L’efficacité, la flexibilité, la réduction des coûts fixes, de meilleures opportunités de collaboration et l’évolutivité ne sont que quelques-uns des aspects les plus importants du cloud computing qui séduisent les entreprises. Dès lors, il n’est pas surprenant que plus de 70% des entreprises mondiales opèrent désormais sur le cloud. Selon Gartner, la valeur totale des dépenses des utilisateurs sur les services de cloud public dépasserait 482 milliards de dollars en 2022. Chaque jour, nous rencontrons des entreprises de tous les secteurs qui cherchent à déplacer leurs opérations vers le cloud.
Encore appelée informatique en nuage, le cloud computing est défini comme étant le stockage et l’accès aux données par l’intermédiaire d’internet plutôt que via un disque dur d’ordinateur. En d’autres termes, on dira qu’on fait du cloud computing lorsqu’on peut accéder aux données ou à des programmes via internet, ou lorsque tout au moins, ces données sont synchronisées avec d’autres informations sur internet.
Cependant, si le cloud computing permet aux entreprises de maximiser leur potentiel, il n’est pas à l’abri des défis. Le défi le plus redoutable est la sécurité.
Les méthodes, contrôles, pratiques et mécanismes de sécurité traditionnels ne parviennent souvent pas à répondre correctement aux besoins de sécurité cloud d’une organisation. Les menaces auxquelles est confronté le cloud computing évoluent constamment.
Que votre organisation se lance déjà dans une migration cloud azure ou vers toutes autres plateformes cloud collaboratives, ou que vous ne sachiez toujours pas si le changement en vaut la peine, il y a plusieurs considérations de sécurité clés à garder à l’esprit. Cet article explore les risques de sécurité courants du cloud computing et examine les mesures de sécurité que votre organisation peut mettre en œuvre pour protéger vos services cloud.
Quelles sont les menaces majeures dans le cloud ?
Depuis le second semestre 2020, 79 % des entreprises ont été touchées par au moins une violation de données dans le cloud.
Alors que de plus en plus d’entreprises s’appuient sur la technologie basée sur le cloud, en particulier parce que le travail à distance est si répandu, il est crucial de s’assurer que les systèmes sont sécurisés et que les données confidentielles restent protégées. L’utilisation du stockage en nuage n’est pas nécessairement dangereuse, mais il existe certains risques cloud computing que les entreprises doivent connaître et comprendre comment les prévenir.
En outre, il est essentiel de discuter des risques de sécurité pertinents qui affligent le cloud. Sinon, tout le bon travail d’adoption du cloud n’aboutira à rien, ou pire, conduira à des catastrophes de sécurité.
Voici donc quelques principaux risques de sécurité qui affligent le paysage du cloud computing.
Perte de données
La perte de données est le risque de sécurité le plus courant du cloudcomputing et une préoccupaion croissane pour les organisations. Il s’agit du processus par lequel des données sont supprimées, corrompues et illisibles par un utilisateur, un logiciel ou une application. Dans un environnement de cloud computing, la perte de données se produit lorsque des données sensibles sont entre les mains d’une tierce personne, qu’un ou plusieurs éléments de données ne peuvent pas être utilisés par le propriétaire des données, que le disque dur ne fonctionne pas correctement et que le logiciel n’est pas mis à jour.
Comme le cloud computing oblige les organisations à céder une partie de leur contrôle à un fournisseur de service cloud, cela peut signifier que la sécurité de certaines des données critiques de votre organisation peut tomber entre les mains d’une personne extérieure à votre service informatique. Si le fournisseur de services cloud subit une violation ou une attaque, votre organisation perdra non seulement ses données et sa propriété intellectuelle, mais sera également tenue responsable de tout dommage en résultant.
Déni de service
Le déni de service (DoS) signifiait à l’origine simplement qu’un service Internet sur un système informatique, tel qu’un serveur, était temporairement indisponible. Cela se produit lorsque les serveurs en question sont surchargés, par exemple en raison d’un trop grand nombre de demandes d’utilisateurs.
