Comment sécuriser ses communications lorsqu’elles reposent sur des solutions cloud ?
Comment sécuriser ses communications lorsqu’elles reposent sur des solutions cloud ?
La plupart des communications d’entreprise (messagerie, téléphonie, visioconférence, stockage et partage de fichiers, etc.) utilisent désormais des solutions cloud. Celles-ci offrent la possibilité de communiquer et d’échanger des données depuis n’importe quel lieu et à partir de n’importe quel appareil, avec une flexibilité accrue des ressources de stockage et de calcul. Ce recours massif au cloud a également des revers, notamment en matière de sécurité, puisqu’il expose les entreprises à des risques de violations de données.
La sécurisation des communications et des données échangées via le cloud est devenue l’une des préoccupations principales des entreprises en matière de sécurité informatique. Quels sont les principaux risques de sécurité inhérents au cloud et quelles solutions permettent de sécuriser ses données et ses communications cloud ?
Quels sont les risques majeurs de sécurité liés au cloud ?
Non-respect de la confidentialité des données
L’un des principaux risques liés au cloud concerne la confidentialité et les risques de violations de données. D’après le dernier rapport « Cloud Security » publié par Thalès en 2022, les violations de données sont en hausse.
En Europe, la gestion des données personnelles est encadrée par le Règlement général sur la protection des données personnelles (RGPD). En revanche, les législations extraterritoriales telles que le « Cloud Act » aux États-Unis présentent des risques de violations de données, en particulier de données sensibles.
En plus des risques liés à la confidentialité des données, le recours à des solutions cloud étrangères pose également problème du point de vue de la souveraineté numérique, et donc du droit de faire héberger certaines données dans des environnements qui ne bénéficient pas d’une garantie juridique suffisante ou dans des territoires non autorisés.
Risque de l’attaque du SI des entreprises à partir du cloud
Si la possibilité de se connecter aux services cloud à partir de n’importe quel appareil offre un grand confort aux utilisateurs, elle est très difficile à gérer pour les équipes IT. Le cloud augmente la surface d’attaque potentielle des entreprises, car il multiplie les points d’entrée possibles pour les cybercriminels.
La mise en place de politiques d’utilisation du matériel personnel à des fins professionnelles (Bring Your Own Device) et le développement du Shadow IT complexifient également la tâche des équipes IT. Enfin, le recours à des applications tierces et à des API orientées vers l’extérieur renforce également les risques de sécurité liés au cloud. Tous ces points d’entrée exposent davantage le système d’information et offrent de nouvelles possibilités d’intrusion aux cybercriminels.
Disponibilité des données
Si les solutions logicielles dans le cloud sont attaquées, les données qu’elles gèrent peuvent se retrouver volées, mais aussi bloquées. Il faut donc se poser la question de la sauvegarde des données essentielles pour l’entreprise.
Des solutions logicielles de grande envergure hébergées sur le cloud, ou des solutions de sauvegarde et de transfert de données fortement répandues, sont attractives pour les cybercriminels. En attaquant un smartphone, un ordinateur ou une solution reliée au cloud, un hacker peut remonter au cœur et dérober des données stockées sur le cloud.
Défauts de configuration et accès non autorisés
Les risques décrits ci-dessus sont renforcés par les questions de configuration et d’accès.
La plupart des configurations proposées par défaut sur le cloud ne reflètent pas les besoins de sécurité propres à chaque entreprise. La gestion de l’accès par défaut est très problématique pour la sécurité des données, et en particulier celle des données sensibles. Ces configurations par défaut exposent les données à des risques de mauvaise manipulation, de suppression ou encore de diffusion publique.
Trop de données confidentielles stockées en cloud restent accessibles sans autorisation. Comme le rapporte la Cnil, ces défauts de configuration dans le cloud sont à l’origine de nombreuses violations de données.
L'utilisation d'un cloud implique souvent une dépendance envers un fournisseur de services tiers. Il est important de bien choisir votre fournisseur de services de cloud et de comprendre les politiques de service, les accords de niveau de service et les mesures de sécurité mises en place par le fournisseur. Enfin stocker ses données sur le cloud peut également entraîner des problèmes de conformité réglementaire, notamment en ce qui concerne les données sensibles et les règles de confidentialité. Il est essentiel de vérifier que votre fournisseur de services de cloud respecte les normes de conformité réglementaire vis-à-vis de votre secteur d'activité.
Quelles solutions pour sécuriser ses communications cloud ?
Choisir de sécuriser ses données au sein d’un cloud adapté
Il existe aujourd’hui différents types d’environnements cloud (public, privé, hybride) et différents types de services cloud (Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service). Chacun de ces modèles répond aux besoins spécifiques des entreprises, mais un autre critère entre en compte : le pays et la nationalité des entreprises dans lesquels sont stockées les données, et donc quel gouvernement pourrait demander à accéder aux données ou à les bloquer.
D’autre part, les données issues de certains secteurs ou certaines activités doivent faire l’objet d’une protection renforcée. C’est pour cela qu’il existe différents niveaux de sécurité pour les clouds (restreint, souverain ou classifié), utilisés en fonction du degré de « sensibilité » des données à héberger.
Chiffrer ses données de bout en bout et être attentif à la gestion des clés
Même si les différents services de stockage chiffrent les données au repos, cette pratique n’est pas suffisante pour protéger les entreprises contre l’interception, le vol ou l’altération de leurs données par des entités malveillantes. De plus, de nombreux fournisseurs de cloud ne chiffrent pas les données de leurs clients par défaut.
Pour les clients, assurer la sécurité de leurs données passe donc par la mise en place du chiffrement des données de bout en bout. Même si elles sont volées, les données restent illisibles sans leur clé de chiffrement. Seul le chiffrement de bout en bout peut empêcher les violations de données. Il faut bien sûr également dans ce cas que la solution logicielle ne prévoit pas une copie de la clé dans le cloud pour restaurer le mot de passe en cas de perte… Si vous pouvez facilement récupérer vos données en ayant oublié votre mot de passe, l’accès pour un pirate n’est peut-être pas si difficile…
Renforcer le contrôle des accès
Enfin, la sécurisation de ses communications via le cloud passe par une gestion rigoureuse des identités et des accès (IAM) :
- Adopter des solutions logicielles Zero Trust, où l’administrateur est considéré comme trop curieux et où l’utilisateur est le seul détenteur de l’accès à ses données.
- Activer l’authentification multifacteur (MFA) pour éviter les accès depuis un poste non autorisé.
- Mettre en place des politiques et outils d’accès et de mots de passe.
L’entreprise peut également travailler sur la sécurisation des terminaux, inventorier ses actifs numériques pour regagner en visibilité, et mettre en place une politique de sécurité des mots de passe.
Les communications cloud jouent désormais un rôle stratégique dans la collaboration au sein des entreprises et sont essentielles à leur développement. Aborder la question de la sécurisation des communications cloud sous l’angle purement technique serait bien trop réducteur. Cette question englobe également des enjeux de compétitivité, de souveraineté et de protection de la vie privée.