LEBIGDATA.FR I.A, Cloud & Cybersécurité
La sécurité du cloud est au cœur des préoccupations. Elle doit être pensée dans les deux sens : sécurité des données hébergées et sécurité des fournisseurs de cloud. Focus sur le sujet.
L'utilisation du cloud computing révèle bien l'ère numérique à laquelle nous vivons. Particuliers, entreprises, professionnels ont recours au cloud pour toutes sortes de raisons. Il s'agit habituellement d'y stocker des données en grande quantité. Mais l'on a aussi recours aux logiciels qui facilitent la vie, le travail et la productivité. Cependant, ceux qui adoptent le cloud doivent relever une série de défis de sécurité.
Le rassemblement de données en masse exige que l'on s'inquiète sur la question de la sécurisation de ces dernières. En effet, ces données ne sont jamais à l'abri des intentions malveillantes ou des accidents techniques ou naturels. Aux dernières nouvelles, dû au récent conflit russo-ukrainien, les cyberattaques envers les entités gouvernementales se multiplient.
La sécurité du cloud : une exigence multilatérale
Qui doit alors s'activer pour protéger ses données ? La responsabilité est partagée entre le client le fournisseur de cloud. En premier, le fournisseur devra mettre en œuvre tous les moyens pour sécuriser les données que le client héberge sur la plateforme. D'autre part, il est aussi responsable de respecter les mesures de conformité et de protection de la confidentialité des clients.
Le fournisseur de cloud doit également assurer sa sécurité. Car, en fait, il se protège également des possibles conséquences désastreuses d'une mauvaise protection et sécurisation des data au sein de son cloud. On parle ici des pertes et violations de données, des poursuites en justice et des amendes financières.
La sécurité du cloud regroupe les technologies, les contrôles, les processus et politiques pour protéger les systèmes, les données et les infrastructures implantées dans le cloud. Elle appartient à la branche de la sécurité informatique et au sens plus large de la sécurité de l'information.
En quoi la sécurité des données cloud est-elle importante ?
La sécurité du cloud est une exigence particulièrement importante. Des recherches affirment que cette question tourmente presque 93 % des organisations. Les faits relatent également qu'au cours des douze derniers mois, un incident lié à la sécurité a affecté une organisation sur quatre. Nul n'ignore que la cybercriminalité a le vent en poupe.
En clair, personne ne veut subir les conséquences d'une atteinte à la sûreté des données stockées sur cloud. On choisit de les placer en lieu sûr pour les conserver. Ainsi, la perte de données peut-être fatale, qu'il s'agisse d'un particulier ou d'une entreprise. Une fausse manipulation, des problèmes techniques ou des catastrophes naturelles peuvent arriver (se rappeler le cas d'OVH). Dans d'autres cas, les formes de piratage, d'infiltrations de logiciels malveillants peuvent survenir. Les mauvaises intentions se multiplient pour des raisons diverses.
Toutes ces situations sont régies par le RGPD, Règlement Général sur la Protection des Données de l'Union Européenne. En termes de chiffres, une violation des règles de cette loi a récemment coûté 225 millions d'euros à WhatsApp en 2021. Cette peine a été ordonnée par un organisme allemand de surveillance de la vie privée. Un montant qui a de quoi raviver la prise de mesures de protections.
Les risques de sécurité les plus encourus dans le cloud
Les fournisseurs travaillent d'arrache-pied pour rassurer leurs clients de la sécurité de leur plateforme. Malgré cela, des risques de sécurité peuvent quand même survenir. Voici une liste de sept risques les plus populaires.
La perte de visibilité
Ceci concerne principalement le fait que des utilisateurs officiels ou indésirables puissent avoir accès à la plateforme. Les entreprises disposent d'une grande gamme de services par le cloud selon leur localisation et le genre d'appareil utilisé. Et cette ouverture n'est pas toujours bien gérée. Si le fournisseur manque d'outils de protection, il ne peut suivre qui exactement utilise les services, accèdent aux données et téléchargent illicitement. C'est une fissure qui accroît le risque de violations et de perte de données.
Les violations de conformité
Les fournisseurs cloud doivent remplir des mesures bien établies pour assurer la conformité. Ils sont donc censés avoir un contrôle permanent sur les données de leurs clients, sur leur traitement et leur protection. Ce risque s'imbrique à la perte de visibilité. Il faut donc bien faire attention en transférant les données. Le risque est grand si vous tombez sur un fournisseur qui ne respecte pas ces conformités.
Les lacunes de stratégies de sécurité cloud
Une migration trop rapide expose les données à la perte et à la violation. Bien avant de déplacer les données et les systèmes sur le cloud, il faudra s'assurer que ce dernier possède des infrastructures de sécurisation. Les infrastructures doivent aussi être compatibles avec vos données et vos systèmes.