Dans une attaque DoS, l’attaquant provoque volontairement ce « déni de service » : cela se produit en « bombardant », et par conséquent en surchargeant, avec une myriade de requêtes, les connexions réseau d’un système informatique chargé d’échanger des données externes. Si le nombre de demandes dépasse la limite de capacité, le système ralentit ou se bloque, ce qui provoquera une « interruption de service ».
La plupart du temps, les attaquants DoS ciblent les serveurs Web de grandes organisations telles que les secteurs bancaires, les entreprises de médias et les organisations gouvernementales.
Non-conformité réglementaire
L’un des risques auxquels le cloud computing est confronté aujourd’hui est la conformité. C’est un problème pour quiconque utilise des services de sauvegarde ou de stockage. Chaque fois qu’une entreprise déplace des données du stockage interne vers un cloud, elle doit se conformer aux réglementations et lois officielles. Selon le secteur et les exigences, chaque organisation doit s’assurer que ces normes sont respectées et exécutées.
La confidentialité des données devient une préoccupation majeure et, par conséquent, les réglementations de conformité et les normes de l’industrie telles que RGPD, HIPAA et PCI DSS deviennent plus strictes. L’une des clés pour assurer une conformité continue est de surveiller qui peut accéder aux données et ce qu’ils peuvent faire exactement avec cet accès. Les systèmes cloud permettent généralement un accès utilisateur à grande échelle, donc si les mesures de sécurité appropriées (c’est-à-dire les contrôles d’accès) ne sont pas en place, il peut être difficile de surveiller l’accès sur le réseau.
Les clients doivent rechercher des fournisseurs qui peuvent assurer la conformité et vérifier s’ils sont réglementés par les normes dont ils ont besoin. Certains fournisseurs offrent une conformité certifiée, mais dans certains cas, une contribution supplémentaire est nécessaire des deux côtés pour garantir des réglementations de conformité appropriées.
Comptes compromis et atteintes à la protection des données
L’utilisation de divers services cloud, tels que Dropbox, Intune, Microsoft Azure et Google Drive dans divers processus commerciaux, a rendu difficile pour les entreprises le contrôle des données sensibles. Le défi est qu’il s’agit de fournisseurs de services tiers, ce qui signifie que toute information partagée via des applications cloud est transférée en dehors du réseau informatique de l’employeur. Dans de telles situations, le contrôle des données est bien au-delà du contrôle de l’entreprise.
Le piratage de compte est un risque sérieux pour la sécurité dans le cloud computing. Il s’agit du processus par lequel le compte cloud d’un utilisateur ou d’une organisation (compte bancaire, compte de messagerie et compte de réseau social) est volé par des pirates. Les pirates utilisent le compte volé pour effectuer des activités non autorisées.
Les violations de données représentent peut-être la menace la plus importante pour la sécurité du cloud de votre organisation. Alors que le nombre total de violations de données continue d’augmenter, de plus en plus d’organisations voient leurs capacités de cloud computing sujettes à des problèmes de réputation et financiers provoqués par le contrecoup réglementaire et juridique de ces violations.
Menaces internes
Cette menace revient aux défaillances d’une organisation dans sa gouvernance d’accès. Alors que les contrôles d’accès garantiront que tout dommage involontaire est atténué autant que possible, les employés qui visent à nuire délibérément à la sécurité du cloud de l’organisation sous la forme de perte de données, de violations de données et de temps d’arrêt du système sont plus difficiles à gérer.
Il convient également de noter qu’une injection de logiciel malveillant est plus susceptible d’être effectuée par un initié ayant un accès à l’environnement cloud.
De telles menaces obligent les organisations à renforcer davantage leurs protocoles de gouvernance des accès de la manière suivante :
- Restriction permanente de l'accès aux systèmes critiques pour tous les employés, à l'exclusion de la haute direction
- Infrastructure cloud segmentée pour différentes unités commerciales
Les pratiques des entreprises qui accentuent le risque dans le cloud computing
Les initiés peuvent devenir une véritable cybermenace pour les organisations pour une raison évidente : ils font déjà partie de l’organisation et sont considérés comme dignes de confiance. Qu’ils soient malveillants ou négligents, ils peuvent présenter un risque plus important que les intrus externes car ils n’ont pas à franchir les barrières de sécurité externes.
