cloud computing security issues

Définition de la sécurité dans le Cloud

La sécurité dans le Cloud est une discipline de la cybersécurité dédiée à la sécurisation des systèmes informatiques dans le Cloud. Elle vise notamment à préserver la confidentialité et la sécurité des données dans les infrastructures, les applications et les plateformes en ligne. Pour sécuriser ces systèmes, il faut que les fournisseurs de services dans le Cloud et les clients qui utilisent ceux-ci consentent des efforts, qu'il s'agisse de particuliers, ou de petites, moyennes ou grandes entreprises.

Les fournisseurs de services dans le Cloud hébergent des services sur leurs serveurs grâce à des connexions Internet permanentes. Comme leur activité repose sur la confiance des clients, des méthodes de sécurité dans le Cloud sont utilisées pour préserver la confidentialité des données des clients et les stocker en toute sécurité. Cependant, la sécurité dans le Cloud reste aussi partiellement entre les mains du client. Il est essentiel de comprendre ces deux facettes pour trouver une solution saine de sécurité dans Cloud.

La sécurité dans le Cloud se compose essentiellement des catégories suivantes :

  • Sécurité des données
  • Gestion de l'identité et des accès (IAM)
  • Gouvernance (politiques de prévention, de détection et d'atténuation des menaces)
  • Planification de la conservation des données et de la continuité des activités
  • Conformité légale

La sécurité dans le Cloud peut sembler être une sécurité informatique classique, mais cette structure exige en fait une approche différente. Avant de plonger dans les détails, découvrons d'abord ce qu'est la sécurité dans le Cloud.

Qu’est-ce que la sécurité informatique dans le Cloud ?

La sécurité informatique dans le Cloud représente l’ensemble des technologies, protocoles et meilleures pratiques qui protègent les environnements informatiques dans le Cloud, les applications fonctionnant dans le Cloud ainsi que les données qui y sont stockées. La sécurisation des services dans le Cloud commence par connaître la nature exacte de ce qui est sécurisé ainsi que les aspects du système qui doivent être gérés.

En résumé, la conception de l'arrière-plan contre les vulnérabilités est en grande partie entre les mains des fournisseurs de services dans le Cloud. Outre le fait de choisir un fournisseur soucieux de la sécurité, les clients doivent avant tout correctement configurer le service et adopter des habitudes d'utilisation sûres. En outre, les clients doivent s'assurer que le matériel et les réseaux des utilisateurs finaux sont bien sécurisés.

Dans l'ensemble, la sécurité dans le Cloud est conçue pour protéger les éléments suivants, indépendamment de vos responsabilités :

  • Réseaux physiques : routeurs, alimentation électrique, câblage, climatisation, etc.
  • Stockage des données : disques durs, etc.
  • Serveurs de données : matériel et logiciels de base pour les réseaux informatiques
  • Structures de virtualisation des ordinateurs : logiciels de machines virtuelles, machines hôtes et machines invitées
  • Systèmes d'exploitation (SE) : logiciels qui prennent en charge toutes les fonctions de l'ordinateur
  • Logiciel médiateur : gestion de l'interface de programmation d'applications (API)
  • Environnements d'exécution : exécution et maintenance d'un programme en cours d'exécution
  • Données : toutes les informations stockées, modifiées et consultées
  • Applications : services logiciels traditionnels (messagerie électronique, logiciels d'impôts, suites de productivité, etc.)
  • Matériel de l'utilisateur final : ordinateurs, appareils mobiles,  objets connectés , etc.

Dans le cas de l'informatique dans le Cloud, la propriété de ces composants peut varier considérablement. Cela peut rendre floue l'étendue des responsabilités des clients en matière de sécurité. Comme la sécurisation du Cloud peut sembler différente selon la personne qui a une autorité sur chaque composant, il est important de comprendre comment ces éléments sont généralement regroupés.

Pour simplifier, les composants de l'informatique dans le Cloud sont sécurisés de deux points de vue principaux :

1. Les types de services dans le Cloud sont proposés par des fournisseurs tiers sous forme de modules utilisés pour créer l'environnement dans le Cloud. Selon le type de service, vous pouvez gérer un degré différent des composantes du service :

