Sécurité dans le cloud : quelles sont les bonnes pratiques à adopter ?

C’est quoi la sécurité dans le cloud ?

Les entreprises sont de plus en plus nombreuses à basculer leurs données et applications dans le cloud pour fournir des services en ligne à leurs utilisateurs internes, leurs  partenaires ou leurs clients. Ce choix, souvent judicieux, ne doit pas faire oublier à l’entreprise qui confie ses données à un prestataire de service cloud l’importance que revêt la sécurité de votre infrastructure afin d’éviter tout type de piratage ou perte de données.

La perte de données, qu'elle soit accidentelle ou liée à un piratage informatique, peut en effet avoir des conséquences graves pour l’entreprise et engendrer une perte d’activité, parfois avec des conséquences dramatiques.

Pourtant, selon la dernière étude de l’ISC, un organisme international de certification des professionnels de la sécurité de l'information, 95 % des entreprises ne sont que modérément préoccupées par la sécurité dans le cloud tandis qu’1 entreprise sur 4 a fait état d'un incident de sécurité dans le cloud au cours des 12 derniers mois.

Car, contrairement à une idée reçue, le cloud n’offre pas par défaut une sécurité optimale. Avant de confier les clefs à votre prestataire, il est indispensable d'avoir au préalable une réflexion sur la sécurité et les responsabilité qui incombent à chaque partie en vue de disposer d’une vision à 360° de votre stratégie cloud et de sa sécurité.

Quelles sont les applications et services cloud les plus à risques ?

Que votre architecture cloud soit hébergée dans vos locaux (on premise) ou chez un fournisseur d’hébergement ou de services cloud, il faut garder en tête que toutes les applications et l’ensemble des services sont potentiellement à risque. Vous ne connaîtrez jamais les intentions des pirates qui peuvent agir à des milliers de kilomètres ou parfois en interne avec des employés mal intentionnés.

Top 5 des applications et services les plus à risques

1. La messagerie électronique reste aujourd’hui l’application la plus sensible aux cyberattaques : impliquée dans 36 % des cas selon une étude publiée en 2022 par la Cloud Security Alliance, elle peut entrainer la perte ou l’exfiltration de vos données sensibles.
2. Les plates-formes d’authentification en ligne qui permettent de s'identifier via un email et un mot de passe pour accéder à un service en ligne arrivent en seconde position. Elles peuvent vous exposer à un vol de vos identifiants entrainant la perte de l’accès aux services, le sabotage ou la prise de contrôle du compte, le rançonnage etc.
3. Le stockage de données et le partage de fichiers en ligne est le troisième service le plus vulnérable (35 % des cas) pouvant impliquer, la perte ou le vol de données sensibles de type commerciales, comptables ou de propriété intellectuelle.
4. Les applications bureautiques en ligne comme le traitement de texte ou le tableur sont également vulnérables (32 %), notamment celles s’exécutant via un navigateur Internet.
5. Les applications métiers, comme les solutions de gestion de la relation client (CRM), de gestion de projet (PMS) ou d'informatique décisionnelle, peuvent constituer une porte d’entrée dérobée à vos systèmes d’informations métiers et aux services, données et applications de vos clients et fournisseurs qui y sont connectés.

Comment protéger ses données et applications dans le cloud ?

Différentes mesures doivent être mises en place pour limiter au maximum les risques inhérents à l’hébergement de vos données et applications dans le cloud. Gardez à l'esprit que, à l’image des accès sur un serveur central ou sur un micro-ordinateur, l’erreur humaine demeure l’une des plus grandes menaces pour la sécurité du cloud.

Mots de passe

Des mots de passe trop simples, peu renouvelés, collés sur un mur ou dans un tiroir constituent des brèches de sécurité.

Consultez les fiches pratiques :

• Comment choisir un bon mot de passe
• Pourquoi et comment utiliser un gestionnaire de mots de passe ?

