Le cloud est aujourd’hui présent dans toutes les entreprises et remporte un franc succès ! Pour Mehdi Yacoubi, Business Developper de la BU cloud de WithSecure, sa sécurisation est, elle, une question à laquelle les fournisseurs de services cloud sont aujourd’hui confrontés. En effet, ils sont de plus en plus nombreux à savoir que leurs clients se soucient de la cybersécurité et arguent leurs accréditations et certifications comme des remparts à tous les risques cyber.
Pour autant, les plateformes de collaboration ou de cloud computing expliquent la notion de responsabilité partagée de l’acheteur : l’acheteur est responsable de la configuration des contrôles de sécurité du cloud et de la protection de ses données sur le système. Tiers ou non, les outils utilisés restent dans le domaine de la responsabilité de l’acheteur afin d’en garantir une sécurité optimale.
A lire aussi : Cloud : comment optimiser son utilisation pour limiter son impact ?
La responsabilité partagée au cœur de l’adoption du cloud
En l’espace de vingt ans, le cloud a transformé la manière dont internet est utilisé pour le travail et les loisirs. Désormais, grâce au cloud, une entreprise aux ressources limitées peut affronter des concurrents plus grands, mieux équipés et mieux financés. Et ces concurrents peuvent, à leur tour, utiliser les mêmes innovations pour réduire leurs coûts et booster leur efficacité opérationnelle.
Selon un rapport récent, les entreprises dépensent désormais deux fois plus d’argent pour leurs services cloud que pour leurs centres de données. L’adoption du cloud est massive. Pour autant, les entreprises doivent en accepter les implications du point de vue de la sécurité. Le cloud, de par son caractère interconnecté, implique de nouvelles attentes et exigences en matière de protection des données personnelles.
Il se présente sous des formes très diverses. Il y a les offres Infrastructure-as-a-Service (IaaS) et Platform-as-a-Service (PaaS), que la plupart des utilisateurs utilisent sans même s’en rendre compte. Il y a aussi les outils SaaS (Software-as-a-Service), comme Microsoft 365 et Salesforce, que les professionnels sont nombreux à utiliser au quotidien. Il existe un dénominateur commun à toutes ces variantes du cloud : la responsabilité partagée.
Garantir la sécurité de l’entreprise
Grâce au cloud, les entreprises n’ont plus à se soucier de la manière dont leurs informations sont stockées ni de l’endroit où elles le sont. Pour certaines, le cloud est même devenu leur actif le plus précieux. C’est pourquoi la question du transfert des données vers celui-ci nécessite une réflexion approfondie.
Faire confiance à un fournisseur de services cloud, ne doit pas empêcher l’acheteur de conserver le contrôle et la visibilité nécessaires sur ses données.
Pour répondre aux exigences du modèle de responsabilité partagée, il est important de respecter quelques principes de base, pour garantir la sécurité de l’entreprise au quotidien.
Premièrement, il est important de savoir quels types de données l’entreprise détient, et comment elles sont classifiées. Deuxièmement savoir d’où elles proviennent, qui peut y accéder et où elles sont envoyées. Si les données proviennent de sources externes et non-fiables (un e-mail, par exemple), il faut pouvoir bloquer les contenus nuisibles et suspects avant qu’ils n’atteignent les utilisateurs internes ou externes.
Faire face aux risques tout en répondant aux exigences de conformité
Dans de nombreuses régions du monde, les organisations ont le devoir de monitorer l’accès à leurs données sensibles. Elles doivent également conserver des pistes d’audit pour toutes les données, qu’elles fassent ou non l’objet d’une exigence de conformité. Chaque entreprise doit prendre en compte deux risques récurrents : les hackers et l’accès non-autorisé aux données.
Les services cloud SaaS peuvent vite devenir très complexes : ils impliquent de gérer de nombreux employés, de nombreux points de contact, souvent sans coordination ni documentation. De mauvaises configurations ou des contrôles d’accès insuffisants peuvent en résulter. Et, malheureusement, celles-ci peuvent entraîner des violations de données.
Un autre problème se pose : d’autres applications et services connectés au cloud SaaS via des API peuvent accéder aux données. Si elles sont mal configurées ou octroient plus d’autorisations que nécessaire, elles peuvent être à l’origine de violations de données. Même si les API sont correctement configurées, il faut les considérer comme pouvant être potentiellement compromises.
Les cloud SaaS tels que Salesforce, Microsoft 365, Google Workspace connaissent un succès phénoménal. Ces services deviennent de ce fait des cibles lucratives… mais le vol de données cloud n’est pas toujours l’objectif final des pirates informatiques.
Certains hackers chevronnés tentent d’utiliser les services cloud comme levier, pour accéder au réseau d’une entreprise et attaquer d’autres systèmes internes et externes. Les attaques de phishing et de ransomware menées via des services cloud constituent un danger réel, et le risque ne fera qu’augmenter à mesure que les services cloud se généraliseront.
La supply chain, un point d’attention particulier
Si jusqu’ici tout est clair quant à la responsabilité des fournisseurs cloud, le cas particulier de la supply chain doit être rapidement traité. Dans ces vastes réseaux professionnels, les lignes sont beaucoup plus floues.
Les vulnérabilités, problèmes de fiabilité et autres risques présents dans les processus et environnements logiciels des fournisseurs peuvent contaminer leur supply chain. Les pirates informatiques en ont bien conscience. En attaquant les connexions tierces, comme celles des fournisseurs de SaaS ou des développeurs de plug-ins logiciels, ils cherchent ainsi à contourner les défenses de sécurité des entreprises qu’ils ciblent, pour frapper en plein cœur de leur réseau. Les attaques de la supply chain ont déjà triplé en 2021 et devraient encore augmenter selon Gartner qui estime que 45 % des organisations à travers le monde auront subi des attaques de leur supply chain d’ici 2025. Log4Shell, Okta, Office 365, SolarWinds… Toutes ces attaques montrent la nécessité qu’ont aujourd’hui les entreprises de comprendre l’ampleur du danger, et renforcer leur sécurité pour que celle-ci puisse faire face à la multiplication des interconnexions numériques.
Si le cloud offre une grande commodité et des avantages financiers non-négligeables, il n’en reste pas moins que la sécurité des réseaux propres incombe toujours à l’entreprise.