  • Le cœur de tout service tiers dans le Cloud implique que le fournisseur gère le réseau physique, le stockage des données, les serveurs de données et les structures de virtualisation des ordinateurs. Le service est stocké sur les serveurs du fournisseur et virtualisé via son réseau géré en interne avant d'être livré aux clients et d'être accessible à distance. Cette solution permet de réduire les coûts de matériel et d'autres infrastructures afin de permettre aux clients d'accéder à leurs besoins informatiques de n'importe quel endroit au moyen d'une connexion Internet.
  • Les services dans le Cloud en tant que solution SaaS (logiciel en tant que service) permettent aux clients d'accéder à des applications qui sont purement hébergées et exécutées sur les serveurs du fournisseur. Les fournisseurs gèrent les applications, les données, le temps d'exécution, les logiciels médiateurs ainsi que le système d'exploitation. La seule tâche des clients est de se procurer leurs applications. Parmi les solutions SaaS, on peut citer Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx et Evernote.
  • Les services dans le Cloud en tant que solution PaaS (plateforme en tant que service) offrent aux clients un hôte pour le développement de leurs propres applications, et celles-ci sont exécutées dans l'espace « bac à sable » du client sur les serveurs du fournisseur. Les fournisseurs gèrent le temps d'exécution, les logiciels médiateurs ainsi que le système d'exploitation. Les clients sont responsables de la gestion de leurs applications, de leurs données, de l'accès des utilisateurs, des appareils des utilisateurs finaux ainsi que des réseaux d'utilisateurs finaux. Parmi les solutions PaaS, on peut citer Google App Engine et Windows Azure.
  • Les services dans le Cloud en tant que solution IaaS (infrastructure en tant que service) offrent aux clients le matériel et les structures de connectivité à distance nécessaires pour héberger l'essentiel de leur environnement informatique, jusqu'au système d'exploitation. Les fournisseurs ne gèrent que les services de base dans le Cloud. Les clients sont responsables de la sécurité de l'ensemble du système d'exploitation, y compris les applications, les données, les temps d'exécution, les logiciels médiateurs et le système d'exploitation lui-même. En outre, les clients doivent gérer l'accès des utilisateurs, les appareils administrés par les utilisateurs finaux ainsi que les réseaux d'utilisateurs finaux. Parmi les solutions IaaS, on peut citer Microsoft Azure, Google Compute Engine (GCE) et Amazon Web Services (AWS).

2. Les environnements dans le Cloud sont des modèles de déploiement dans lesquels un ou plusieurs services dans le Cloud créent un système pour les utilisateurs finaux et les organisations. Ces derniers répartissent les responsabilités de gestion (y compris la sécurité) entre les clients et les fournisseurs.

Les environnements dans le Cloud actuellement disponibles sont les suivants :

  • Les environnements publics dans le Cloud sont composés de services dans le Cloud multi-locataires dans lesquels un client partage les serveurs d'un fournisseur avec d'autres clients, comme un immeuble de bureaux ou un espace de travail commun. Il s'agit de services tiers gérés par le fournisseur pour donner aux clients un accès via le Web.
  • Les environnements privés dans le Cloud fournis par des tiers sont basés sur l'utilisation d'un service dans le Cloud qui offre au client l'utilisation exclusive de son propre Cloud. Ces environnements à locataire unique sont généralement détenus, gérés et exploités hors site par un prestataire externe.
  • Les environnements privés internes dans le Cloud sont également composés de serveurs de services dans le Cloud à locataire unique, mais sont exploités à partir de leur propre centre de données privé. Dans ce cas, ces environnements dans le Cloud sont gérés par les entreprises elles-mêmes afin d'autoriser une configuration et un paramétrage complets de chaque élément.
  • Les environnements multi-cloud comprennent l'utilisation de deux ou plusieurs services dans le Cloud provenant de fournisseurs distincts. Il peut s'agir de n'importe quelle combinaison de services publics ou privés dans le Cloud.
  • Les environnements hybrides dans le Cloud comprennent une combinaison d'un centre de données privé dans le Cloud fourni par des tiers et/ou d'un centre de données privé dans le Cloud déployé sur site avec une ou plusieurs solutions publiques dans le Cloud.

Vue sous cet angle, on peut comprendre que la sécurité dans le Cloud peut être sensiblement différente selon le type d'espace utilisé dans le Cloud. Cependant, les effets sont perceptibles aussi bien par les clients individuels que par les organisations.

Comment fonctionne la sécurité dans le Cloud ?

Chaque mesure de sécurité dans le Cloud permet d'atteindre au moins un des objectifs suivants :

  • Permettre la récupération des données en cas de perte de données
  • Protéger le stockage et les réseaux contre le vol malveillant de données
  • Empêcher les erreurs humaines ou les négligences qui sont à l'origine de fuites de données
  • Réduire les conséquences de toute compromission des données ou du système

La sécurité des données est un aspect de la sécurité dans le Cloud qui comprend l'aspect technique de la prévention des menaces. Les outils et les technologies permettent aux fournisseurs et aux clients d'insérer des obstacles entre l'accès et la visibilité des données sensibles. Parmi ceux-ci, le chiffrement est l'un des plus puissants outils disponibles. Le chiffrement brouille vos données afin qu’elles ne soient lisibles que par une personne qui détient la clé de chiffrement. Si vos données sont perdues ou volées, elles seront illisibles et inutilisables dans la pratique. Les protections du transit des données , comme les réseaux privés virtuels (VPN), sont également préconisées dans les réseaux dans le Cloud.

