Le cloud, un catalyseur de cybersécurité

Plus qu’une simple tendance technologique, le cloud est devenu au cours des cinq dernières années, un catalyseur de la transformation numérique qui arrive maintenant à maturité. Néanmoins, l’adoption de cette technologie constitue une menace pour la sécurité des données hébergées. La résistance des responsables de la sécurité persiste. Mais le cloud pourrait bien être plus sécurisé que les systèmes traditionnels, à condition d’adopter les bonnes pratiques.

Cloud computing : la nouvelle norme pour les systèmes d’information

Le marché du cloud explose de +20% en 2018

Le marché du cloud dépasse actuellement toutes les prévisions. Le baromètre Gartner a vu juste dans ses prévision : une croissance du marché mondial de plus de 20% en 2018, un rythme qui devrait perdurer.

A découvrir également : Signification TIC : définition et importance des Technologies de l'Information et de la Communication

Le cloud est sur le point de devenir le choix évident pour les stratégies de stockage, de récupération et même d’archivage. Les entreprises n’ont jamais dépensé autant pour les technologies de cloud computing qu’au cours de ces deux ou trois dernières années, avec une priorité particulière accordée aux environnements Cloud Public ou Multi-Cloud.

Les avantages du cloud pour les entreprises

En offrant aux entreprises un environnement flexible et peu coûteux, le cloud peut offrir la meilleure réponse aux besoins croissants associés à la démocratisation du travail collaboratif, à l’explosion du big data ou à un accès simplifié.

Lire également : Moteur quantique tesla : fonctionnement, avantages et innovations technologiques

Pour les entreprises plus matures, les approches sans serveur leur permettront d’utiliser la puissance de traitement offerte uniquement par le cloud. À terme, la démocratisation du cloud conduira à une simplification des systèmes d’information et de la gestion.

La sécurité, défi majeur du cloud pour les entreprises

Quoi qu’il en soit, plusieurs obstacles continuent d’entraver l’adoption du nuage. La sécurité reste la principale préoccupation des nouveaux arrivants. Selon le dernier rapport RightScale de 2018, 77% des entreprises considèrent la sécurité comme un défi pour le cloud. Ce pourcentage passe à 85% pour les nouveaux venus dans le cloud. De plus, les environnements hétérogènes liés à l’intégration du cloud sont complexes à exploiter en termes informatiques, car ils créent de nouvelles zones vulnérables. Les nouvelles récentes confirment que ces vulnérabilités ne doivent pas être prises à la légère.

Faire face aux nouveaux risques

La sécurité fait la une des journaux

Yahoo, Instagram, LinkedIn et plus récemment British Airways, toutes ces sociétés ont fait la une des médias après des violations de données. Les principaux fournisseurs de Cloud Public n’ont pas non plus été épargnés, ce qui les a amenés à constamment réviser et améliorer leurs infrastructures de cloud.

Les otages de données : une menace redoutable pour les entreprises

Cependant, la principale source de préoccupation pour les entreprises reste le logiciel de rançon, le logiciel malveillant qui prendra vos données en otage. Une enquête Checkpoint a montré que 80% des professionnels de la sécurité s’inquiètent de ce phénomène. En fait, leurs entreprises n’ont souvent pas d’autre choix que de payer la rançon pour récupérer leurs données. Les logiciels de rançon pourraient continuer à augmenter, ciblant plus particulièrement les solutions de stockage basées sur le cloud.

La cible de prédilection des hackers

Mais pourquoi le cloud en particulier semble-t-il être ciblé par des pirates informatiques ? Simplement parce qu’ils peuvent accéder à un grand volume de données (parfois sensibles), situées à un seul endroit.

Les données permettent aux hackers de mettre la main sur beaucoup d’argent dans un court laps de temps. Il comporte un risque plus élevé par rapport aux systèmes d’information traditionnels, car les pirates peuvent profiter d’une panne informatique ou d’une erreur humaine pour pirater un volume de données beaucoup plus important que jamais auparavant.

Avec le cloud, les mesures de sécurité classiques ne sont plus suffisantes. Elles ne sont pas adaptées à cette nouvelle technologie qui facilite le travail des hackers.

Des menaces multiples

À l’aide du rapport annuel Cloud Security Alliance (The Treacherous 12, principales menaces pour le Cloud Computing), nous pouvons définir les principales catégories de menaces.