Alors que de plus en plus d’entreprises encouragent le déploiement d’une modern workplace et l’utilisation du cloud pour le partage et le stockage de fichiers par leurs employés, il est important de comprendre les risques du cloud computing. Sans aucun doute, les employés peuvent créer, stocker et contrôler des informations à l’aide d’applications cloud plus qu’auparavant. Cependant, ces capacités augmentent le risque de cybersécurité pour les données d’entreprise. Cela dit, les employeurs devraient aborder cette adoption en mettant davantage l’accent sur diverses mesures de sécurité des données dans le cloud.
Le Shadow IT
Alors que les entreprises consacrent 40 % de leur financement informatique à la technologie basée sur le cloud, de nombreux responsables informatiques se sont demandé : existe-t-il un moyen de maintenir la sécurité tout en augmentant la flexibilité ?
La mise en place d’une politique informatique fantôme efficace peut aider à mettre l’informatique et votre entreprise à l’aise. Cependant, cela implique de comprendre sa définition, ses risques et ses avantages.
Le Shadow IT fait référence aux programmes, projets ou systèmes de technologie de l’information mis en œuvre en dehors des départements IT. Les employés disposent de plus d’applications SaaS de pointe qui les aident à faire leur travail que jamais auparavant, et avec la consumérisation de l’informatique, les employés n’hésiteront pas à simplement acquérir les outils qui, selon eux, les aideront à faire leur travail. Ces outils peuvent être inoffensifs et même utiles, mais des risques cloud computing peuvent se cacher en arrière-plan. Par conséquent, la sécurité des informations devient une priorité majeure, en particulier dans les entreprises qui hébergent ou traitent des données sensibles.
BYOD
Acronyme de Bring Your Own Device, il s’agit d’une pratique commerciale générale selon laquelle les employés sont autorisés à apporter leurs propres appareils électroniques personnels au travail.
Actuellement, plus de 60 % des employés utilisent leurs propres appareils personnels au travail,
et de nombreuses entreprises pensent que c’est une merveilleuse façon d’économiser de l’argent pour leur entreprise. Pourtant, bien que des économies sur les appareils puissent réduire certains coûts, le risque de sécurité accru du BYOD annule cet avantage, transformant rapidement cette pratique en un cauchemar pour la sécurité.
Lorsque les employés apportent leurs propres ordinateurs personnels et téléphones portables au travail, ils doivent se connecter directement à tous les systèmes confidentiels qu’ils utilisent chaque jour. Qu’il s’agisse de flux de communication sur le lieu de travail ou de stockage de données privées confidentielles pour l’entreprise, tous ces systèmes seront alors sur leurs propres ordinateurs.
Avec ce point de connexion, leur appareil devient une cible pour les cybercriminels, pouvant accéder à leur ordinateur pour ensuite accéder à toutes les données de l’entreprise situées sur leur appareil. Avec les appareils personnels, les responsables des systèmes informatiques n’ont pas un accès complet aux systèmes informatiques car ils sont privés et appartiennent à l’employé lui-même, ce qui rend la visualisation impossible.
Pas de contrat clair avec son fournisseur de cloud computing
Les organisations peuvent envisager des accords contractuels et de niveau de service stricts avec les fournisseurs de services cloud. Indépendamment de la taille ou du statut de votre entreprise, vous ne devez pas présumer que les conditions générales standard de votre fournisseur de cloud répondront à vos besoins. Commencez votre diligence raisonnable en examinant le contrat fournisseur. Ces accords doivent intégrer des questions telles que les exigences réglementaires, la surveillance des fournisseurs de services tiers, le droit d’auditer l’infrastructure cloud, une formulation claire sur la responsabilité, la propriété intellectuelle, les considérations et responsabilités de fin de service, les exigences de tenue de registres, la juridiction des données, et la conformité du fournisseur de services cloud aux normes internationalement reconnues.