La gestion des identités et des accès (IAM) concerne les privilèges d'accessibilité offerts aux comptes d'utilisateurs. La gestion de l'authentification et de l'autorisation des comptes d'utilisateurs s'applique également ici. Les contrôles d'accès sont essentiels pour empêcher les utilisateurs, tant légitimes que malveillants, d'entrer et de compromettre des données et des systèmes sensibles. La gestion des mots de passe , l'authentification à plusieurs facteurs et d'autres méthodes entrent dans le champ d'application de la gestion des identités et des accès.

La gouvernance se concentre sur les politiques de prévention, de détection et d'atténuation des menaces. Pour les PME et les grandes entreprises, des aspects tels que les renseignements sur les menaces peuvent contribuer au suivi et à la hiérarchisation des menaces afin de garder les systèmes essentiels bien protégés. Cependant, même les clients individuels de l'informatique dématérialisée pourraient tirer profit de la valorisation des politiques et des formations relatives au comportement sûr des utilisateurs . Ces règles s'appliquent principalement dans les environnements organisationnels, mais les règles de sécurité et de réaction aux menaces peuvent se révéler utiles à tout utilisateur.

La planification de la conservation des données (DR) et de la continuité des activités (BC) implique des mesures techniques de redressement après un incident en cas de perte de données. Au centre de tout plan de conservation des données et de continuité des activités se trouvent des méthodes de redondance des données , comme les sauvegardes. En outre, il peut être utile de disposer de systèmes techniques permettant d'assurer un fonctionnement ininterrompu. Les structures permettant de tester la validité des sauvegardes et les instructions détaillées de récupération des employés sont tout aussi précieuses pour assurer un plan complet de continuité des activités.

La conformité juridique s'articule autour de la protection de la vie privée des utilisateurs, conformément aux dispositions des corps législatifs. Les gouvernements ont pris conscience de l'importance de protéger les renseignements privés des utilisateurs contre l'exploitation à des fins lucratives. Ainsi, les organisations doivent se conformer à des réglementations pour satisfaire à ces politiques. L'une des approches consiste à utiliser le masquage des données , qui permet de dissimuler l'identité à l'intérieur des données par des méthodes de chiffrement .

En quoi la sécurité dans le Cloud est-elle différente ?

La sécurité informatique traditionnelle a connu une immense évolution en raison du passage à l'informatique dans le Cloud. Si les modèles dans le Cloud offrent plus de confort, la connectivité permanente exige de nouvelles dispositions pour assurer leur sécurité. La sécurité dans le Cloud, en tant que solution de cybersécurité modernisée, se distingue des modèles informatiques traditionnels à plusieurs égards.

Stockage des données : la principale distinction tient au fait que les anciens modèles informatiques reposaient largement sur le stockage des données sur site. Les organisations ont depuis longtemps constaté que la mise en place de l'ensemble des structures informatiques en interne pour assurer des contrôles de sécurité détaillés et personnalisés est coûteuse et rigide. Les structures basées sur le Cloud ont contribué à réduire les coûts de développement et de maintenance des systèmes, mais aussi à retirer un certain contrôle aux utilisateurs.

Vitesse de mise à l'échelle : dans le même ordre d'idées, la sécurité dans le Cloud exige une attention particulière lors de l'évolution des systèmes informatiques des entreprises. L'infrastructure et les applications centrées sur le Cloud sont très modulaires et rapides à déployer. Bien que cette capacité permette d'adapter uniformément les systèmes aux changements organisationnels, elle suscite des préoccupations lorsque les besoins en matière de mise à niveau et de commodité d'une organisation dépassent sa capacité à assurer la sécurité.

Interface avec le système de l'utilisateur final : pour les organisations comme pour les utilisateurs individuels, les systèmes dans le Cloud sont également connectés à de nombreux autres systèmes et services qui doivent être sécurisés. Les autorisations d'accès doivent être maintenues à partir de l'appareil de l'utilisateur final jusqu'au logiciel et même du réseau. En outre, les fournisseurs et les utilisateurs doivent être attentifs aux vulnérabilités qu'ils pourraient causer par des comportements dangereux lors de la configuration et de l'accès au système.

Proximité d'autres données et systèmes en réseau : les systèmes dans le Cloud représentant une connexion permanente entre les fournisseurs de services dans le Cloud et tous leurs utilisateurs, ce réseau important peut même compromettre le fournisseur lui-même. Dans le contexte des réseaux, un seul appareil ou composant faible peut être exploité pour infecter le reste. Les fournisseurs de services dans le Cloud s'exposent aux menaces de nombreux utilisateurs finaux avec lesquels ils interagissent, qu'ils fournissent des services de stockage de données ou d'autres services. Les fournisseurs qui, autrement, fournissaient des produits, vivent uniquement sur les systèmes des utilisateurs finaux plutôt que sur les leurs, et ils assument des responsabilités supplémentaires en matière de sécurité des réseaux.

