L’informatique en nuage est en train de révolutionner les systèmes d’information des entreprises. Moins chère, moins lourde, plus flexible, elle simplifie l’utilisation de nos logiciels métiers, et s’adapte à la perfection aux différentes situations des entreprises. L’externalisation les libère de la nécessité d’y consacrer d’importants moyens, aussi bien en termes humains qu’en termes d’investissements.
Mais le cloud computing suscite toujours de la méfiance en raison des problèmes de sécurité qu’il pose pour les données sensibles. Mais qu’en est-il vraiment ? Quels sont les risques encourus par les données dans l’environnement cloud et quels sont les moyens de les contourner ?
Quels changements apporte le cloud ?
La fin de l’hébergement séparé
Il y a encore quelques années, les entreprises n’avaient qu’une solution pour le stockage de leurs données. Elles devaient acquérir leur propre matériel pour se doter de leur propre centre de données afin de faire fonctionner leurs logiciels. Dans certains cas, elles pouvaient aussi partager une installation en “colocation”.
Dans cette configuration, leur serveur était hébergé dans une baie verrouillée qui le séparait physiquement de ceux des autres clients de la colocation.
C’est cette séparation physique qui disparait avec le cloud. En effet, dans le cloud, les ressources sont mutualisées, et l’utilisateur ne possède pas le matériel.
Le prestataire fournisseur du nuage fournit le matériel et en répartit l’usage entre plusieurs utilisateurs. Son objectif, ce faisant, c’est d’optimiser cette répartition afin de minimiser la quantité d’équipements mise en œuvre, et leurs coûts de fonctionnement.
En conséquence, il est impossible d’affecter des équipements à un utilisateur particulier. Chaque organisation partage les différents composants de l’infrastructure informatique avec d’autres organisations utilisatrices. Vos données peuvent être hébergées sur le même disque que celles de votre concurrent ou de tout autre utilisateur du nuage.
L’utilisateur n’est qu’un locataire
Le fournisseur de cloud est propriétaire des matériels constitutifs de l’infrastructure cloud et vous n’en êtes que le locataire.
À charge pour lui d’administrer son matériel et de l’entretenir. Mais cela signifie que les membres de son personnel ont accès aux équipements qui hébergent vos données.
Autrement dit, des personnes extérieures à votre société peuvent voir ces données, et ce, sans que vous en soyez informé.
Or, comme toujours, une erreur peut se produire, qu’elle soit d’origine malveillante (un collaborateur cherchant à se venger de son employeur) ou non.
Les médias nous le rappellent constamment, lorsqu’ils évoquent les nombreuses affaires de vols de données personnelles et les fuites d’informations : un hébergement cloud peut exposer ses utilisateurs à des risques de fuites de données ou de vols de données.
À quels risques les données sont-elles exposées dans le cloud ?
Les causes les plus fréquentes de violation de données
Les violations ou fuites de données qui se produisent dans les solutions cloud sont le plus souvent la conséquence d’une faille dans la configuration informatique du cloud en question.
C’est ce qui ressort d’un rapport annuel sur les menaces publié par la Cloud Security Alliance (CSA).
Les chercheurs ont étudié des cas de violation de données pour en catégoriser les causes et les classer par ordre de fréquence.
Ils concluent que les défauts de configuration et l’insuffisance de contrôle des modifications sont la première raison de compromission des données. Ces vulnérabilités peuvent prendre la forme :
- d’autorisations excessives accordées à des identifiants ;
- de l’existence d’identifiants par défaut ;
- de l’existence de buckets S3 mal configurés (dans le cloud d’Amazon AWS, les “buckets” sont des zones de stockage attribués à un utilisateur donné) ;
- de la désactivation de certains contrôles de sécurité du cloud.
Ces erreurs sont révélatrices de lacunes en matière de stratégie de sécurité, ou d’une faiblesse de l’architecture cloud, expliquent les chercheurs, qui citent ces raisons en seconde position.
La gestion insuffisante des identités se classe troisième.
Les agissements malveillants de personnes internes à l’organisation, les API non sécurisées, les défaillances structurelles et la visibilité limitée sur les activités et les contrôles de sécurité du cloud arrivent en dernier.
Les chercheurs pointent aussi l’accroissement du télétravail, qui s’est accompagné d’une très forte adoption des logiciels en mode SaaS. Or, dans la précipitation, les entreprises n’ont pas toujours suffisamment sécurisé les accès qu’elles ont octroyé à leurs collaborateurs.
De plus, certains collaborateurs ont la fâcheuse habitude de réutiliser des identifiants sur plusieurs applications sur le cloud. Cette pratique a beaucoup favorisé les attaques de type “credentials stuffing” (“bourrage d’identifiants”).
Dès qu’ils parviennent à s’emparer frauduleusement d’un couple identifiant + mot de passe, les pirates vont le tester (au moyen de logiciels) sur de multiples plateformes et applications pour tenter de gagner un accès à ces services.
Les hyperscalers
Les hyperscalers sont les géants des services de cloud computing (AWS d’Amazon, Azure de Microsoft, Google Cloud, OVH, etc.). Ces gros fournisseurs de cloud se partagent la part du lion en matière d’hébergement sur le nuage informatique. Beaucoup ont bâti cette activité grâce à leur réussite sur Internet, qui leur a donné des moyens colossaux pour pouvoir se doter d’infrastructures de stockage à la pointe de la technologie.