• Menaces contre les données : la fuite, la perte, la violation ou la manipulation des données sont un cauchemar pour les directeurs informatiques ou les particuliers.
• Menaces liées au vol d’identité : avec le cloud, les systèmes d’identité interconnectés renforcent l’exposition des données d’identification.
• Menaces pour les API non sécurisées : ces interfaces permettent aux clients d’interagir avec les services cloud
• Menaces de la disponibilité : les attaques de type Ddos (déni de service distribué) attirent l’attention des médias. Celles-ci apparaissent même sur le web sombre (DDos as-a-service)!
• Menaces pesant sur la technologie cloud : il s’agit d’échecs potentiels dans l’isolement entre clients partageant les mêmes infrastructures, plates-formes ou applications.
• Menaces traditionnelles : il s’agit de tous les APT, vulnérabilités applicatives ou systèmes identiques dans les systèmes d’information traditionnels (tels que Spectre et Meltdown).

La plupart de ces menaces ne sont pas nouvelles et se retrouvent dans les infrastructures traditionnelles, mais l’exposition aux environnements en nuage augmentera le niveau de risque.

Des échecs humains plutôt que technologiques

Au-delà des risques technologiques, le manque de compétences, notamment en matière de sécurité, reste l’une des plus grandes menaces du cloud.

En règle générale, les atteintes à la sécurité ne proviennent pas des fournisseurs, mais des utilisateurs qui n’ont pas mis en place les mesures adéquates pour protéger leurs données, par négligence ou par manque d’informations. Gartner prévoit que d’ici 2020, 95% des brèches de sécurité seront dues à des erreurs client !

Alors, le nuage est-il un no man’s land pour la sécurité ? Peut-être ! Cependant, l’application de bonnes pratiques peut réduire le niveau de menace et le rendre gérable pour les entreprises.

Bonnes pratiques de sécurité pour guider l’adoption du Cloud

Mettre en place une stratégie Cloud à l’échelle de l’entreprise

Pour limiter les risques de cyberattaque, il est essentiel de mettre en place une stratégie global de cloud, soutenue par tous les décideurs de l’entreprise et pas seulement par la direction générale, le directeur informatique et la sécurité. Elle doit inclure une approche basée sur l’évaluation des risques :

• De quelles menaces voulons-nous être protégés ?
• Quels services ou quelles données pouvons-nous mettre (ou non) dans le cloud ?
• Quel est le niveau de sensibilité des données ou du service ?
• Quels sont les risques potentiels associés aux services cloud ?
• Quelles restrictions réglementaires ou de conformité dois être respectées ?
• Comment gérer la continuité ou reprendre les opérations en cas de dommage ?

Le but de ce diagnostic est d’apporter le bon niveau de sécurité et d’adopter une approche de sécurité des données plutôt que de se concentrer sur son infrastructure d’hébergement, comme c’était le cas pour les systèmes d’information traditionnels.

Développer une culture du risque et du contrôle

L’une des erreurs classiques qu’un nouveau venu peut commettre est de conserver le même modèle de gouvernance de la sécurité que pour les infrastructures traditionnelles. Au contraire, il doit être adapté et le partage des responsabilités changera en fonction du modèle de déploiement (privé, public, etc.) et du service (SaaS, PaaS ou IaaS).

Le(s) modèle(s) de gouvernance à appliquer doit (doivent) permettre aux fournisseurs de cloud computing d’être évalués périodiquement ou d’étendre les exigences de sécurité de l’entreprise au cloud.

Comprendre pleinement les impacts de l’informatique en nuages sur le modèle de gouvernance et développer une culture du risque et du contrôle doivent permettre à l’entreprise de sortir de ses vieilles mauvaises habitudes. L’entreprise doit changer de paradigme et axer ses opérations sur la sécurité ; une petite révolution qui doit venir de différents niveaux de management mais aussi de tous les employés qui peuvent être formés régulièrement sur ces questions, par exemple.

Vers une démocratisation de la sécurité avec le cloud ?

La sécurité étant l’une des principales préoccupations des entreprises souhaitant adopter le cloud, les fournisseurs vont en faire un élément de différenciation majeur. La sécurité devient alors leur priorité. Ils améliorent constamment le niveau de sécurité de leurs infrastructures et offrent des services de sécurité à leurs clients : filtrage, correctifs, authentification renforcée, contrôle d’accès, cryptage ainsi que des solutions de gestion de fédération d’identités.

Ces services sont disponibles pour les clients comme n’importe quel autre service cloud. Mais la mise en oeuvre de tels services nécessiterait de lourds investissements pour la plupart des entreprises dotées d’infrastructures traditionnelles. Le cloud favorise donc la démocratisation de la sécurité.