La résolution de la plupart des problèmes de sécurité dans le Cloud signifie que les utilisateurs et les fournisseurs de services dans le Cloud, tant dans les environnements personnels que professionnels, doivent tous deux se montrer individuellement proactifs sur le plan de la cybersécurité. Cette double approche signifie que les utilisateurs et les fournisseurs doivent traiter mutuellement les points suivants :

  • Configuration et maintenance sécurisées du système.
  • Éducation des utilisateurs à la sécurité, tant sur le plan comportemental que technique.

En fin de compte, les fournisseurs et les utilisateurs de services dans le Cloud doivent faire preuve de transparence et répondre de leurs actes pour garantir la sécurité des deux parties.

Risques liés à la sécurité informatique dans le Cloud

Quels sont les problèmes de sécurité liés à l'informatique dans le Cloud ? En effet, si vous ne les connaissez pas, comment êtes-vous censé mettre en place des mesures adéquates ? Après tout, une faible sécurité des services dans le Cloud peut exposer les utilisateurs ainsi que les fournisseurs à toutes sortes de cybermenaces. Voici quelques menaces courantes qui pèsent sur la sécurité dans le Cloud :

  • Les risques liés à l'infrastructure du Cloud , y compris l'incompatibilité des structures informatiques existantes et l'interruption des services de stockage de données de tiers.
  • Les menaces internes imputables à l'erreur humaine , comme une mauvaise configuration des contrôles d'accès des utilisateurs.
  • Les menaces externes causées presque exclusivement par des acteurs malveillants, comme les logiciels malveillants , le phishing et les attaques DDoS .

Le plus grand risque avec le Cloud réside dans le fait qu’il n’existe aucun périmètre. La cybersécurité traditionnelle se concentrait sur la protection du périmètre, mais les environnements dans le Cloud sont très connectés, ce qui signifie que les API (interfaces de programmation d’applications) non sécurisées et les détournements de comptes peuvent poser de réels problèmes. Face aux risques de sécurité liés à l’informatique dans le Cloud, les professionnels de la cybersécurité doivent adopter une approche centrée sur les données.

L’interconnexion pose également des problèmes pour les réseaux. Les acteurs malveillants s'introduisent souvent dans les réseaux grâce à des identifiants compromis ou faibles. Une fois qu’un pirate informatique parvient à accéder au système, il peut facilement continuer son expansion et utiliser des interfaces mal protégées dans le Cloud pour localiser des données sur différentes bases de données ou nœuds. Les pirates peuvent même utiliser leurs propres serveurs dans le Cloud comme destination vers lesquels ils peuvent exporter les données volées et les y conserver. La sécurité doit être dans le Cloud et pas seulement utilisée pour protéger l’accès à vos données stockées dans le Cloud.

Le stockage de vos données par des tiers et l'accès à celles-ci via Internet constituent également des menaces. Si, pour une raison quelconque, ces services sont interrompus, votre accès aux données peut être perdu. Par exemple, une panne du réseau téléphonique pourrait vous empêcher d'accéder au Cloud à un moment crucial. De même, une panne de courant pourrait avoir une incidence sur le centre de données où vos données sont stockées, ce qui pourrait entraîner une perte de données permanente.

De telles interruptions pourraient avoir des répercussions à long terme. Une récente coupure de courant dans une infrastructure de données dans le Cloud d’Amazon a entraîné la perte de données de certains clients lorsque les serveurs ont subi des dommages matériels. Voici un bon exemple de la raison pour laquelle vous devriez disposer de sauvegardes locales d’au moins une partie de vos données et de vos applications.

Pourquoi la sécurité dans le Cloud est-elle importante ?

Dans les années 1990, les données commerciales et personnelles se trouvaient au niveau local, et la sécurité était également locale. Les données se trouvaient sur le stockage interne d'un PC à domicile, et sur des serveurs d'entreprise, si vous travailliez pour une entreprise.

