Le cloud, un catalyseur de cybersécurité
Plus qu’une simple tendance technologique, le cloud est devenu au cours des cinq dernières années, un catalyseur de la transformation numérique qui arrive maintenant à maturité. Néanmoins, l’adoption de cette technologie constitue une menace pour la sécurité des données hébergées. La résistance des responsables de la sécurité persiste. Mais le cloud pourrait bien être plus sécurisé que les systèmes traditionnels, à condition d’adopter les bonnes pratiques.
Plan de l'article
Cloud computing : la nouvelle norme pour les systèmes d’information
Le marché du cloud explose de +20% en 2018
Le marché du cloud dépasse actuellement toutes les prévisions. Le baromètre Gartner a vu juste dans ses prévision : une croissance du marché mondial de plus de 20% en 2018, un rythme qui devrait perdurer.
A lire aussi : Adaptation automatique aux besoins de la cybersécurité industrielle 4.0
Le cloud est sur le point de devenir le choix évident pour les stratégies de stockage, de récupération et même d’archivage. Les entreprises n’ont jamais dépensé autant pour les technologies de cloud computing qu’au cours de ces deux ou trois dernières années, avec une priorité particulière accordée aux environnements Cloud Public ou Multi-Cloud.
Les avantages du cloud pour les entreprises
En offrant aux entreprises un environnement flexible et peu coûteux, le cloud peut offrir la meilleure réponse aux besoins croissants associés à la démocratisation du travail collaboratif, à l’explosion du big data ou à un accès simplifié.
A lire en complément : Comment faire pour se connecter sur Viber ?
Pour les entreprises plus matures, les approches sans serveur leur permettront d’utiliser la puissance de traitement offerte uniquement par le cloud. À terme, la démocratisation du cloud conduira à une simplification des systèmes d’information et de la gestion.
La sécurité, défi majeur du cloud pour les entreprises
Quoi qu’il en soit, plusieurs obstacles continuent d’entraver l’adoption du nuage. La sécurité reste la principale préoccupation des nouveaux arrivants. Selon le dernier rapport RightScale de 2018, 77% des entreprises considèrent la sécurité comme un défi pour le cloud. Ce pourcentage passe à 85% pour les nouveaux venus dans le cloud. De plus, les environnements hétérogènes liés à l’intégration du cloud sont complexes à exploiter en termes informatiques, car ils créent de nouvelles zones vulnérables. Les nouvelles récentes confirment que ces vulnérabilités ne doivent pas être prises à la légère.
Faire face aux nouveaux risques
La sécurité fait la une des journaux
Yahoo, Instagram, LinkedIn et plus récemment British Airways, toutes ces sociétés ont fait la une des médias après des violations de données. Les principaux fournisseurs de Cloud Public n’ont pas non plus été épargnés, ce qui les a amenés à constamment réviser et améliorer leurs infrastructures de cloud.
Les otages de données : une menace redoutable pour les entreprises
Cependant, la principale source de préoccupation pour les entreprises reste le logiciel de rançon, le logiciel malveillant qui prendra vos données en otage. Une enquête Checkpoint a montré que 80% des professionnels de la sécurité s’inquiètent de ce phénomène. En fait, leurs entreprises n’ont souvent pas d’autre choix que de payer la rançon pour récupérer leurs données. Les logiciels de rançon pourraient continuer à augmenter, ciblant plus particulièrement les solutions de stockage basées sur le cloud.
La cible de prédilection des hackers
Mais pourquoi le cloud en particulier semble-t-il être ciblé par des pirates informatiques ? Simplement parce qu’ils peuvent accéder à un grand volume de données (parfois sensibles), situées à un seul endroit.
Les données permettent aux hackers de mettre la main sur beaucoup d’argent dans un court laps de temps. Il comporte un risque plus élevé par rapport aux systèmes d’information traditionnels, car les pirates peuvent profiter d’une panne informatique ou d’une erreur humaine pour pirater un volume de données beaucoup plus important que jamais auparavant.
Avec le cloud, les mesures de sécurité classiques ne sont plus suffisantes. Elles ne sont pas adaptées à cette nouvelle technologie qui facilite le travail des hackers.
Des menaces multiples
À l’aide du rapport annuel Cloud Security Alliance (The Treacherous 12, principales menaces pour le Cloud Computing), nous pouvons définir les principales catégories de menaces.
- Menaces contre les données : la fuite, la perte, la violation ou la manipulation des données sont un cauchemar pour les directeurs informatiques ou les particuliers.
- Menaces liées au vol d’identité : avec le cloud, les systèmes d’identité interconnectés renforcent l’exposition des données d’identification.
- Menaces pour les API non sécurisées : ces interfaces permettent aux clients d’interagir avec les services cloud
- Menaces de la disponibilité : les attaques de type Ddos (déni de service distribué) attirent l’attention des médias. Celles-ci apparaissent même sur le web sombre (DDos as-a-service)!
