces, y compris une attaque d'exfiltration de données par un acteur de la menace ou un malware se déplaçant latéralement au sein d'un réseau d'entreprise via des communications de sous-réseau.

• Frais de sortie de données non limités : les fournisseurs de cloud peuvent facturer la sortie de données par gigaoctet. Les frais varient en fonction du type de service cloud et de la distance de l'emplacement cible par rapport au réseau ou au segment de réseau d'origine. Les frais de sortie de données excédentaires peuvent provenir de plusieurs sources différentes. Les plus courantes sont les mauvaises configurations d'applications qui placent les ressources à fort trafic réseau dans des régions géographiquement éloignées et les systèmes hybrides public-privé dans lesquels les services cloud envoient constamment d'importants volumes de données à des ordinateurs sur site.
• Frais de sortie du service de stockage cloud : les services de stockage cloud sont couramment utilisés pour héberger des ressources de site web, telles que des images ou des documents, et les frais peuvent s'additionner très rapidement. Ces services appliquent deux niveaux de frais de sortie : un ensemble pour les lectures et les écritures vers et depuis le compte de stockage et un autre si ces opérations de lecture traversent des régions ou sont envoyées sur Internet.
• Mauvaises performances des applications : les applications configurées pour envoyer le trafic réseau cloud entre les régions présentent une latence élevée de bout en bout. Bien qu'il ne s'agisse pas d'un problème de sécurité ou de budget à première vue, l'expérience de l'utilisateur n'est pas optimale, ce qui peut avoir un impact sur les revenus.
• Attaques d'exfiltration de données internes : toute personne interne qui tente d'exporter d'importants volumes de données d'entreprise à partir du réseau doit faire l'objet d'une enquête. L'exemple type est celui d'un vendeur mécontent qui exporte une liste de clients d'une base de données de l'entreprise vers une feuille de calcul personnelle.
• Attaques d'exfiltration de données par des acteurs de la menace externes : une tactique fréquemment utilisée par les acteurs de la menace externes consiste à minimiser la possibilité d'une détection précoce en infiltrant un réseau avec des logiciels malveillants bare-bones. Une fois à l'intérieur, le logiciel malveillant peut se connecter à un site de commande et de contrôle externe pour télécharger le logiciel et étendre son attaque ou exfiltrer les données de l'entreprise.
• Transfert de données non chiffrées : lorsque des informations sensibles sont transférées sans chiffrement, elles peuvent potentiellement être interceptées et exploitées par des acteurs malveillants. Cette situation peut entraîner d'importants préjudices financiers ou de réputation pour une organisation.
• Problèmes de résidence et de conformité des données : selon le pays ou le secteur d'activité d'une organisation et la sensibilité de ses données, la sortie de données vers d'autres régions peut poser des risques juridiques et de conformité. Ceux-ci peuvent inclure des problèmes de résidence des données, car certains pays exigent légalement que certains types de données restent à l'intérieur de frontières géographiques spécifiques.

7 bonnes pratiques de sécurité pour la gestion de la sortie des données cloud

Les organisations peuvent atténuer les risques de sécurité liés à la sortie des données de plusieurs manières, telles que la réalignement des services cloud pour limiter le trafic sortant. Les sept bonnes pratiques suivantes sont utilisées par de nombreuses organisations pour mieux contrôler et gérer les risques de sécurité liés à la sortie des données :