L'introduction de la technologie dans le Cloud a contraint tout le monde à réévaluer la cybersécurité. Il se peut que vos données et applications circulent entre des systèmes locaux et distants, et qu'elles soient toujours accessibles sur Internet. Si vous accédez à Google Docs sur votre smartphone ou si vous utilisez le logiciel Salesforce pour vous occuper de vos clients, ces données peuvent être conservées n’importe où. Il devient donc plus difficile de les protéger que lorsqu’il s’agissait simplement d’empêcher les utilisateurs indésirables d’accéder à votre réseau. La sécurité dans le Cloud requiert l'ajustement de certaines pratiques informatiques antérieures, mais elle est devenue plus importante pour deux raisons essentielles :

  1. La commodité prime sur la sécurité. L'informatique dans le Cloud connaît une croissance exponentielle en tant que solution principale, tant pour le travail que pour l'utilisation personnelle. L'innovation a permis de mettre en œuvre de nouvelles technologies plus rapidement que ne le permettent les normes de sécurité de l'industrie, ce qui a responsabilisé davantage les utilisateurs et les fournisseurs face aux risques liés à l'accessibilité.
  2. La centralisation et le stockage multi-locataire. Chaque élément, allant de l'infrastructure de base aux petites données, comme les emails et les documents, peut désormais être retrouvé et accessible à distance grâce à des connexions Web 24 heures sur 24, 7 jours sur 7. Toutes ces collectes de données dans les serveurs de quelques grands fournisseurs de services peuvent présenter un réel danger. Les acteurs des menaces peuvent désormais cibler les grands centres de données multi-organisationnels et porter d'immenses atteintes à la protection des données .

Malheureusement, les acteurs malveillants se rendent compte de la valeur des cibles basées sur le Cloud et les explorent de plus en plus à la recherche d'exploits. Bien que les fournisseurs de services dans le Cloud jouent de nombreux rôles en matière de sécurité auprès des clients, ils ne gèrent pas tout. Cela laisse même aux utilisateurs non techniques le devoir de se former eux-mêmes à la sécurité dans le Cloud.

Cela dit, les utilisateurs ne sont pas les seuls à devoir assumer des responsabilités en matière de sécurité dans le Cloud. Le fait de connaître l'étendue de vos tâches de sécurité contribuera à rendre l'ensemble du système beaucoup plus sécurisé.

comment protéger vos données grâce à la sécurité informatique dans le Cloud

Préoccupations relatives à la sécurité dans le Cloud : vie privée

Des mesures législatives ont été mises en place pour protéger les utilisateurs finaux contre la vente et le partage de leurs données sensibles. Le règlement général sur la protection des données (RGPD) et la Health Insurance Portability and Accountability Act (HIPAA) ont chacun leurs propres obligations en matière de protection de la vie privée, et limitent la manière dont les données peuvent être stockées et consultées.

Des méthodes de gestion de l'identité, comme le masquage des données, ont été utilisées pour séparer les fonctionnalités identifiables des données des utilisateurs afin de se conformer au RGPD. Pour se conformer à l'HIPAA, les organisations, comme les établissements de santé, doivent s'assurer que leur fournisseur contribue également à restreindre l'accès aux données.

La CLOUD Act impose aux fournisseurs de services dans le Cloud leurs propres limites légales, potentiellement au détriment de la vie privée des utilisateurs. La loi fédérale américaine permet désormais aux forces de l'ordre au niveau fédéral de réclamer les données nécessaires aux serveurs des fournisseurs de services dans le Cloud. Bien que cette mesure permette de mener des enquêtes de manière efficace, elle risque de contourner certains droits à la vie privée et d'entraîner des abus de pouvoir potentiels.

les risques liés à la sécurité informatique dans le Cloud

Comment sécuriser le Cloud ?

Heureusement, il existe de nombreux moyens de protéger vos propres données dans le Cloud. Examinons quelques-unes des méthodes les plus populaires.

Le chiffrement est l'un des meilleurs moyens de sécuriser vos systèmes informatiques dans le Cloud. Il existe plusieurs façons différentes d’utiliser le chiffrement, et elles peuvent être proposées par un fournisseur de services dans le Cloud ou par un fournisseur distinct de solutions de sécurité dans le Cloud :

  • Le chiffrement des communications avec le Cloud dans leur intégralité.
  • Le chiffrement de données particulièrement sensibles, comme les identifiants de compte .
  • Le chiffrement de bout en bout de l'ensemble des données qui sont chargées dans le Cloud.

Dans le Cloud, les données risquent davantage d’être interceptées lorsqu’elles sont en circulation. Lorsque vos données se déplacent d’un lieu de stockage à un autre ou lorsqu’elles sont transmises à votre application sur site, elles sont vulnérables. Par conséquent, le chiffrement de bout en bout est la meilleure solution de sécurité dans le Cloud pour les données importantes. Grâce au chiffrement de bout en bout, votre communication n'est à aucun moment accessible aux personnes extérieures sans votre clé de chiffrement.

Vous pouvez soit chiffrer vos données vous-même avant de les stocker dans le Cloud, soit faire appel à un fournisseur de services dans le Cloud qui chiffrera vos données dans le cadre des services offerts. Cependant, si vous n’utilisez le Cloud que pour stocker des données non sensibles, comme des graphiques ou des vidéos d’entreprise, le chiffrement de bout en bout peut sembler superflu. En revanche, pour les informations financières, confidentielles ou commercialement sensibles, le chiffrement est vital.

