Le cloud est aujourd’hui largement utilisé par les entreprises. Que ce soit pour la messagerie, ou la gestion de la relation client, de nombreuses données confidentielles sont stockées en ligne. Les fournisseurs de services cloud sont conscients que la sécurité est un élément primordial pour leurs clients. Mais il arrive que des entreprises soient victimes de vol ou de perte de données. Le cloud est-il si bien sécurisé ? C’est un espace relativement sûr, mais malheureusement, il n’est pas infaillible. Découvrez les risques liés à l’utilisation du cloud, la responsabilités partagée et les bonnes pratiques à mettre en place pour augmenter sa sécurité.
Sécurité : l’utilisation du cloud n’est pas sans risque
Vol de données
Les cybercriminels utilisent des techniques redoutables pour parvenir à leurs fins. Les comptes des cadres sont en général les plus visés, mais aussi les personnes traitant des données importantes ou les services financiers. Un vol de données peut se solder par la fuite d’informations confidentielles ou bien par la suppression complète des ressources. Il convient donc de renforcer la gestion des identités, des accès et les mesures de sécurité des comptes de l’entreprise.
Perte de données
Les fournisseurs de services cloud redoublent de sécurité pour que les données soient bien gardées, mais le risque zéro n’existe pas. Cela peut arriver suite à une action malveillante de la part d’un pirate ou d’un utilisateur, mais aussi de façon accidentelle. S’il n’y a pas de système de sauvegarde ou de récupération des données, une erreur humaine peut faire disparaître des données en un instant.
Menaces internes
Dans son livre La Cybersécurité au-delà de la technologie, Philippe Trouchaud, associé au sein du cabinet PwC, estime que 35 % des incidents sont causés par des collaborateurs internes. La plupart du temps sans intention de nuire, de tels accidents peuvent entraîner le partage de données sensibles. Une entreprise n’est d’ailleurs jamais à l’abri d’un vol de données par un employé sur le point de quitter la société. L’appropriation de données qui se trouvent dans le cloud est en effet plus difficile à détecter que le vol de documents physiques.
Quelles mesures adopter pour améliorer la sécurité du cloud ?
Les fournisseurs de services cloud comme Microsoft 365 proposent des solutions de sécurité renforcées. Mais les menaces ne sont pas toujours extérieures. La responsabilité est partagée, à la fois entre le service cloud, mais aussi l’entreprise. Pour protéger ses données, des mesures supplémentaires peuvent être mises en place.
- Adopter la double authentification : cette méthode de sécurité permet l’accès à un service en ligne seulement après que l’utilisateur ait présenté deux preuves de son identité. La méthode la plus couramment fréquentée repose sur l’utilisation d’un mot de passe et d’une clé d’authentification unique (envoyée par SMS par exemple).
- Sauvegarder ses données : le faire régulièrement permet de ne pas se retrouver totalement démuni en cas d’accident. L’utilisation de serveurs en interne permet d’augmenter la protection de ses données.
- Crypter ses informations : à l’aide d’algorithmes complexes, les informations sont chiffrées, et par conséquent illisibles si l’on ne possède pas la clé de cryptage confidentielle.
- Ne pas se fier aux applications tierces : c’est ce que l’on appelle le Shadow IT. Cela consiste à détourner l’équipe informatique pour télécharger des logiciels ou accéder à des applications en ligne. Certains peuvent être malveillants et entraîner des conséquences néfastes si des fichiers tombent entre de mauvaises mains.
Vous l’aurez compris, la sécurité mise en place par les fournisseurs de services cloud n’est pas toujours suffisante. Les serveurs gérés par ces sociétés sont très bien gardés, mais personne n’est à l’abri d’un accident. Pour bénéficier d’un cloud le plus sûr possible, il convient donc de mettre en place quelques bonnes pratiques. Il faut également renforcer les méthodes de protection et de former ses employés à l’hygiène de sécurité. Surtout, il ne faut pas croire que la sécurité du cloud est la seule responsabilité du fournisseur.
La double responsabilité de la sécurité du cloud : fournisseur et client.
Un sujet important quand il s’agit de la sécurité du cloud, est la responsabilité en cas de problème.
Les principaux fournisseurs de solutions cloud tels que Microsoft ou Amazon proposent tous une responsabilité partagée de la sécurité. Dans ce modèle de responsabilité, le fournisseur est le garant de l’infrastructure qu’il met à la disposition du client. Cela comprend le stockage, le calcul ou encore le réseau. Le client prend sous sa responsabilité la sécurité de tout ce qui est hors des compétences du fournisseur. Cela comprend le système d’exploitation des invités, des utilisateurs, des applications et des données.
Votre responsabilité dans la sécurité de votre Cloud
La responsabilité de votre entreprise pour sécuriser le cloud et les moyens à déployer pour y parvenir dépendront du type de service utilisé :
- SaaS : modèle le moins contraignant en principe. Ici vos équipes doivent seulement gérer l’accès au système et le niveau d’autorisation.
- PaaS : Ce modèle demande plus de gestions en y incorporant les populations d’utilisateurs et de développeurs.
- IaaS : Avec l’Infrastructure en service, votre responsabilité de sécurisation s’étend au réseau et à l’infrastructure. Dans ce cas précis, une mauvaise configuration des serveurs est de votre responsabilité et non celle du fournisseur.
Évidemment plus le niveau se complexifie plus il est profitable de faire appel à un expert extérieur pour déléguer cette gestion. L’infogérance est le service qui vous permet de remettre à un expert cette responsabilité de la sécurité de votre cloud.
La sécurité du cloud est donc en principe très élevée. Il reste important de toujours contrôler cette sécurisation et d’être conscient du niveau de responsabilité qui est le vôtre. Pour éviter le vol ou la perte de données, il sera indispensable de bien choisir votre fournisseur. Vous devez aussi avoir les compétences en internes en fonction du niveau de sécurité et de gestion nécessaire pour le faire. Un expert externe peut prendre en charge la gestion de cette responsabilité. Il vous offre plus de garanties sur la sécurité de votre cloud. Notre offre NowServ365 est dédiée à la gestion de la solution cloud Microsoft Office 365.