Authentification multifactorielle

La mise en place d’une authentification multifactorielle est un prérequis. Il s’agit d’une méthode d’authentification qui permet d’accéder à un portail ou à une application uniquement après que l’utilisateur a présenté avec succès 2 éléments de preuve ou plus. Il peut s'agir par exemple d'une authentification à 2 facteurs utilisant un mot de passe ainsi qu’une clé d’authentification unique valable pour une seule session.

Aujourd’hui, la plupart des sites de commerce électronique, requièrent un mot de passe et une confirmation via une série de chiffres expédiés par SMS.

D’autres sites, plateformes ou applications utilisent des solutions d’authentification forte qui génèrent toutes les minutes un nouveau code (par exemple sur votre téléphone portable), qu’il faudra renseigner sur la page d’accès, avant de pouvoir accéder à votre compte ou service en ligne.

Sauvegarde des données

Pour éviter la perte de données, il est essentiel de mettre en place d’autres méthodes qui viennent compléter les dispositifs de sécurité :

• la sauvegarde des données (backup) en ligne ou sur site ;
• un plan de reprise d’activité (PRA) qui permet à une entreprise de prévoir par anticipation, les mécanismes pour reconstruire et remettre en route un système d'information en cas de sinistre important ou d'incident critique.

Des exemples récents de pannes ou d’incendies impactant des centres de données montrent que les prestataires de services cloud n’assurent pas toujours ces services en standard ni de façon automatique.

Or l’indisponibilité à vos données ou applications à la suite à une panne ou d'une attaque informatique peuvent avoir des conséquences importantes sur votre activité et induire une perte de chiffres d’affaires conséquente.

Il est donc primordial de vérifier :

• si un Plan de Reprise d’Activité (PRA) avec sauvegarde des données a bien été souscrit et mis en place ;
• les garanties de niveaux de services (SLA) proposées par votre fournisseur sous la forme d'un document qui définit la qualité de service fournie : temps d’indisponibilité du service, temps de récupération des données, durée maximale d'interruption admissible, perte de données maximale admissible, etc.

Zero trust (aucune confiance)

S’il existe tout un ensemble de mesures à mettre en place comme le chiffrement des données sensibles, les pare-feu, les anti-virus..., tout ceci doit être compléter par le principe du « Zero Trust ». Cela consiste à ne jamais faire confiance à quiconque ou à quoi que ce soit à l’intérieur ou à l’extérieur du réseau, et de tout vérifier c’est-à-dire autoriser, inspecter et sécuriser.

Cette approche est particulièrement adaptée à la montée en puissance de l'informatique fantôme dite Shadow IT (voir ci-dessous) qui voit de plus en plus de salariés utiliser leurs appareils, logiciels ou services en ligne personnels pour travailler.

La plupart des prestataires de Cloud proposent ce principe. La protection étant indépendante de l’environnement, « Zero Trust » connecte en toute sécurité les utilisateurs, les appareils et les applications en utilisant des politiques d’entreprise sur n’importe quel réseau, favorisant la sécurisation de l'entreprise.

Qui est responsable de la sécurité dans le cloud ?

Les clients des prestataires cloud pensent souvent, à tort, qu’en confiant leurs données et applications à un prestataire cloud, ils lui transfèrent également la responsabilité de leur sécurité. Mais en fait, il n’en est rien.

Gardez toujours à l’esprit, que dans la plupart des cas, la sécurité dans le cloud reste sous votre responsabilité et ce, même si les prestataires vous facilitent la tâche via la mise à disposition d’outils ou de bonnes pratiques.

Déterminer le partage des responsabilités en termes de sécurité selon le type de cloud

Plusieurs types de solutions cloud peuvent être utilisés. Pour chacun d'eux le niveau de responsabilité du fournisseur et du client diffère.

Infrastructure en tant que service (Iaas)

L'infrastructure as a service (Iaas) ou infrastructure en tant que service est un modèle de service cloud qui permet aux entreprises d'héberger ses logiciels et bases de données. Avec l’IaaS, vous pouvez utiliser des services comme le calcul, le stockage et les bases de données d'un fournisseur cloud, faire héberger vos logiciels et matériels, assurer leurs maintenances.

