sécurité cloud astuces mesures précautions services logiciels entreprises

Sécurité Cloud : Les meilleurs logiciels et pratiques à adopter

Bastien L. 12 janvier 2017 6 minutes de lecture Cloud computing, Sécurité, Solutions Cloud

Malgré les progrès effectués dans le domaine du computing, il existe encore de nombreux problèmes relatifs à la sécurité cloud. En adoptant certaines pratiques, le cloud demeure toutefois l'option informatique la plus fiable pour les entreprises. Voici les meilleurs logiciels et pratiques à adopter pour la sécurité cloud. 

9 menaces redoutables pour la sécurité cloud

Les fuites de données

La sécurité absolue n'existe pas. Des fuites de données peuvent survenir au sein des machines virtuelles, et les informations personnelles des clients ou les données confidentielles de l'entreprise peuvent ainsi être dérobées. Il est possible pour un utilisateur de machine virtuelle d'écouter l'activité signalant l'arrivée d'une clé de chiffrement sur une autre VM du même hôte. Jusqu'à présent toutefois, cette technique n'a jamais été utilisée pour les principales fuites de données.

Malgré tout, cette perspective dissuade de nombreuses entreprises d'adopter le cloud computing. Malheureusement, les mesures pour empêcher les fuites ou le vol de données peuvent exacerber ces menaces. Par exemple, le chiffrement protège les données du vol, mais la perte de la clé de chiffrement entraîne une perte irrémédiable de données. De même, les copies régulières permettent d'empêcher la perte de données, mais les exposent à des vols.

Les pertes de données

Une fuite de données est généralement le fruit d'une attaque extérieure. En revanche, la perte de données peut survenir lorsqu'un disque dur cesse de fonctionner et que l'usager n'a pas fait de backup, ou quand une clé de chiffrement est perdue. Il existe des méthodes pour éviter ces pertes, mais aucune n'est infaillible.

Le vol de compte

Le phishing, l'exploitation de vulnérabilités logicielles ou les pertes de mot de passe peuvent conduire au vol de compte cloud. Un intrus qui prend le contrôle d'un compte peut manipuler les données à sa guise, interagir avec les clients ou les envoyer vers des sites concurrents.

Les hackers peuvent également s'emparer d'un service tout entier et compromettre sa confidentialité, son intégrité ou sa disponibilité. Il existe plusieurs façons d'éviter ce type de désagrément. La meilleure méthode reste d'interdire le partage d'identifiants entre les utilisateurs, y compris les partenaires professionnels de confiance, et d'implémenter des techniques d'authentification à deux facteurs.

Les API non sécurisées

Pour empêcher les utilisateurs anonymes de s'attaquer aux services cloud, une API publique a été mise en place pour définir la façon dont les tiers connectent une application à un service et vérifier l'identité de ce tiers. Les principaux développeurs web, et notamment ceux de et , ont collaboré pour créer OAuth, un service d'autorisation ouvert pour les services web permettant de contrôler les accès tiers.

OAuth est devenu un standard Internet Engineering Task Force en 2010, et la Version 2.0 est utilisée par certains services Google, Twitter, et . Cependant, il n'existe pas d'API publique parfaitement sécurisée. Dépendre d'OAuth peut exposer une entreprise à des problèmes de sécurité liés à la confidentialité, l'intégrité, ou la disponibilité de ses services.

Le déni de service

Les attaques DDOS consistent à envoyer des millions de requêtes automatisées à un service pour le saturer. De plus, pour un service cloud, l'entreprise peut recevoir une facture astronomique pour les ressources utilisées pendant l'attaque. Ces attaques sont de plus en plus sophistiquées et difficiles à détecter avant qu'il ne soit trop tard.

Les employés mal intentionnés

Une entreprise n'est jamais à l'abri d'un employé mal intentionné, prêt à dérober les données sans scrupules depuis l'intérieur. Pour éviter cette catastrophe, la meilleure mesure à prendre est de garder les clés de chiffrement sur un support de stockage physique et non sur le cloud. Les firmes qui remettent leur sécurité entre les mains d'un fournisseur cloud s'exposent à un risque accru.

L'abus de services cloud

Cracker une clé de chiffrement à l'aide d'un hardware limité peut prendre des années. Toutefois, les hackers ont eux aussi accès aux services cloud, et peuvent utiliser les serveurs cloud pour cracker ces clés en quelques minutes seulement. Ils peuvent également utiliser ces serveurs pour lancer des malwares, des attaques DDoS, ou pour distribuer des logiciels piratés.

Les fournisseurs de services cloud ont pour responsabilité d'éviter de tels abus, mais il est difficile de détecter des usages inappropriés. Quoi qu'il en soit, les entreprises doivent vérifier la façon dont un fournisseur de services cloud réagit à de tels abus avant de le choisir comme partenaire.

Le manque de précautions

De nombreuses entreprises se lancent sur le cloud sans comprendre réellement ce que cette décision implique. Si elle ne comprend pas pleinement l'offre proposée par un fournisseur, elle ne sait pas à quoi s'attendre en cas d'incident, de chiffrement et de surveillance. La firme s'expose par conséquent à des risques accrus.