Si vous utilisez le chiffrement, n’oubliez pas qu’il est primordial de gérer vos clés de chiffrement de manière sûre et sécurisée. Conservez une clé de sauvegarde et, dans l’idéal, ne la gardez pas dans le Cloud. Vous pouvez également envisager de modifier régulièrement vos clés de chiffrement de manière à ce que toute personne qui y accède soit exclue du système au moment de la modification.

La configuration est une autre pratique efficace en matière de sécurité dans le Cloud. De nombreuses atteintes à la protection des données dans le Cloud sont dues à des vulnérabilités de base, comme des erreurs de configuration. En prévenant ces erreurs, vous réduisez considérablement le risque de sécurité dans le Cloud. Si vous ne vous sentez pas capable d’effectuer le paramétrage vous-même, vous pouvez envisager de faire appel à un autre fournisseur de solutions de sécurité dans le Cloud.

Voici quelques principes que vous pouvez suivre :

  1. Ne laissez jamais les paramètres par défaut dans leur état d’origine . L'utilisation des paramètres par défaut équivaut à ouvrir la porte d'entrée à un pirate informatique. Évitez cela et compliquez la tâche d'un pirate informatique qui voudrait s'introduire dans votre système.
  2. Ne laissez jamais un bucket de stockage dans le Cloud ouvert. Un bucket de stockage ouvert pourrait permettre aux pirates de voir le contenu simplement en ouvrant l’URL du bucket de stockage.
  3. Si le fournisseur de services dans le Cloud vous propose des commandes de sécurité que vous pouvez activer , utilisez-les. Si vous ne choisissez pas les options de sécurité appropriées, vous risquez de vous retrouver dans une situation à risque.

Toute mise en œuvre du Cloud devrait également comporter des conseils de baseen matière de cybersécurité. Même si vous utilisez le Cloud, il convient de tenir compte des pratiques standards de cybersécurité. Il convient donc de prendre en considération les points suivants si vous voulez être aussi protégé que possible en ligne :

  • Utilisez des mots de passe forts. Utilisez un mélange de lettres, de chiffres et de caractères spéciaux pour rendre votre mot de passe plus difficile à pirater. Essayez d’éviter les choix évidents, comme remplacer un S par le symbole $. Plus vos chaînes sont aléatoires, mieux c’est.
  • Utilisez un gestionnaire de mots de passe. Vous pourrez attribuer des mots de passe distincts à chaque application, base de données et service que vous utilisez, sans avoir à les mémoriser tous. Cependant, il est important de veiller à protéger votre gestionnaire de mots de passe par un mot de passe principal fort.
  • Protégez tous les appareils que vous utilisez pour accéder à vos données dans le Cloud, y compris les smartphones et les tablettes. Si vos données sont synchronisées sur de nombreux appareils, l’un d’entre eux pourrait être un maillon faible mettant en péril l’ensemble de votre empreinte numérique.
  • Sauvegardez régulièrement vos données de manière à ce que vous puissiez les restaurer intégralement en cas de panne du Cloud ou de perte de données chez votre fournisseur de services dans le Cloud. Cette sauvegarde peut se faire sur votre PC à domicile, sur un disque dur externe ou même de service Cloud à service Cloud, à condition que vous soyez certain que les deux fournisseurs de services dans le Cloud ne partagent pas leur infrastructure.
  • Modifiez les autorisations pour empêcher toute personne ou tout appareil d’avoir accès à toutes vos données, sauf si cela s’avère nécessaire. Par exemple, les entreprises le feront en paramétrant les autorisations de la base de données. Si vous disposez d’un réseau domestique, utilisez les réseaux invités pour vos enfants, pour les appareils de l’IdO et pour votre télévision. Soyez la seule personne à pouvoir accéder à toutes les données.
  • Protégez-vous avec des logiciels antivirus et antimalware . Les pirates informatiques peuvent facilement accéder à votre compte si des logiciels malveillants s’introduisent dans votre système.
  • Évitez d'accéder à vos données sur un réseau Wi-Fi public , surtout si celui-ci n’utilise aucune authentification solide. Par contre, utilisez un réseau privé virtuel (VPN) pour protéger votre passerelle vers le Cloud.

Le stockage dans le Cloud et le partage de fichiers

Les risques liés à la sécurité de l'informatique dans le Cloud peuvent avoir une incidence sur tout le monde, des entreprises aux consommateurs individuels. Par exemple, les consommateurs peuvent utiliser un service public dans le Cloud pour stocker et sauvegarder des fichiers (à l’aide de services SaaS comme Dropbox), pour accéder à des services comme la messagerie électronique et des applications bureautiques, ou pour remplir des formulaires fiscaux et des comptes.

