Abonnez-vous à notre
Newsletter

Cybersécurité : l’entreprise et le cloud,
attention prudence !

Homme dans un datacenter

Le recours au cloud a connu une accélération sans précédent depuis la crise sanitaire. Cette solution convainc de plus en plus d’entreprises de toutes tailles. Si l’hébergement des données dans le cloud présente de nombreux avantages économiques et opérationnels, des organismes mettent en garde, et des précautions s’imposent. Zoom sur quelques bonnes pratiques.

Les promesses séduisantes du cloud pour les entreprises

Aux yeux de nombreuses entreprises, le cloud computing représente une solution intéressante à bien des égards. L’externalisation de la gestion et du stockage des données – via Internet, et confiée à un prestataire dans ses propres serveurs et data centers distants – présente d’abord des avantages économiques. Finis l’achat et la maintenance du matériel informatique destiné à l’hébergement. Avec le cloud, la souplesse est de mise : l’entreprise ne paye que les ressources qu’elle utilise, et elle peut rapidement monter en charge lorsque le volume de ses datas le nécessite. Le cloud, c’est aussi la possibilité d’accéder aux données à tout moment et en tout lieu. Avec la crise sanitaire et l’explosion du télétravail, de nombreuses entités ont logiquement franchi le cap. Parfois dans l’urgence, avec des solutions gratuites et faiblement sécurisées.

Selon le dernier baromètre OpinionWay – Cesin « Le Club des Experts de la Sécurité de l’Information et du Numérique » (février 2021), 90 % des grandes entreprises françaises ont aujourd’hui tout ou partie de leurs données et services d’information hébergés dans le cloud.

61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Problème : d’après une étude IS Decisions, 61 % des PME interrogées en France, aux États-Unis et au Royaume-Uni considèrent que « les données de leur entreprise ne sont pas sécurisées dans le cloud ».

Le Cloud, un environnement jugé « à risques »

Cette solution, aussi avantageuse soit-elle, invite effectivement à la plus grande vigilance. Fin 2020, La DGSI (Direction générale de la sécurité intérieure) a publié une mise en garde en ce sens, et a listé les principales menaces liées à l’hébergement dans le cloud. Parmi elles : 

  • la paralysie de l’activité en cas de défaillance technique du fournisseur ;
  • les cyberattaques (rançongiciels, malwares…) ; 
  • les fuites de données ; 
  • les captations et pertes de données ; 
  • l’espionnage économique ; 
  • mais aussi la non-conformité réglementaire au droit français et européen en matière de protection des données.

S’agissant du cloud, dans son baromètre, le Cesin parle sans équivoque d’un « environnement toujours à risque ». Et l’organisme indique que bon nombre d’entreprises restent fébriles. Sur le podium des vulnérabilités, elles citent à 51 % : « la non-maîtrise de la chaîne de sous-traitance de l’hébergeur » ; puis à 45 % : « la difficulté de contrôler les accès des administrateurs de l’hébergeur » ; enfin, à 44 % « la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise ».

Rendre notre monde + sûr

Le top 3 des vulnérabilités du cloud selon les entreprises

– 51 % : la non-maîtrise de la chaîne de sous-traitance de l’hébergeur
– 45 % : la difficulté de contrôler les accès des administrateurs de l’hébergeur 
– 44 % : la non-maîtrise de l’utilisation qui est faite du cloud par les salariés de l’entreprise

L’enjeu du choix du fournisseur et des données migrées

Dans ses recommandations, la DGSI encourage les entreprises à faire preuve de discernement. D’abord dans le choix des prestataires. Il est impératif de passer le cahier des charges à la loupe : pas d’offres gratuites, pas d’hébergeur hors de l’Union européenne, et la présence de garanties optimales sur la sécurité dans le cloud. En veillant par exemple à ce que le fournisseur utilise des outils de surveillance et de détection automatisés pour réagir au plus vite. Les responsabilités de chacun (entre l’entreprise cliente et le prestataire), en matière de protection des données et en cas d’incident, doivent être claires.

Est-il nécessaire de migrer l’intégralité de ses données dans le cloud ? Pas nécessairement. Selon la DGSI, il conviendrait même de conserver les données stratégiques dans les infrastructures internes à l’entreprise, et de placer uniquement les informations non sensibles dans le cloud. Le géant de l’informatique IBM conseille, lui, « d’évaluer les types de données que vous prévoyez de migrer vers le cloud, et de définir des politiques de sécurité appropriées ». 

Bien crypter les données et mieux contrôler les accès

Le cryptage des données stockées fait aussi partie des solutions de sécurisation. Kaspersky, spécialiste en cybersécurité, indique que le chiffrement est « l’un des plus puissants outils disponibles ». Le chiffrement brouille les données stockées et/ou en transit, afin qu’elles ne soient lisibles que par une personne qui détient la clé de chiffrement. Mais la DGSI va même plus loin, en conseillant de procéder au chiffrement directement en interne, indépendamment de tout prestataire. 

Les contrôles d’accès demeurent également essentiels pour empêcher les intrusions malveillantes. À mettre en place : une politique forte de gestion des mots de passe, et une identification multifacteur. 

35 % des incidents sont générés par des collaborateurs internes

En matière de cybersécurité, la sensibilisation des collaborateurs et des collaboratrices reste prépondérante. Dans le cloud, la tentation peut être forte de télécharger des applications tierces sur Internet et d’utiliser des services non sécurisés. Ils seront autant de portes d’entrée possibles pour des hackers. Selon le cabinet PwC, « 35 % des incidents sont générés par des collaborateurs internes ». L’élément « humain » est à prendre au sérieux pour utiliser le cloud en minimisant les risques.