Data et Cloud : ce qu'il faut savoir en matière de cybersécurité

22 janvier 2020/Emilie Ravet

De plus en plus, les entreprises transfèrent (ou se préparent à le faire) leurs données et leurs traitements vers des services de cloud computing. Encore trop souvent, elles pensent que leurs fichiers sont plus à l’abri que s’ils étaient stockés en local. C’est une erreur qui peut coûter cher…

 

Traditionnellement, les données sont stockées en interne. Les cyberattaquants doivent donc compromettre le réseau de l'entreprise avant d'y accéder. Différentes techniques peuvent être utilisées ; les deux plus fréquentes étant le code malveillant caché dans une pièce jointe (une fois la pièce jointe ouverte, le virus entre en action) ou tout simplement le vol d’identifiants/mots de passe.

Convaincues que leurs données seront plus en sécurité dans le datacenter d’un fournisseur de cloud, les entreprises optent de plus en plus pour cette option. Pour des TPE et des PME qui ne disposent pas en interne de ressources (techniques et humaines) pour assurer la confidentialité de leurs données, le cloud représente en effet une aubaine.

Mais cette solution n’est pas sans risques. En octobre dernier, une étude mondiale de Thales/Ponemon Institute avait révélé que seulement un tiers (32 %) des entreprises utilisent une approche de sécurité intégrant le stockage des données dans le cloud.

Nous ne cesserons jamais de rappeler trois points majeurs :

Ne négligez pas vos responsabilités

Les données qu’une entreprise confie à un hébergeur ou un provider dans le cloud restent sa propriété ; c’est à elle de prendre toutes les mesures adéquates pour les sécuriser ! Or selon l’étude Thales précédemment citée, seule une entreprise sur trois (31 %) estime que la protection des données dans le cloud est de sa propre responsabilité.

Or, près de la moitié (48 %) des entreprises ont une stratégie Multicloud selon cette étude. Les trois principaux fournisseurs de cloud étant AWS, Microsoft Azure et IBM. En moyenne, les entreprises utilisent trois fournisseurs de services de cloud computing différents et 28 % en utilisent quatre ou plus.

Même s’il met en garde régulièrement ses clients, le fournisseur dans le cloud ne se focalise que sur la sécurité de son infrastructure. Constatant que les clients n’appliquent pas des règles de base, certains providers augmentent le niveau de sécurité par défaut en obligeant les entreprises à appliquer telle ou telle mesure.

Certes, l’Article 28 du RGPD indique que les sous-traitants (et donc les fournisseurs de cloud) doivent offrir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles.

Bien que les providers de cloud offrent une meilleure sécurité, ils fournissent également aux clients un aperçu moins précis de la sécurité de leurs systèmes. Les entreprises doivent donc mettre en place des mesures appropriées en matière de surveillance…

Ne négligez pas la sécurité de vos données

Non seulement les développeurs, mais aussi les décideurs et les équipes IT et de sécurité doivent comprendre les types de données qu'ils recueillent et les exigences relatives à leur stockage et donc à leur traitement (au regard du RGPD en particulier).

Mais il conviendra surtout d’être très vigilant, surtout lorsqu’il s’agit du cloud. Les cybercriminels vont multiplier les infections et violations de données avec l’automatisation des attaques.

De nombreuses études de chez Check Point, CyberArk, Darktrace, FireEye… indiquent que les ransomwares resteront cette année l’une des principales menaces pour toutes les entreprises, mais également les hôpitaux.

Selon Sophos, les ransomwares visant le Cloud public vont se multiplier. Ils cibleront et chiffreront les données stockées dans des services Cloud comme Amazon Web Services (AWS), Microsoft Azure (Azure) et Google Cloud Platform (GCP).

Ne brûlez pas les étapes

Le fournisseur de cloud computing a un certain niveau d'accès à vos données. D’où des problèmes de sécurité qui diffèrent de ceux d’une infrastructure locale. Avec des serveurs et des logiciels sur site, les principaux soucis d’une entreprise sont la disponibilité et les menaces internes. Avec les providers de cloud, une tierce partie peut accéder aux données, sans que vous ayez la possibilité de les détecter.

L'application d'une protection des données au format par champ peut limiter considérablement l'impact des menaces internes, qu'elles proviennent d'employés ou d'administrateurs de cloud malhonnêtes.

Le chiffrement et l’utilisation de token protègent les informations tout en permettant, dans de nombreux cas, l'exécution de fonctionnalités normales, telles que les recherches, sans jamais nécessiter de texte en clair.

 

En conclusion, les problématiques de sécurité liées au cloud sont encore mal comprises par les professionnels y compris les développeurs. En comprenant leurs responsabilités, en sachant quelles données sont collectées et en appliquant la sécurité aux données, et pas seulement au système, les entreprises peuvent renforcer leur résilience.

New Call-to-action

Emilie Ravet
À propos de Emilie Ravet : Emilie est responsable Marketing en charge de la publication des articles du blog.

À lire ensuite

Nomination de Thomas Bernier au poste de Directeur général

Thomas Bernier, 39 ans, a été recruté au poste de DG de Scalair, opérateur et architecte de cloud. La société,...

5 étapes pour simplifier la cybersécurité

Les cyberattaques ne cessent d’augmenter. Leur complexité, aussi ! Dans ce contexte, les entreprises doivent...

Six bénéfices d'une migration dans le cloud

Tous les acteurs du cloud ont constaté une forte croissance des demandes des entreprises. Lorsque la crise du...