Les technologies partagées

Les attaques sur les infrastructures partagées du cloud compromettent plus que le client attaqué. L'entreprise tout entière est exposée à des fuites de données. Il est recommandé d'adopter une stratégie défensive approfondie et des mesures de surveillance.

5 astuces pour garantir la sécurité cloud

Adopter une approche secure-by-design

Les entreprises doivent apprendre à identifier les contrôles offrant un accès direct à l'information. Adopter une approche dite « secure-by-design » dès le départ permet de répondre aux besoins de sécurité. Une telle approche facilite également l'implémentation de solutions de résilience et d'audit sur le cloud.

Déterminer des locations de déploiement alternatives sur lesquelles redéployer les images rapidement

Il est important de déterminer des environnements de déploiement alternatifs, et de s'assurer de sélectionner un vendeur cloud qui n'impose pas de conditions astreignantes pour pouvoir en changer en cas de besoin. En restant flexible, l'entreprise s'assure de pouvoir réagir à des changements de condition sans interrompre son activité.

Implémenter une solution de surveillance active

Pour résoudre les problèmes de disponibilité et d'instabilité, les entreprises doivent implémenter une solution de surveillance active. Dans le cas contraire, l'organisation s'expose à une insatisfaction de la clientèle, voire à la perte de clients.

Développer un plan de sécurité et former les équipes

La vitesse de réaction en cas de menace est un élément primordial en matière de sécurité. Les entreprises doivent déterminer des réponses logiques à tous les types de menaces et implémenter des programmes de formation pour faciliter ces réactions.

Utiliser des solutions de Sécurité en tant que Service

Il est possible d'opter pour des services comme le backup géré pour spécifier le stockage d'images. Ces solutions permettent aux entreprises de partager la responsabilité pour la surveillance et la gestion de sécurité. Un peu d'aide peut être très utile à l'ère où les menaces se multiplient et sont de plus en plus dangereuses. Des compétences de niveau professionnel sont nécessaires pour identifier et réagir à ces menaces.

Top 8 des meilleurs vendeurs de sécurité Cloud

Face à l'adoption des services cloud par de nombreuses entreprises, la question de la sécurité cloud préoccupe de plus en plus d'entreprises. Les données, les accès et les workloads doivent être sécurisés. Dans ce contexte, de grandes entreprises et des startups tentent de répondre à cette demande en proposant des solutions de sécurité pour les données, les applications, les containers et bien plus encore. Découvrez une sélection des 8 meilleurs fournisseurs de solutions de sécurité cloud.

Avanan

La startup new-yorkaise Avanan propose une solution complète de sécurité cloud ouverte aux fournisseurs de services cloud. Ces derniers peuvent ainsi accéder à une plateforme rapidement déployable et facile à gérer pour les antivirus, la protection contre les menaces persistantes avancées, le nettoyage des données, le chiffrement des fichiers, ou la prévention des vols de données.

AVG

Depuis 2015, le fournisseur d'antivirus AVG propose des solutions de récupération de données, de backup, et de single sign-on ainsi qu'une intégration à Office 365 et . Cette solution se destine tout particulièrement aux petites entreprises, notamment celles qui se spécialisent dans applications et les services cloud et mobile.

Blue Coat Systems

Blue Coat Systems propose un vaste panel de solutions de sécurité cloud pour les entreprises. Pour y parvenir, en 2015, la firme a racheté deux spécialistes du secteur : Elastica et Perspecsys.

Centrify

Centrify propose un portfolio de solutions pour sécuriser et gérer l'accès aux applications cloud. Parmi les services proposés, on retrouve la gestion d'identité et d'accès, le single sign-on, la gestion de privilèges, la gestion de mobilité d'entreprise et bien plus encore. Centrify s'est également associé avec des vendeurs du secteur pour garantir une sécurité maximale.

CipherCloud

CipherCloud est spécialisé dans les solutions de visibilité, de surveillance et de protection du cloud. Elle a notamment reçu le soutien d'investisseurs de renom comme Andreessen Horowitz. Son Open Platform est disponible en tant que service, ou sous la forme d'une solution virtuelle regroupant un système de chiffrement, de surveillance d'activité, de prévention de pertes de données, de détection de malwares et plus encore pour protéger les entreprises.

HyTrust

La solution CloudControl de HyTrust offre des systèmes d'authentification, d'autorisation et d'audit pour les environnements virtuels d'entreprises. Sa solution DataControl offre par ailleurs un chiffrement solide pour les machines virtuelles.

LigthCyber

LightCyber permet de détecter les cyber-attaquants grâce aux technologies d'analyse comportementale intégrée à sa solution Active Breach Detection.

Netskope

La solution de Netskope permet de prévenir la perte de données, la visibilité et le renforcement de la sécurité sur le cloud. En septembre 2015, cette firme a levé 75 millions de dollars dans le cadre d'une levée de fonds de série D.

VMware

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

1 commentaires

1 commentaire

  1. Samuel
    20 octobre 2018 at 13 h 38 min

    IL est super et ca ma vraiment aider pour mes recherches de TFC de G3

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  Copyright © 2024 Groupe Publithings. Tous droits réservés.