1. Utiliser un pare-feu pour contrôler le trafic sortant : la plupart des organisations utilisent des pare-feu pour limiter le trafic entrant. Beaucoup moins utilisent leurs pare-feu pour contrôler le trafic sortant, même pour les réseaux de serveurs où résident les données les plus sensibles. Les administrateurs réseau doivent également contrôler rigoureusement le trafic sortant, renforçant de la sorte les contrôles de surveillance et de sécurité.
2. Créer une stratégie de sortie de données : l'établissement d'une stratégie qui limite l'accès des utilisateurs aux services préapprouvés, en particulier pour les réseaux dans lesquels des données sensibles sont stockées, réduit les possibilités d'attaques d'exfiltration de données.
3. Utiliser le SIEM pour surveiller le trafic réseau : un administrateur de réseau ne peut pas examiner tout le trafic provenant de chaque appareil géré sur un grand réseau. Grâce à l'automatisation alimentée par des règles établies par les administrateurs, le machine learning et les technologies d'IA, un outil SIEM peut aider à identifier les attaques plus tôt et fournir des niveaux de protection supplémentaires.
4. Utiliser le DLP pour catégoriser, étiqueter et protéger les ressources de données sensibles : comme le SIEM, le DLP utilise également le machine learning pour inspecter les données, comprendre leur contexte, les mettre en correspondance avec les stratégies de sortie de données établies et bloquer les transferts de données susceptibles de les enfreindre.
5. Contrôler l'accès aux données sensibles : une fois que les emplacements des ressources de données les plus sensibles ont été identifiés et catalogués via le DLP, les administrateurs réseau peuvent affiner davantage les contrôles d'accès pour ces ensembles de données.
6. Chiffrer les données confidentielles : le chiffrement peut fournir une dernière ligne de défense contre les attaques par exfiltration de données. Si les informations sont chiffrées en transit et au repos, les données resteront illisibles si elles sont exfiltrées sans la clé de chiffrement correcte.
7. Mettre en œuvre un plan de réponse aux incidents : en cas d'attaque ou de violation de données, disposer d'un plan de réponse clairement défini peut accélérer le temps de réponse d'une organisation et augmenter son efficacité. À l'instar d'un plan de reprise après sinistre, un plan de réponse aux incidents doit être approuvé par un cadre et régulièrement testé au moyen d'exercices sur table afin que chacun comprenne son rôle.

Notons que ces pratiques ne constituent pas des solutions ponctuelles distinctes, mais qu'elles dépendent les unes des autres. Par exemple, l'élément de catégorisation des données du DLP et la création d'une stratégie sortante informeraient à la fois les configurations de pare-feu et les paramètres de contrôle d'accès.

Comment réduire les frais de sortie des données cloud

Les frais de sortie de données peuvent entraîner des surprises coûteuses au début du processus de migration vers le cloud. Ces frais doivent donc être contrôlés quotidiennement pour s'assurer qu'ils restent dans les limites du budget et, dans le cas contraire, faire l'objet d'une enquête. Tous les fournisseurs de cloud public prennent en charge les alertes liées aux dépenses, de sorte que les coûts de sortie des données peuvent être surveillés de la même manière que l'utilisation du processeur d'une machine virtuelle. Cependant, la surveillance n'est que la première étape pour réduire le coût de sortie des données cloud. Voici quelques conseils pour réduire les coûts de sortie dans les applications cloud.

• Garder les ressources cloud dans la même région : même si cela peut sembler logique, certains services peuvent être disponibles dans certaines régions cloud et non dans d'autres, ce qui entraîne des déploiements interrégionaux coûteux.
• Réduire les dépenses grâce à la mise en cache : le stockage des données dans des caches en mémoire proches de l'application peut éliminer les allers-retours vers les bases de données et les services de stockage.
• Acheter des lignes privées dédiées : les connexions réseau privées directes offrent des tarifs de transfert de données inférieurs, parfois même un tarif forfaitaire par mois pour une sortie de données illimitée, selon le fournisseur de cloud.
• Utiliser des réseaux de diffusion de contenu (CDN) : de même, les applications peuvent utiliser des CDN pour mettre en cache des ressources web, telles que des images, des documents et des vidéos, plus proches des utilisateurs. En plus de réduire les coûts de sortie des données, l'utilisation d'un CDN entraîne généralement une meilleure expérience de navigation pour les utilisateurs.
• Compresser le trafic réseau dès que possible : la compression des données lorsque le trafic réseau passe d'une région à l'autre ou d'une zone de disponibilité à l'autre permet de réduire les coûts. Par exemple, lors de la réplication d'une base de données occupée vers une autre région pour prendre en charge la reprise après sinistre, les coûts de compression et de décompression des données par le processeur peuvent être bien inférieurs aux coûts potentiels de sortie des données.
• Déployer la déduplication : en particulier pour les processus de sauvegarde, l'utilisation de la déduplication avec la compression peut réduire davantage le volume de données transférées, ce qui réduit les coûts.
• Réarchitecture des applications : la révision des applications existantes pour les rendre natives du cloud peut réduire les coûts de sortie en améliorant l'efficacité de l'utilisation des données.