Les menaces internes
Il faut toujours garder un œil à ceux qui sont proches et à l'intérieur de notre muraille. En effet, les infiltrations, vols et manipulations frauduleuses de données se font souvent de l'intérieur. Personnels, sous-traitants, collaborateurs constituent malheureusement des menaces internes. Et si de prime abord, l'intention n'était aucunement malveillante, les dégâts sont toujours présents. Sachez que lorsque vous confiez vos données et logiciels et systèmes au cloud, une nouvelle menace se présente. Les esprits malintentionnés peuvent sortir du côté des fournisseurs.
Les violations contractuelles
On néglige souvent de bien connaître la nature des contrats établis entre partenaires. Ils détiennent cependant des restrictions de partage, de transfert et de traitement de certaines données. Certains employés peuvent le faire par manque d'informations sans savoir les poursuites judiciaires qui en découlent.
Un API externe entre de mauvaises mains
Une API externe non sécurisée constitue une ouverture béante aux cybercriminels. Personne n'a oublié le scandale Facebook-Cambridge Analytica qui a donné accès aux données des utilisateurs du réseau social populaire.
Une mauvaise configuration des services
Lorsque les paramètres de sécurité et de gestion d'accès sont gardés par défaut, les données sur cloud peuvent être à la merci du public. Le cloud insuffisamment configuré et pas mis à jour favorise l'accès des utilisateurs indésirables aux données sensibles.
Comment établir des mesures de protection ?
Choisir un bon fournisseur cloud
C'est la solution ultime. Associez-vous à un fournisseur de cloud qui rassure en stratégie de sécurité et de protection des données. Ce dernier devra également satisfaire les mesures de conformité. En jetant un œil sur leur gamme de conformité et les certifications qu'ils possèdent, vous pouvez juger de leur qualité.
Vous pouvez également choisir parmi notre top des meilleurs services cloud.
Assumer votre part de responsabilité en matière de sécurité cloud
Aller à la connaissance et comprendre vos parts de responsabilités dans la sécurisation et de la protection de vos données est primordial. Certaines tâches incombent au fournisseur, d'autres sont à votre responsabilité. Les plus sérieux des fournisseurs partagent un accord de responsabilité.
Former ceux qui ont accès au cloud
Il faut former tous ceux qui ont accès aux données et aux systèmes de l'importance de la protection et de la sécurisation des choses. Ces personnes sont les premiers concernés puisqu'ils sont en contact direct avec la plateforme. Au programme, intégrez : la reconnaissance des logiciels malveillants, leur prise en charge, les pratiques risquées, l'identification des liens et de courriels suspects.
Sécurité cloud : instaurer le chiffrement
Les migrations de données les exposent sur le réseau. Il faudra mobiliser des chiffrements et des cryptages pour les données. Ces mesures de protection réduisent l'accès à ces dernières. Le cryptage doit être maîtrisé personnellement pour un contrôle global.
Mobiliser un Cloud Access Security Broker
Le CASB est un outil fondamental pouvant renforcer la sécurité de vos données sur cloud. Il s'interpose entre vous et le fournisseur de services. Il regroupe un ensemble d'instruments de sécurité pour protéger l'écosystème cloud. Sa mise en place active également l'identification des menaces, les mesures à prendre au cas où. Il aide à maintenir le niveau de conformité.
Ne pas lésiner sur les mots de passe
Pour fermer l'accès aux intrus, le système de mot de passe peut être fructueux. La configuration de ce mot de passe doit être complexe et difficile à deviner. En général, on y exige la présence de chiffres, de majuscules, de symboles et de minuscules et constituer au moins 14 caractères. Plus le mot de passe est complexe, plus la sécurité est solide.
Ajouter des mesures d'authentifications multifacteurs
Avec les mots de passe, multipliez les mesures d'authentifications en demandant deux ou trois autres moyens pour confirmer l'entrée est idéal. Les couches de sécurité ne sont jamais de trop par rapport à l'envergure des dégâts qu'un intrus pourrait occasionner.
Voir notre dossier sur l'authentification à 2 facteurs.
Minimiser l'accès aux utilisateurs
Ce n'est peut-être pas la meilleure façon de développer l'esprit d'appartenance au sein d'une entreprise, mais elle est parfois imposée. Limitez les accès des utilisateurs aux seules sections de données et de systèmes dont ils pourraient avoir besoin. Il vaut mieux ajouter des utilisateurs à d'autres sections au lieu de laisser la porte ouverte à tout un chacun.
Bien lire les contrats et SLA du fournisseur
Les mauvaises surprises quand on néglige la lecture des contrats sont amers. Il s'agit de bien se mettre au courant des détails inclus dans l'accord entre client et fournisseur. Sachez bien dans quoi vous vous embarquez.
- Partager l'article :