Employés malhonnêtes
Lorsqu’une entreprise n’est pas consciente du risque posé par les travailleurs utilisant les services cloud, les employés peuvent partager à peu près n’importe quoi sans sourciller. Les menaces internes sont devenues courantes sur le marché moderne. Par exemple, si un vendeur est sur le point de démissionner d’une entreprise pour rejoindre une entreprise concurrente, il pourrait télécharger les contacts des clients vers les services de stockage en nuage et y accéder plus tard.
L’exemple ci-dessus n’est qu’une des menaces internes les plus courantes aujourd’hui. De nombreux autres risques sont liés à l’exposition de données privées à des serveurs publics.
Un contrôle insuffisant des identifiants d’accès
Comme la plupart des menaces auxquelles sont confrontés les actifs numériques, le cloud computing est également très vulnérable aux protocoles d’accès aux données internes d’une organisation. Cela est particulièrement vrai en ce qui concerne la sécurité globale du cloud d’une organisation et les données sensibles qui y sont partagées.
S’assurer que seul le personnel concerné, c’est-à-dire les employés qui ont besoin d’accéder à un environnement cloud particulier, y accède pourrait être un moyen simple mais très efficace d’éliminer les menaces pesant sur l’infrastructure cloud d’une organisation.
Parmi les autres étapes liées à la gouvernance des accès qu’une organisation peut prendre, citons :
- Configuration des paramètres de sécurité et gestion active directory
- Mise en œuvre de clés d'accès cryptographiques, de mots de passe et d'authentification multifacteur
- Exécution d'évaluations régulières des privilèges d'accès et suppression des informations d'identification inutiles ou inutilisées
- Modification en temps opportun de l'accès de chaque employé au cloud, au réseau et aux composants de données en fonction de son rôle et de son besoin d'accéder à ces ressources
- Documentation de tous les changements de contrôle d'accès
La mauvaise configuration
Les erreurs de configuration du cloud sont des vulnérabilités qui attendent de se produire. Les attaquants malveillants sont toujours à la recherche d’actifs cloud mal configurés, car ils peuvent être une porte d’entrée vers le vol de données sensibles, de mots de passe, d’informations financières, de numéros de téléphone, de dossiers médicaux et d’autres données personnelles exploitables. Les acteurs de la menace peuvent ensuite exploiter ces données pour le phishing et d’autres attaques d’ingénierie sociale.
Ces erreurs de configuration se produisent pour toutes sortes de raisons. L’une des causes est l’impossibilité de modifier les paramètres par défaut. Mais l’une des causes les plus courantes d’une mauvaise configuration du cloud est un malentendu sur qui est responsable de la sécurisation des actifs cloud. C’est pourquoi il est essentiel que votre organisation comprenne le modèle de responsabilité partagée.
Comment réduire les risques du cloud computing ?
Pour tirer pleinement parti des avantages du cloud computing, les organisations devront faire des efforts délibérés pour maintenir la sécurité dans les environnements cloud. Il existe également un besoin de compréhension mutuelle et de partenariat entre les entreprises et les fournisseurs de cloud pour assurer une sécurité optimale du cloud computing et la sécurité des données dans le nuage. Examinons quelques-unes des principales façons dont ils peuvent renforcer la sécurité dans les environnements cloud :
Formation sécurité pour les employés
Gartner estime qu'au cours des quatre prochaines années, la majorité des défaillances en matière de sécurité dans le cloud seront dues aux lacunes des employés.
Vous pouvez réduire la perte de données internes en formant les utilisateurs aux politiques de sécurité et aux escroqueries courantes d’ingénierie sociale, telles que les tentatives de phishing. Les employés ignorent souvent que leurs activités peuvent entraîner une perte de données. S’ils sont informés, ils prendront eux-mêmes de meilleures décisions.
