Le recours au cloud a connu une accélération sans précédent depuis la crise sanitaire. Cette solution convainc de plus en plus d’entreprises de toutes tailles. Si l’hébergement des données dans le cloud présente de nombreux avantages économiques et opérationnels, des organismes mettent en garde, et des précautions s’imposent. Zoom sur quelques bonnes pratiques.

Les promesses séduisantes du cloud pour les entreprises

Aux yeux de nombreuses entreprises, le cloud computing représente une solution intéressante à bien des égards. L’externalisation de la gestion et du stockage des données – via Internet, et confiée à un prestataire dans ses propres serveurs et data centers distants – présente d’abord des avantages économiques. Finis l’achat et la maintenance du matériel informatique destiné à l’hébergement. Avec le cloud, la souplesse est de mise : l’entreprise ne paye que les ressources qu’elle utilise, et elle peut rapidement monter en charge lorsque le volume de ses datas le nécessite. Le cloud, c’est aussi la possibilité d’accéder aux données à tout moment et en tout lieu. Avec la crise sanitaire et l’explosion du télétravail, de nombreuses entités ont logiquement franchi le cap. Parfois dans l’urgence, avec des solutions gratuites et faiblement sécurisées.

Selon le dernier baromètre OpinionWay – Cesin “Le Club des Experts de la Sécurité de l’Information et du Numérique” (février 2021), 90 % des grandes entreprises françaises ont aujourd’hui tout ou partie de leurs données et services d’information hébergés dans le cloud.

61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Problème : d’après une étude IS Decisions, 61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Le Cloud, un environnement jugé « à risques »

Cette solution, aussi avantageuse soit-elle, invite effectivement à la plus grande vigilance. Fin 2020, La DGSI (Direction générale de la sécurité intérieure) a publié une mise en garde en ce sens, et a listé les principales menaces liées à l’hébergement dans le cloud. Parmi elles : 

  • la paralysie de l’activité en cas de défaillance technique du fournisseur ;
  • les cyberattaques (rançongiciels, malwares…) ; 
  • les fuites de données ; 
  • les captations et pertes de données ; 
  • l’espionnage économique ; 
  • mais aussi la non-conformité réglementaire au droit français et européen en matière de protection des données.

S’agissant du cloud, dans son baromètre, le Cesin parle sans équivoque d’un « environnement toujours à risque ». Et l’organisme indique que bon nombre d’entreprises restent fébriles. Sur le podium des vulnérabilités, elles citent à 51 % : « la non-maîtrise de la chaîne de sous-traitance de l’hébergeur » ; puis à 45 % : « la difficulté de contrôler les accès des administrateurs de l’hébergeur » ; enfin, à 44 % « la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise ».

Rendre notre monde + sûr

Le top 3 des vulnérabilités du cloud selon les entreprises

44

la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise

46

la difficulté de contrôler les accès des administrateurs de l’hébergeur

51

la non-maîtrise de la chaîne de sous-traitance de l’hébergeur

L’enjeu du choix du fournisseur et des données migrées

Dans ses recommandations, la DGSI encourage les entreprises à faire preuve de discernement. D’abord dans le choix des prestataires. Il est impératif de passer le cahier des charges à la loupe : pas d’offres gratuites, pas d’hébergeur hors de l’Union européenne, et la présence de garanties optimales sur la sécurité dans le cloud. En veillant par exemple à ce que le fournisseur utilise des outils de surveillance et de détection automatisés pour réagir au plus vite. Les responsabilités de chacun (entre l’entreprise cliente et le prestataire), en matière de protection des données et en cas d’incident, doivent être claires.

Est-il nécessaire de migrer l’intégralité de ses données dans le cloud ? Pas nécessairement. Selon la DGSI, il conviendrait même de conserver les données stratégiques dans les infrastructures internes à l’entreprise, et de placer uniquement les informations non sensibles dans le cloud. Le géant de l’informatique IBM conseille, lui, « d’évaluer les types de données que vous prévoyez de migrer vers le cloud, et de définir des politiques de sécurité appropriées ». 

Bien crypter les données et mieux contrôler les accès

Le cryptage des données stockées fait aussi partie des solutions de sécurisation. Kaspersky, spécialiste en cybersécurité, indique que le chiffrement est « l’un des plus puissants outils disponibles ». Le chiffrement brouille les données stockées et/ou en transit, afin qu’elles ne soient lisibles que par une personne qui détient la clé de chiffrement. Mais la DGSI va même plus loin, en conseillant de procéder au chiffrement directement en interne, indépendamment de tout prestataire. 

Les contrôles d’accès demeurent également essentiels pour empêcher les intrusions malveillantes. À mettre en place : une politique forte de gestion des mots de passe, et une identification multifacteur. 

35 % des incidents sont générés par des collaborateurs internes

En matière de cybersécurité, la sensibilisation des collaborateurs et des collaboratrices reste prépondérante. Dans le cloud, la tentation peut être forte de télécharger des applications tierces sur Internet et d’utiliser des services non sécurisés. Ils seront autant de portes d’entrée possibles pour des hackers. Selon le cabinet PwC, « 35 % des incidents sont générés par des collaborateurs internes ». L’élément « humain » est à prendre au sérieux pour utiliser le cloud en minimisant les risques.

Lire aussi

Télésurveillance et vidéosurveillance : quelle différence ?

une caméra de vidéoprotection
Sécurité & Sûreté humaine
25 juin 2024

Installer un système de sécurité à son domicile, dans son entreprise ou dans un lieu public permet d’éviter bien des accidents ou de contrecarrer des délits. Parmi les options possibles, il y a la télésurveillance et la vidéosurveillance. Mais quelles sont les différences entre ces deux solutions ? Comment savoir…

En quoi consiste un audit de cybersécurité ?

Technologie & Systèmes
11 juin 2024

À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…