Le recours au cloud a connu une accélération sans précédent depuis la crise sanitaire. Cette solution convainc de plus en plus d’entreprises de toutes tailles. Si l’hébergement des données dans le cloud présente de nombreux avantages économiques et opérationnels, des organismes mettent en garde, et des précautions s’imposent. Zoom sur quelques bonnes pratiques.

Les promesses séduisantes du cloud pour les entreprises

Aux yeux de nombreuses entreprises, le cloud computing représente une solution intéressante à bien des égards. L’externalisation de la gestion et du stockage des données – via Internet, et confiée à un prestataire dans ses propres serveurs et data centers distants – présente d’abord des avantages économiques. Finis l’achat et la maintenance du matériel informatique destiné à l’hébergement. Avec le cloud, la souplesse est de mise : l’entreprise ne paye que les ressources qu’elle utilise, et elle peut rapidement monter en charge lorsque le volume de ses datas le nécessite. Le cloud, c’est aussi la possibilité d’accéder aux données à tout moment et en tout lieu. Avec la crise sanitaire et l’explosion du télétravail, de nombreuses entités ont logiquement franchi le cap. Parfois dans l’urgence, avec des solutions gratuites et faiblement sécurisées.

Le Palais de l'Elysée en France
Le Palais de l'Elysée en France

France : 1 milliard d’euros débloqués contre les cyberattaques

Selon le dernier baromètre OpinionWay – Cesin “Le Club des Experts de la Sécurité de l’Information et du Numérique” (février 2021), 90 % des grandes entreprises françaises ont aujourd’hui tout ou partie de leurs données et services d’information hébergés dans le cloud.

61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Problème : d’après une étude IS Decisions, 61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Le Cloud, un environnement jugé « à risques »

Cette solution, aussi avantageuse soit-elle, invite effectivement à la plus grande vigilance. Fin 2020, La DGSI (Direction générale de la sécurité intérieure) a publié une mise en garde en ce sens, et a listé les principales menaces liées à l’hébergement dans le cloud. Parmi elles : 

  • la paralysie de l’activité en cas de défaillance technique du fournisseur ;
  • les cyberattaques (rançongiciels, malwares…) ; 
  • les fuites de données ; 
  • les captations et pertes de données ; 
  • l’espionnage économique ; 
  • mais aussi la non-conformité réglementaire au droit français et européen en matière de protection des données.

S’agissant du cloud, dans son baromètre, le Cesin parle sans équivoque d’un « environnement toujours à risque ». Et l’organisme indique que bon nombre d’entreprises restent fébriles. Sur le podium des vulnérabilités, elles citent à 51 % : « la non-maîtrise de la chaîne de sous-traitance de l’hébergeur » ; puis à 45 % : « la difficulté de contrôler les accès des administrateurs de l’hébergeur » ; enfin, à 44 % « la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise ».

Rendre notre monde + sûr

Le top 3 des vulnérabilités du cloud selon les entreprises

44

la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise

46

la difficulté de contrôler les accès des administrateurs de l’hébergeur

51

la non-maîtrise de la chaîne de sous-traitance de l’hébergeur

L’enjeu du choix du fournisseur et des données migrées

Dans ses recommandations, la DGSI encourage les entreprises à faire preuve de discernement. D’abord dans le choix des prestataires. Il est impératif de passer le cahier des charges à la loupe : pas d’offres gratuites, pas d’hébergeur hors de l’Union européenne, et la présence de garanties optimales sur la sécurité dans le cloud. En veillant par exemple à ce que le fournisseur utilise des outils de surveillance et de détection automatisés pour réagir au plus vite. Les responsabilités de chacun (entre l’entreprise cliente et le prestataire), en matière de protection des données et en cas d’incident, doivent être claires.

Cybersécurité tendances 2021
Cybersécurité tendances 2021

La crise va-t-elle freiner les investissements en matière de cybersécurité ?

Est-il nécessaire de migrer l’intégralité de ses données dans le cloud ? Pas nécessairement. Selon la DGSI, il conviendrait même de conserver les données stratégiques dans les infrastructures internes à l’entreprise, et de placer uniquement les informations non sensibles dans le cloud. Le géant de l’informatique IBM conseille, lui, « d’évaluer les types de données que vous prévoyez de migrer vers le cloud, et de définir des politiques de sécurité appropriées ». 

Bien crypter les données et mieux contrôler les accès

Le cryptage des données stockées fait aussi partie des solutions de sécurisation. Kaspersky, spécialiste en cybersécurité, indique que le chiffrement est « l’un des plus puissants outils disponibles ». Le chiffrement brouille les données stockées et/ou en transit, afin qu’elles ne soient lisibles que par une personne qui détient la clé de chiffrement. Mais la DGSI va même plus loin, en conseillant de procéder au chiffrement directement en interne, indépendamment de tout prestataire. 

Les contrôles d’accès demeurent également essentiels pour empêcher les intrusions malveillantes. À mettre en place : une politique forte de gestion des mots de passe, et une identification multifacteur. 

35 % des incidents sont générés par des collaborateurs internes

En matière de cybersécurité, la sensibilisation des collaborateurs et des collaboratrices reste prépondérante. Dans le cloud, la tentation peut être forte de télécharger des applications tierces sur Internet et d’utiliser des services non sécurisés. Ils seront autant de portes d’entrée possibles pour des hackers. Selon le cabinet PwC, « 35 % des incidents sont générés par des collaborateurs internes ». L’élément « humain » est à prendre au sérieux pour utiliser le cloud en minimisant les risques.

Lire aussi

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…

Voir plus d'articles

Abonnez-vous !