Cloud : quelles menaces fait-il peser sur vos données ?
Idées & initiatives
La généralisation du télétravail, due à la crise du COVID, ne fait que renforcer la tendance d'adoption rapide des services Cloud. A quoi les entreprises doivent-elle s'attendre ? Quels sont les risques encourus ?
En essaimant les données dans le « nuage », la généralisation des technologies Cloud augmente mécaniquement la surface d’exposition aux risques. Une entreprise doit bien identifier ces menaces et connaître le rôle qui lui est dévolu en termes de sécurité.
Le Cloud présente de nombreux avantages
Les bénéfices du Cloud sont connus. En proposant une infrastructure scalable et une puissance de calcul quasi infinie, le Cloud est un prérequis à toute transformation numérique.
En quelques clics, un développeur accède à un environnement de développement et de test, un expert métier à une solution en mode SaaS, etc.
Cette agilité a toutefois pour corollaire d’augmenter mécaniquement la surface d’exposition aux risques. Alors que les données étaient jusqu’alors physiquement hébergées en un seul lieu, à savoir l’infrastructure de l’entreprise, elles sont aujourd’hui disséminées dans le « nuage », chez différents éditeurs et prestataires.
La généralisation du télétravail, induite par la crise sanitaire, ne fait que renforcer la tendance.
Mais le modèle du château fort vole en éclats
Du coup, le recours au Cloud fait voler en éclats le système de défense traditionnel du château fort protégé par son pont-levis, le firewall, et ses gardes, les antivirus et autres anti-malwares. De nombreuses menaces pèsent :
- Selon le rapport sécurité 2021 de Check Point Research, « plus de 80 % des entreprises ont constaté que leurs outils de sécurité existants ne fonctionnaient pas du tout ou n’avaient que des fonctions limitées dans le Cloud ».
- Selon un autre rapport de Checkpoint, les principales vulnérabilités des ressources du Cloud public portent sur les accès non autorisés (42%), les interfaces non sécurisées (42%), les erreurs de configuration (40%) et les détournements de compte (39%).
- Le cabinet d’études Gartner est encore plus alarmiste, anticipant que, d’ici 2025, 99% des défauts de sécurité du Cloud seront provoqués par les clients.
- Dans son dernier baromètre, le Club des experts de la sécurité de l’information et du numérique (Cesin) partage ce constat. D’après les membres interrogés, les principaux risques de l’utilisation du Cloud concernent la non-maîtrise de la chaîne de sous-traitance de l’hébergeur et la difficulté de contrôler les accès.
Insuffisantes, les solutions périmétriques doivent être complétées par de nouveaux dispositifs. Les entreprises font ainsi de plus en plus appel à la micro-segmentation (subdivision en zones sécurisées pour isoler les charges de travail et les protéger individuellement) et à l’approche « zero trust » (contrôle strict de l’identité).
Le CASB (Cloud access security broker) agit notamment comme une sentinelle en contrôlant les entrées et sorties d’un réseau selon la politique de sécurité de l’entreprise. Son rôle principal consiste à empêcher que les utilisateurs ne déposent dans le Cloud des données non éligibles au stockage dans le Cloud comme, par exemple, des informations personnelles relevant du RGPD ou des données bancaires.
La complexité des technologies Cloud rend aussi plus difficile la détection des signaux d’une cyberattaque et allonge d’autant le délai de réponse. D’après une étude réalisée cette fois par Kapersky, le manque de visibilité sur l’ensemble de l’infrastructure est l’obstacle le plus commun auquel les entreprises sont confrontées lorsqu’elles ont affaire à des menaces complexes.
En externalisant leur infrastructure dans leur Cloud, les entreprises ont, par ailleurs, le tort de se décharger de la contrainte de sécurité sur les providers. Or, si ces derniers proposent différents services d’authentification et de sécurisation comme le chiffrement, il revient à l’utilisateur de les activer et de les configurer correctement.
Confier ses données et leur sécurité au même fournisseur revient, par ailleurs, à placer « tous ses œufs dans le même panier ». Cela accroît non seulement le rapport de dépendance vis-à-vis de ce dernier, mais aussi la surface d’exposition aux risques. Une faille de sécurité chez ledit fournisseur pouvant entraîner la compromission des données hébergées.
Les responsabilités sont partagées dans le Cloud
Le provider et l’utilisateur exercent des responsabilités partagées en matière de sécurité.
Le premier est responsable de la protection de son infrastructure, de la sécurité physique du datacenter jusqu’aux logiciels et au réseau permettant l’exécution de ses services. Le second doit sécuriser les machines virtuelles et les données qui s’y trouvent.
Le fournisseur est donc responsable de la sécurité du Cloud et l’entreprise de la sécurité dans le Cloud.
À charge pour cette dernière de bien configurer les paramètres de sécurité et de mettre à jour les correctifs sur la partie qui lui incombe.
Quelle solution de sécurité pour le Cloud ?
La solution de sécurité complètera le dispositif en mettant en place des services additionnels qui assurent, par le chiffrement, la confidentialité des environnements utilisateurs et des espaces partagés dans le Cloud.
Découvrez le cas d’un opérateur téléphonique européen qui a mis en place la solution ORIZON pour sécuriser le Cloud de son entreprise :
- Voir le replay : Un grand opérateur Télécom sécurise ses données stockées et partagées dans le Cloud avec Orizon
- Lire le cas client : Garantir la confidentialité des données sur Onedrive