Vous devez demander à votre fournisseur de stockage cloud s’il propose une formation pour aider à éduquer le personnel sur les cybermenaces potentielles et les risques de sécurité liés aux services cloud. Les employés doivent comprendre le fonctionnement interne du système de gestion des données de leur entreprise, en particulier lorsqu’il s’agit d’éviter les attaques d’ingénierie sociale sur les informations personnelles et les fichiers des utilisateurs finaux stockés à distance.
Authentification multifactorielle
De nouvelles façons de devenir vulnérables aux cybercriminels apparaissent toujours, et les informations d’identification volées sont l’un des principaux moyens par lesquels les pirates accèdent aux données et aux applications en ligne de l’entreprise. C’est pourquoi les combinaisons traditionnelles de nom d’utilisateur et de mot de passe ne suffisent pas à protéger les comptes d’utilisateurs contre les pirates. Ainsi, l’utilisation de l’authentification multifacteur (MFA) pour protéger adéquatement les utilisateurs du cloud est essentielle pour garantir que seules les personnes autorisées peuvent avoir accès aux données sensibles et aux applications cloud
Même si les mots de passe longs et complexes sont sécurisés, s’appuyer sur une seule méthode d’authentification ne l’est pas. Un mot de passe peut être volé au lieu d’être deviné. L’utilisation de l’authentification à plusieurs facteurs améliore la sécurité de votre entreprise ou même de votre compte personnel.
Dans l’ensemble, MFA est l’un des contrôles de sécurité cloud les plus abordables et les plus efficaces pour empêcher les pirates potentiels d’accéder à vos applications cloud.
Outil de DLP
De toutes les techniques de sécurité visant à assurer la sécurité des données et à lutter contre les violations de données, les outils de DLP (Data Loss Prevention) sont de loin les plus courants. Les outils DLP surveillent et analysent en permanence les données pour identifier les violations potentielles des politiques de sécurité et, le cas échéant, les empêcher de continuer. Les outils DLP couvrent toute la gamme, de ceux qui se concentrent sur une seule partie d’une organisation, comme les services de messagerie ou les ordinateurs portables, à ceux qui se spécialisent dans la sauvegarde, l’archivage et la restauration des données.
Pare-feu
Les pare-feu sont un outil de sécurité standard, mais comprenez-vous vraiment ce qu’ils font ? En termes simples, les pare-feu suivent et contrôlent le flux de données, identifiant les domaines d’où provient le trafic et les ports vers lesquels il transite. Les pare-feu fournissent également une surveillance en temps réel, évaluant les informations circulant entre ces domaines sources et ces ports de données, et autorisent ou bloquent les données en fonction d’un ensemble de règles de sécurité, contrecarrant ainsi les menaces potentielles.
Tout comme les pare-feu traditionnels, les pare-feu cloud gèrent le flux d’informations entre les domaines externes et votre système interne. Parfois également appelés « pare-feu de nouvelle génération », ces systèmes s’attaquent aux menaces avancées d’aujourd’hui et protègent les données de votre exploitation.
Une évaluation en continue des risques
Réaliser une évaluation des risques cloudcomputing consiste à réaliser un audit de votre architecture cloud. Ce dernier aide à comprendre les capacités des contrôles de sécurité déployés et l’efficacité de leur fonctionnement actuel. Il permet aux équipes impliquées de comprendre les lacunes et de prendre les décisions nécessaires pour les combler.
La réalisation d’évaluations des risques de cybersécurité est un moyen d’analyser la posture de cybersécurité de votre organisation et l’efficacité des contrôles de sécurité actuellement déployés. L’objectif d’une évaluation est d’identifier les vulnérabilités potentielles ou les failles de sécurité afin que votre équipe informatique puisse prendre des décisions éclairées sur la manière d’améliorer la sécurité à l’avenir.
Demandez donc à votre fournisseur de services s’il effectue des audits de routine des contrôles de sécurité pour protéger les données personnelles des utilisateurs finaux et les fichiers sensibles stockés sur leurs réseaux ; Si ce n’est pas le cas, vous voudrez peut-être rechercher un autre partenaire de cloud computing qui peut fournir une transparence totale concernant les mesures de sécurité mises en œuvre par les administrateurs de leur système.