Bien que ces modifications puissent nécessiter un investissement initial important, elles peuvent en fin de compte réduire les factures cloud récurrentes, ce qui se traduit par un retour sur investissement important sur le coût initial et une meilleure gestion des coûts liés au cloud. Si les frais de sortie des données représentent une grande partie des coûts de cloud de votre organisation, donner la priorité à ces modifications par rapport à d'autres projets d'ingénierie pourrait s'avérer très avantageux.

Réduisez les coûts de sortie des données grâce à Oracle

Les fournisseurs de cloud facturent des montants différents pour la sortie des données. Même avec un seul fournisseur cloud, les modèles de tarification de sortie des données peuvent varier d'un service à l'autre. La réduction de la complexité et du coût global de la sortie des données figurait parmi les principales considérations d'Oracle lors de la création d'Oracle Cloud Infrastructure (OCI). En suivant ces principes dès le départ, Oracle a pu proposer une tarification globale pour plusieurs services cloud et des coûts de sortie des données bien inférieurs à ceux d'autres fournisseurs, notamment Amazon Web Services (AWS) et Google Cloud.

Les tarifs de sortie de données plus faibles d'OCI permettent aux entreprises de déplacer d'importants volumes de données entre les régions cloud, en interne ou auprès de leurs clients. Par exemple, les clients d'OCI en Amérique du Nord et en Europe paieraient 783 $ pour 100 téraoctets (To) de données sortantes vers des sites sur le réseau Internet public, contre environ 8 000 $ pour les utilisateurs d'AWS et de Google Cloud. Les clients qui achètent une ligne privée dédiée OCI FastConnect de 10 gigabits par seconde paient un forfait de 918 $ par mois pour une sortie de données illimitée. En supposant une utilisation de 50 % de cette ligne (1 620 To transférés), le coût équivalent sur une ligne privée AWS Direct Connect serait de 34 020 $.

La tarification de la sortie de données OCI est un facteur de différenciation important pour les organisations qui créent des services cloud nécessitant d'importants volumes de bande passante. Les applications à grande échelle qui tirent parti de ces tarifs comprennent le streaming vidéo en direct, la vidéoconférence et les jeux.

Pour évaluer les coûts de sortie des données et autres coûts liés au cloud de votre organisation en tant que client Oracle Cloud, utilisez l'évaluateur de coûts d'OCI.

La sortie libre des données peut représenter un risque à la fois sécuritaire et financier pour les organisations. Le déploiement d'une application non native ou mal conçue dans le cloud peut entraîner des coûts de sortie des données non contrôlés et une sécurité inadéquate qui expose les organisations à des risques d'exfiltration de données et d'attaques par ransomware.

Par conséquent, la restriction, la fortification et la surveillance du trafic sortant d'un réseau d'entreprise jouent un rôle crucial. Les organisations doivent contrôler où leurs données peuvent se déplacer et rechercher les modèles anormaux. Les bonnes pratiques pour les organisations de sécurité des réseaux comprennent la mise en œuvre d'un plan de réponse aux incidents et l'utilisation des technologies SIEM et DLP. En outre, le choix du fournisseur de cloud adapté à ses besoins et la conception ou la modification de l'architecture des applications en tenant compte des coûts de sortie des données peuvent grandement contribuer au retour sur investissement d'une organisation.

FAQ sur la sortie de données

Quel est le coût de sortie des données ?

En plus du coût des ressources de calcul et de stockage, les fournisseurs de cloud mesurent et facturent également la sortie des données. Bien que ces coûts puissent varier selon le fournisseur, ils sont généralement facturés par gigaoctet pour les données qui circulent entre les régions cloud, les zones de disponibilité ou vers Internet ou les réseaux sur site. Les frais de sortie des données peuvent aussi varier en fonction de l'emplacement cible et du fournisseur de cloud. Ils peuvent être réduits en compressant les données, en exploitant les réseaux de diffusion de contenu et en colocalisant les données pour limiter le trafic interrégional.

Qu'est-ce que la sortie dans le cloud ?

La sortie est définie comme des données qui vont d'un réseau à l'autre, mais le terme prend plus de complexité dans le cadre du cloud. Avec les machines virtuelles et les réseaux, le trafic réseau standard entre les régions cloud ou les zones de disponibilité est considéré comme une sortie de données. De plus, les données qui transitent du cloud vers les réseaux sur site ou Internet sont également mesurées en tant que sortie de données.