Si vous utilisez des services dans le Cloud, vous devrez peut-être aussi réfléchir à la manière dont vous partagez les données dans le Cloud avec d’autres personnes, en particulier si vous travaillez en tant que consultant ou indépendant. Bien que le partage de fichiers sur Google Drive ou un autre service puisse être un moyen facile de partager votre travail avec des clients, vous devrez peut-être vérifier que vous gérez correctement les autorisations. Après tout, vous voudrez vous assurer que les différents clients ne peuvent pas voir les noms ni les répertoires des uns et des autres, ni modifier les fichiers des autres.

N’oubliez pas que parmi ces services de stockage dans le Cloud généralement proposés, nombreux sont ceux qui ne chiffrent pas les données. Si vous souhaitez sécuriser vos données grâce au chiffrement, vous devrez utiliser un logiciel de chiffrement pour le faire vous-même avant de charger les données en ligne. Vous devrez alors remettre une clé à vos clients, faute de quoi ils ne pourront pas lire les fichiers.

Vérifier la sécurité de votre fournisseur de services dans le Cloud

La sécurité doit être l'un des principaux points à prendre en compte dans le choix d'un fournisseur de sécurité dans le Cloud. En effet, votre cybersécurité n'est plus seulement votre responsabilité : les entreprises de sécurité dans le Cloud doivent assumer leur part de responsabilité dans la création d'un environnement sécurisé dans le Cloud et assurer la sécurité des données.

Malheureusement, les entreprises proposant des services dans le Cloud ne vous dévoileront pas les principes fondamentaux de la sécurité de leur réseau. Cela équivaudrait à ce qu'une banque vous fournisse les détails de son coffre-fort ainsi que les numéros de combinaison de celui-ci.

Toutefois, si vous obtenez les bonnes réponses à certaines questions de base, vous pourrez être plus sûr que vos ressources dans le Cloud seront en sécurité. En outre, vous serez mieux à même de savoir si votre fournisseur a correctement traité les risques inhérents à la sécurité dans le Cloud. Nous vous recommandons de poser les questions suivantes à votre fournisseur de services dans le Cloud :

  • Audits de sécurité : « Procédez-vous régulièrement à des audits externes de votre sécurité ? »
  • Segmentation des données : « Les données relatives aux clients sont-elles segmentées logiquement et conservées séparément ? »
  • Chiffrement : « Nos données sont-elles chiffrées ? Quelles sont les parties chiffrées ? »
  • Conservation des données des clients : « Quelles sont les politiques appliquées en matière de conservation des données des clients ? »
  • Conservation des données des utilisateurs : « Mes données sont-elles bien effacées si je quitte votre service dans le Cloud ? »
  • Gestion de l'accès : « Comment les droits d'accès sont-ils contrôlés ? »

Assurez-vous également d'avoir lu les conditions d'utilisation (CGU) établies par votre fournisseur. La lecture des CGU est indispensable pour comprendre si vous recevez exactement ce que vous voulez et ce dont vous avez besoin.

Assurez-vous que vous connaissez également tous les services utilisés avec votre fournisseur. Si vos fichiers sont conservés sur Dropbox ou sauvegardés sur iCloud (le stockage dans le Cloud d’Apple), cela pourrait bien signifier qu’ils sont en fait conservés sur les serveurs d’Amazon. Vous devrez donc vous renseigner au sujet d’AWS, mais également à propos du service que vous utilisez directement.

Solutions hybrides de sécurité dans le Cloud

Les services hybrides de sécurité dans le Cloud peuvent être un choix très judicieux pour les PME et les grandes entreprises. Ils sont plus adaptés aux PME et aux grandes entreprises, car ils sont généralement trop complexes pour un usage personnel. Cependant, ce sont ces organisations qui pourraient combiner l'évolutivité et l'accessibilité du Cloud tout en contrôlant sur place des données particulières.

Voici quelques avantages des systèmes hybrides de sécurité dans le Cloud :

La segmentation des services peut aider une organisation à contrôler la manière dont ses données sont consultées et stockées. Par exemple, le fait de placer des données plus sensibles sur site tout en déchargeant d'autres données, applications et processus dans le Cloud peut vous permettre de renforcer correctement votre sécurité. En outre, la séparation des données peut améliorer la capacité de votre organisation à rester légalement conforme aux réglementations en matière de données.

La redondance peut également être assurée grâce à des environnements hybrides dans le Cloud. En effectuant leurs opérations quotidiennes à partir de serveurs publics dans le Cloud et en sauvegardant les systèmes dans des serveurs de données locaux, les organisations peuvent poursuivre leurs activités si un centre de données est déconnecté ou infecté par des ransomwares .