Toute cette culture de sécurité leur permettra d’améliorer leur niveau de sécurité. Gartner prévoit que plus de 60% des entreprises mettant en œuvre des mesures de sécurité appropriées feront face à moins d’incidents qu’avec un modèle traditionnel. Tout comme le GDPR, le cloud ne doit pas être perçu comme une menace, mais plutôt comme une opportunité de placer enfin la sécurité des données au cœur de la stratégie.

Le cloud, une opportunité importante

Le cloud est sur le point de recevoir son contrat de confiance, ou accord de confiance. Néanmoins, un certain nombre de conditions préalables essentielles sont nécessaires pour obtenir l’accord, à savoir développer une culture de la sécurité dès la conception, une approche basée sur les risques ainsi que l’adaptation du modèle de gouvernance.

Bien que le risque zéro n’existe pas, une bonne gestion permettra de saisir toutes les opportunités de développement associées au cloud et à la transformation numérique.

La conformité réglementaire et le Cloud : comment s’assurer de la conformité de ses données ?

Le cloud computing offre une multitude d’avantages en matière de sécurité, permettant aux entreprises de stocker et de gérer leurs données avec plus de sûreté. Le respect des réglementations applicables en matière de protection des données est un sujet crucial qui ne doit pas être ignoré.

Face à la complexité croissante des exigences réglementaires, il est primordial que les entreprises soient sensibilisées sur l’importance du respect des normes et standards imposés par les lois pour protéger les informations personnelles. La conformité réglementaire peut également varier d’une juridiction à l’autre, ce qui accroît la difficulté pour les organisations internationales.

Dans certains cas, le recours au Cloud peut même aider certaines entreprises dans leur démarche vers la conformité. Par exemple, elles peuvent utiliser le Cloud pour renforcer leurs protections contre toute utilisation non autorisée ou choisir un prestataire qui se spécialise dans leur secteur industriel afin qu’il puisse appliquer toutes les exigences requises par ces dernières en termes réglementaires.

Il existe plusieurs mesures méthodologiques que tout responsable informatique doit mettre en place lorsqu’il utilise une solution cloud :

• Mettre en œuvre des politiques strictement définies pour garantir que seuls ceux ayant besoin d’accéder aux informations sensibles sont autorisés.

• Évaluer régulièrement la conformité pour s’assurer qu’elle répond toujours aux exigences actuelles.

Pensez à bien protéger les données. La conformité réglementaire reste un élément clé qui, s’il est bien géré, permettra d’assurer la sécurité et la confidentialité des informations sensibles stockées dans le Cloud.

La gestion des identités et des accès : un enjeu majeur de sécurité dans le Cloud

La gestion des identités et des accès est un enjeu majeur de sécurité pour les entreprises qui utilisent le Cloud. Effectivement, la multiplication des comptes et des mots de passe augmente considérablement les risques d’intrusion.

Les hackers ont compris que l’accès aux informations sensibles était plus facile via une attaque sur les comptes que via une brèche dans le système informatique. Les vols d’identité, par exemple, sont souvent à l’origine d’attaques réussies.

C’est pourquoi il faut mettre en place une stratégie solide pour gérer les accès au Cloud. Cette stratégie inclut plusieurs mesures :
• La mise en place d’une politique stricte de création et de réinitialisation régulière des mots de passe.
• L’utilisation de solutions telles que l’authentification multifacteur, qui nécessite au moins deux éléments différents (par exemple, un mot de passe et un code envoyé par SMS) avant qu’un utilisateur ne puisse accéder à ses données stockées dans le Cloud.
• Un contrôle strict sur les privilèges d’accès accordés aux utilisateurs afin qu’ils n’aient pas plus d’autorisations que nécessaire.

L’introduction du modèle « zéro confiance » préconisé dans certaines entreprises peut aussi être bénéfique, il s’agit là encore de vérifier chaque personne ayant besoin d’accéder à votre environnement cloud.

Afin que ces mesures soient efficaces, il faut une formation des employés pour comprendre l’importance de la protection des données dans le Cloud.

L’utilisation d’une solution cloud doit aussi être régulièrement évaluée afin d’assurer qu’elle répond toujours aux exigences de sécurité actuelles. Cela passe par une mise à jour régulière des politiques de sécurité en fonction du contexte changeant et des nouveaux risques identifiés.

La gestion des identités et des accès est un aspect crucial de la cybersécurité dans le Cloud. Les entreprises doivent prendre au sérieux la nécessité d’établir une stratégie solide pour gérer les accès au Cloud avec un maximum de précaution et être vigilantes quant à son application effective sur toute sa chaîne utilisateur, interne comme externe.