- Menaces pesant sur la technologie cloud : il s’agit d’échecs potentiels dans l’isolement entre clients partageant les mêmes infrastructures, plates-formes ou applications.
- Menaces traditionnelles : il s’agit de tous les APT, vulnérabilités applicatives ou systèmes identiques dans les systèmes d’information traditionnels (tels que Spectre et Meltdown).
La plupart de ces menaces ne sont pas nouvelles et se retrouvent dans les infrastructures traditionnelles, mais l’exposition aux environnements en nuage augmentera le niveau de risque.
Des échecs humains plutôt que technologiques
Au-delà des risques technologiques, le manque de compétences, notamment en matière de sécurité, reste l’une des plus grandes menaces du cloud.
En règle générale, les atteintes à la sécurité ne proviennent pas des fournisseurs, mais des utilisateurs qui n’ont pas mis en place les mesures adéquates pour protéger leurs données, par négligence ou par manque d’informations. Gartner prévoit que d’ici 2020, 95% des brèches de sécurité seront dues à des erreurs client !
Alors, le nuage est-il un no man’s land pour la sécurité ? Peut-être ! Cependant, l’application de bonnes pratiques peut réduire le niveau de menace et le rendre gérable pour les entreprises.
Bonnes pratiques de sécurité pour guider l’adoption du Cloud
Mettre en place une stratégie Cloud à l’échelle de l’entreprise
Pour limiter les risques de cyberattaque, il est essentiel de mettre en place une stratégie global de cloud, soutenue par tous les décideurs de l’entreprise et pas seulement par la direction générale, le directeur informatique et la sécurité. Elle doit inclure une approche basée sur l’évaluation des risques :
- De quelles menaces voulons-nous être protégés ?
- Quels services ou quelles données pouvons-nous mettre (ou non) dans le cloud ?
- Quel est le niveau de sensibilité des données ou du service ?
- Quels sont les risques potentiels associés aux services cloud ?
- Quelles restrictions réglementaires ou de conformité dois être respectées ?
- Comment gérer la continuité ou reprendre les opérations en cas de dommage ?
Le but de ce diagnostic est d’apporter le bon niveau de sécurité et d’adopter une approche de sécurité des données plutôt que de se concentrer sur son infrastructure d’hébergement, comme c’était le cas pour les systèmes d’information traditionnels.
Développer une culture du risque et du contrôle
L’une des erreurs classiques qu’un nouveau venu peut commettre est de conserver le même modèle de gouvernance de la sécurité que pour les infrastructures traditionnelles. Au contraire, il doit être adapté et le partage des responsabilités changera en fonction du modèle de déploiement (privé, public, etc.) et du service (SaaS, PaaS ou IaaS).
Le(s) modèle(s) de gouvernance à appliquer doit (doivent) permettre aux fournisseurs de cloud computing d’être évalués périodiquement ou d’étendre les exigences de sécurité de l’entreprise au cloud.
Comprendre pleinement les impacts de l’informatique en nuages sur le modèle de gouvernance et développer une culture du risque et du contrôle doivent permettre à l’entreprise de sortir de ses vieilles mauvaises habitudes. L’entreprise doit changer de paradigme et axer ses opérations sur la sécurité ; une petite révolution qui doit venir de différents niveaux de management mais aussi de tous les employés qui peuvent être formés régulièrement sur ces questions, par exemple.
Vers une démocratisation de la sécurité avec le cloud ?
La sécurité étant l’une des principales préoccupations des entreprises souhaitant adopter le cloud, les fournisseurs vont en faire un élément de différenciation majeur. La sécurité devient alors leur priorité. Ils améliorent constamment le niveau de sécurité de leurs infrastructures et offrent des services de sécurité à leurs clients : filtrage, correctifs, authentification renforcée, contrôle d’accès, cryptage ainsi que des solutions de gestion de fédération d’identités.
Ces services sont disponibles pour les clients comme n’importe quel autre service cloud. Mais la mise en oeuvre de tels services nécessiterait de lourds investissements pour la plupart des entreprises dotées d’infrastructures traditionnelles. Le cloud favorise donc la démocratisation de la sécurité.
Toute cette culture de sécurité leur permettra d’améliorer leur niveau de sécurité. Gartner prévoit que plus de 60% des entreprises mettant en œuvre des mesures de sécurité appropriées feront face à moins d’incidents qu’avec un modèle traditionnel. Tout comme le GDPR, le cloud ne doit pas être perçu comme une menace, mais plutôt comme une opportunité de placer enfin la sécurité des données au cœur de la stratégie.
Le cloud, une opportunité importante
Le cloud est sur le point de recevoir son contrat de confiance, ou accord de confiance. Néanmoins, un certain nombre de conditions préalables essentielles sont nécessaires pour obtenir l’accord, à savoir développer une culture de la sécurité dès la conception, une approche basée sur les risques ainsi que l’adaptation du modèle de gouvernance.
Bien que le risque zéro n’existe pas, une bonne gestion permettra de saisir toutes les opportunités de développement associées au cloud et à la transformation numérique.