En cloud public, votre hébergement est mutualisé avec d’autres clients. En cloud privé, vous bénéficiez d’une infrastructure et d’un hébergement dédiés. Qu'il soit public ou privé, ce sera à vous de définir et de mettre en œuvre les architectures de sécurité pour protéger vos données, applications et collaborateurs, les services déployés et logiciels tiers.

Votre fournisseur sera responsable de la sécurité liée au stockage, aux serveurs et réseaux, à l’hébergement et à la maintenance.

Plate-forme en tant que service (PaaS)

Une plate-forme en tant que service (dite PaaS pour Platform as a service), est un service cloud qui ne gère que l'environnement (serveur, système d'exploitation, moteur de bases de données, réseau, stockage, etc.) sur lequel va fonctionner l'application dont l'entreprise cliente est responsable.

Avec le PaaS, vous pouvez développer, exécuter et gérer des applications chez votre fournisseur sans avoir à construire et à maintenir l'infrastructure. Votre infrastructure est sécurisée par le fournisseur. 

Ici, seuls les accès de vos collaborateurs à la plate-forme, ainsi que vos données et vos applications sont sous votre responsabilité.

Logiciel en tant que service (SaaS)

Le logiciel en tant que service (ou SaaS pou software as a service) ou est un service cloud qui permet d'accéder à des solutions en lignes distantes via un simple navigateur internet.  Vous ne payez pas de licence d'utilisation pour une version, mais utilisez librement le service en ligne, le plus souvent en vous acquittant d'un abonnement.

Le Saas est très souvent utilisé pour des solution de gestion de la relation client (CRM), la gestion d'un site e-commerce, les services de visioconférence, la messagerie et les logiciels collaboratifs, etc.

Avec le SaaS, toute l’infrastructure, réseau, serveur, stockage et applications sont sous la responsabilité de votre  fournisseur. D’où la nécessité de choisir un fournisseur très sécurisé.

Vous ne serez responsable que de l’accès de vos collaborateurs aux applications et des données stockées chez votre fournisseur.

Le partage des responsabilités dans le cloud

Le schéma ci-dessous vous aidera à comprendre le partage des responsabilités en termes de sécurité sur les infrastructures cloud (IaaS), les plates-formes (PaaS) et les logiciels en mode service (SaaS).

Dans le schéma ci-dessus, le collaborateur définit toute personne, quel que soit son statut, qui travaille pour votre entreprise et qui a accès à votre système d’information en local ou à distance.

Les données regroupent tous les types de données gérées par l’entreprise. Certaines catégories de données nécessitent une vigilance particulière :

• les données de référence, indispensables au fonctionnement de l'entreprise : clients, employés, produits, fournisseurs, etc. ;
• les données personnelles soumises au RGPD ;
• les données confidentielles : données relatives au savoir-faire, secret de fabrication et propriété intellectuelle…

Il est ainsi impératif de se poser les questions pour estimer le niveau de sécurité offert par votre fournisseur de services afin de choisir la meilleure offre.

Le recours à un expert certifié et reconnu du cloud peut être très utile pour prendre les bonnes décisions, connaître les services de sécurité fournis en standard ou en option ou encore vérifier les clauses prévues au contrat et leurs niveaux de protection.

Comment choisir des services cloud sécurisés ? Les points clés à vérifier

La fiabilité de votre fournisseur

Veillez à choisir un prestataire qui saura détailler les risques associés au service cloud et préciser dans ses engagements contractuels, la responsabilité de chaque partie en cas de sinistre.

Vous devez aussi estimer la capacité d’intégration de votre fournisseur, sa capacité à innover, à proposer des évolutions, des mises à jour régulières, des patchs correctifs de sécurité.

Et n’hésitez pas à demander des références clients !