Solutions de sécurité dans le Cloud pour les PME

Alors que certaines entreprises peuvent recourir à un Cloud privé (l’équivalent sur Internet de posséder son propre immeuble de bureaux ou un campus), les particuliers et les petites entreprises doivent se contenter de services publics dans le Cloud. Cela équivaut à partager un bureau équipé ou à vivre dans un immeuble avec des centaines d’autres locataires. Par conséquent, votre sécurité doit être une priorité.

Dans les applications destinées aux petites et moyennes entreprises, vous constaterez que la sécurité dans le Cloud repose en grande partie sur les fournisseurs publics que vous utilisez.

Cependant, il existe des mesures que vous pouvez prendre pour assurer votre sécurité :

  • Segmentation des données multi-locataires : les entreprises doivent s'assurer que leurs données ne sont accessibles à aucun autre client de leurs fournisseurs de services dans le Cloud. Que les fichiers soient hébergés dans des serveurs segmentés ou soigneusement chiffrés, assurez-vous que des mesures de segmentation sont en place.
  • Contrôles d'accès des utilisateurs : le fait de contrôler les autorisations peut avoir pour effet de limiter l'accès des utilisateurs dans une mesure peu pratique. Toutefois, il peut être beaucoup plus sûr d'adopter des mesures restrictives et de faire marche arrière pour trouver un équilibre que de laisser des autorisations vagues empiéter sur votre réseau.
  • Mise en conformité des données avec la législation : il est essentiel que vos données soient conformes aux réglementations internationales, comme celles du RGPD, pour éviter de lourdes amendes et des atteintes à la réputation. Assurez-vous que des mesures, comme le masquage des données et la classification des données sensibles, sont une priorité pour votre organisation.
  • Mise à l'échelle rigoureuse des systèmes dans le Cloud : avec la mise en œuvre rapide des systèmes dans le Cloud, assurez-vous de prendre le temps de vérifier la sécurité des systèmes de votre organisation par rapport au côté pratique. Les services dans le Cloud peuvent rapidement devenir tentaculaires au point de manquer de réglementation.

Solutions de sécurité dans le Cloud pour les grandes entreprises

Comme l’informatique dans le Cloud est maintenant utilisée par plus de 90 % des grandes entreprises, la sécurité du Cloud est un élément essentiel de la cybersécurité des entreprises. Les services privés dans le Cloud et d'autres infrastructures plus coûteuses peuvent être des solutions intéressantes pour les grandes entreprises. Cependant, vous devrez toujours vous assurer que votre système informatique interne est en mesure d'assurer la maintenance de l'ensemble de vos réseaux.

Pour les grandes entreprises, la sécurité dans le Cloud peut se révéler bien plus flexible à condition d'investir dans votre infrastructure.

Il convient de garder à l'esprit quelques points clés :

  • Gérez activement vos comptes et vos services : si vous n'utilisez plus un service ou un logiciel, fermez-le correctement. Les pirates peuvent accéder facilement à l'ensemble d'un réseau dans le Cloud par l'intermédiaire d'anciens comptes dormants à cause de vulnérabilités non corrigées.
  • Authentification à plusieurs facteurs (MFA) : il peut s’agir de données biométriques , comme des empreintes digitales, ou d’un mot de passe et d’un code séparé envoyés à votre appareil mobile. Cette méthode prend du temps, mais elle est utile pour protéger vos données les plus sensibles.
  • Évaluez le rapport coût-bénéfice d'une solution hybride dans le Cloud : la segmentation de vos données est bien plus importante dans le cadre d'une utilisation en entreprise, car vous traiterez des quantités de données beaucoup plus importantes. Vous devez vous assurer que vos données sont séparées de celles des autres clients, qu’elles soient chiffrées séparément ou segmentées logiquement pour être stockées séparément. Les services hybrides dans le Cloud peuvent vous aider dans cette tâche.
  • Faites attention au Shadow IT : il est essentiel de sensibiliser vos employés afin qu'ils évitent d'utiliser des services dans le Cloud non autorisés sur vos réseaux ou dans le cadre de leur travail au sein de votre entreprise. Si des données sensibles sont communiquées par des canaux non sécurisés, votre organisation peut être exposée à des acteurs malveillants ou à des problèmes légaux.

Ainsi, que vous soyez un particulier, une PME ou même une grande entreprise, il est important de veiller à ce que votre réseau et vos appareils soient aussi sécurisés que possible. Pour cela, il faut d'abord bien comprendre les principes de base de la cybersécurité au niveau de l'utilisateur individuel et s'assurer que votre réseau ainsi que tous les appareils sont protégés par une solution de sécurité robuste conçue pour le Cloud.

Produits associés :

Articles connexes :

Qu’est-ce que la sécurité informatique dans le Cloud ?

Qu’est-ce que la sécurité informatique dans le Cloud ? Découvrez les risques liés à l'utilisation du Cloud et comment vous protéger contre ses menaces, que vous soyez un particulier ou une organisation.
Kaspersky Logo