Les certifications et le niveau de conformité offerts

La sécurité dans le cloud ne s’improvise pas. Il existe toute une série de certifications permettant de garantir la fiabilité d’un fournisseur cloud :

• ISO 27001 : norme de management de la sécurité de l’information pour l’IaaS, le PaaS, ou le SaaS ;
• Certification HDS pour les hébergeurs de données de santé (IaaS et PaaS) ;
• ISO 27017 et ISO 27018 pour les infrastructures IaaS ;
• Certifications Tiers (I,II,III,IV) de l’Uptime Institute  pour la sécurité des centres de données (IaaS) ;
• La conformité RGPD pour tous les fournisseurs cloud ;
• Et enfin le SecNumCloud, délivré par l’ANSSI, qui facilite l'identification des prestataires de services cloud de confiance, quel que soit leur type.

Les niveaux de services (SLA)

L'accord de niveau de service (ou SLA pour Service-Level Agreement) est un document qui définit la qualité de service prescrite entre un fournisseur de service et son client. Idéalement, ces niveaux de services sont rendus publics. Ils permettent de mesurer la disponibilité du service et les temps de résolution des incidents.

Par exemple,  le taux de disponibilité annuelle d'un centre de données Tiers III doit être à minima de 99,982 %, le taux de disponibilité mensuelle de vos comptes de stockage doit être de 99,9 % équivalent à Tiers III, le temps de résolution d’incident doit être à minima de 8 h etc.).

Attention : les SLA des fournisseurs cloud offrent des garanties de performance qui sont axées sur leurs services et non sur vos applications. Si l’une de vos applications tombe en panne à cause d'un seul service cloud, la compensation des temps d'arrêt, due pour le seul service défaillant ne couvrira pas l'éventuelle perte commerciale issue de l'arrêt du service.

La localisation des données

Où sont localisées vos données, en France, en Europe ? Ou ailleurs, par exemple aux États-Unis. C’est un point d’importance. Alors qu’en Europe, vos données sont protégées et encadrées par le RGPD, si vos données sont localisées aux États-Unis ou par une entité juridiquement dépendante des États-Unis, elles seront soumises au Patriot Act et au Cloud Act.

Le Patriot Act permet aux autorités américaines d’accéder à toutes vos données personnelles, dans le cadre d’une investigation.

Le Cloud Act permet à un fournisseur cloud américain d’exploiter librement vos données, et ce, jusqu’à ce qu’une décision d’adéquation soit mise en place entre l’U.E et les États-Unis, quant à la limitation proportionnées de l’accès aux données des citoyens européens. Ce qui n’est pas encore le cas.

A noter : le référentiel SecNumCloud permet une protection empêchant l’accès aux données de clients, par un fournisseur de service Cloud soumis à des réglementations non-européennes. En savoir plus :

• Zoom sur SecNumCloud et la protection des données

La disponibilité des services et de la documentation

Les services Cloud proposés sont –ils disponibles partout dans le monde ? Seulement dans une région particulière ? L’affichage de la disponibilité des services cloud doit être clair, précis et facilement accessible en ligne.

La documentation relative aux services cloud est-elle disponible en ligne ? Sur tous les services fournis ? Dans quelles langues est-elle accessible ? En français, en anglais, ou une autre langue ?

Le conseil de l’expert

Il est essentiel de déterminer en amont du choix de votre prestataire et du type de contrat que vous allez souscrire :

• ce que vous souhaitez réellement mettre en place dans le Cloud (données, applications ?...) ;
• le type de services que vous allez utiliser (IaaS, PaaS, SaaS)
• et si vous avez besoin d'un cloud public ou d'un cloud privé. 

Ces éléments vous aideront à définir le niveau niveau de sécurité et d'engagement de  responsabilité nécessaire et faciliteront le choix du prestataire.

Pour limiter les risques, il peut-être judicieux de commencer par mettre en place dans le cloud, une petite infrastructure, un service limité, une plateforme circonscrite…  pour tester le prestataire, l'architecture, ou la solution avant d'investir davantage.