Leurs data centers sont éparpillés tout autour du monde, ce qui leur permet d’en optimiser le fonctionnement, en transférant les données là où leur traitement est le moins énergivore.
Cet aspect a des implications très importantes pour leurs clients : il signifie que les données peuvent passer dans des pays où la législation est moins protectrice qu’en Europe, comme aux États-Unis, par exemple.
Le Cloud Act, une loi américaine votée en 2018 pour lutter contre le terrorisme, permet ainsi aux autorités américaines la possibilité d’accéder à toutes les données d’un citoyen américain ou résident des États-Unis, du moment qu’elles sont hébergées par un prestataire cloud établi sur le sol américain.
Même une entreprise étrangère possédant un datacenter basé aux États-Unis doit s’y conformer. Y compris lorsque les données réclamées sont en fait conservées dans des centres de données localisés hors des États-Unis.
Autrement dit, un hébergement chez un hyperscaler ou tout autre prestataire disposant de data centers aux USA ouvre la possibilité d’une transmission de vos données (vos fichiers métiers, vos contrats importants, vos prototypes ou données de travaux de recherche) à une autorité américaine.
Et non seulement, vous n’en saurez rien, mais de plus, vous ne saurez pas non plus si cette autorité sera la seule à avoir communication de ces éléments.
Comment assurer la sécurité et la confidentialité de vos données dans le cloud
La souveraineté de votre cloud
Bien sûr, les hébergeurs sont généralement sensibilisés aux risques de violations de données stockées sur le nuage. Ils prennent donc des mesures pour réduire ces dangers au maximum.
Pour ce faire, ils équipent leurs centres de données de systèmes de sécurisation contre le vol et l’intrusion. Les bâtiments sont généralement équipés de dispositifs pour éviter les entrées d’individus non autorisés, renforcés par des systèmes de surveillance très pointus.
Pour autant, si vous manipulez des données sensibles, le stockage de données dans un cloud public géré par un hyperscaler ne sera pas idéal.
Un cloud privé hébergé par une société établie en France ou en Europe, et dont vous serez le seul utilisateur, sera largement préférable (on parle de cloud souverain).
Pour assurer la sécurité et la confidentialité des données que vous stockez, vous devrez veiller à ce que les data-centers de votre prestataire d’hébergement soient basés en France (à La Réunion, par exemple). Votre prestataire devra être une société française, ou européenne, a minima.
Votre prestataire devra donc être en mesure de préciser où (c’est-à-dire, au moins dans quel(s) pays) vos données seront conservées, ainsi que les mesures qu’il compte prendre pour les sécuriser.
De même, les logiciels que vous utilisez en mode SaaS doivent aussi garantir un stockage sur des centres de données localisés en France ou en Europe.
Enfin, n’oubliez pas qu’un prestataire de services cloud français peut sous-traiter la prestation d’hébergement à une entreprise étrangère. Si votre entreprise manipule des données sensibles, il est donc important de se faire préciser que ce ne sera pas le cas lors de la signature du contrat.
Le housing de serveurs
Le housing de serveurs (ou colocation) constitue une autre solution pour éliminer les risques de fuites de données. Dans cette formule, un prestataire loue des emplacements physiques dans des locaux sécurisés à des entreprises qui y implanteront leurs propres centres de données.
L’hébergeur assure lui-même la sécurisation et la maintenance de ses locaux et de leur infrastructure, afin d’éliminer tout risque d’intrusion étrangère.
De son côté, le client utilisateur reste maître de l’exploitation de ses équipements et ressources informatiques.
Il demeure libre d’accéder à ses machines et reste responsable de leur maintenance et de leur sécurisation.
Autres techniques de protection des données dans le cloud
Le chiffrement des données
Le chiffrement des données consiste à brouiller les données au moyen d’une clé. Cette clé est un algorithme qui rend les données parfaitement illisibles. Seul, leur utilisateur peut les voir en clair.
Certains prestataires d’informatique en nuage proposent le chiffrement de vos données. Cette prestation vous offre une couche de sécurité supplémentaire qui dissuadera la plupart des pirates de tenter toute entreprise malveillante sur votre compte. En effet, ils préfèreront s’attaquer à des données moins sécurisées.
L’authentification à double facteur
L’authentification à double facteur est une autre technique qui vise à compliquer la tâche aux cybercriminels désireux de s’introduire dans un compte hébergé avec la technologie cloud en créant une étape supplémentaire qu’ils devront franchir pour accéder à vos comptes.
Elle consiste à mettre en place une méthode d’identification secondaire, qui s’ajoutera à l’identification classique à votre compte avec votre identifiant et votre mot de passe. En plus de vos identifiant et mot de passe, vous devrez fournir une tierce information.
Tout d’abord, vous renseignerez votre nom d’utilisateur et votre mot de passe, comme d’habitude. Dans un second temps, vous devrez fournir un autre élément permettant de vous identifier : code qui vous sera transmis sur votre téléphone par SMS ou authentification par empreinte réalisée avec une appli d’authentification, le plus souvent.
Conclusion
Les données enregistrées sur un cloud sont généralement plus en sécurité que celles que vous conservez sur le disque dur de votre ordinateur. En principe, il est en effet plus facile pour les pirates d’atteindre ces dernières, que de surmonter les différentes couches de sécurité mises en place par les prestataires de clouds.
Mais il n’en reste pas moins que la configuration d’un cloud, la sécurisation de ses accès et de son architecture sont des questions techniques qui réclament une grande expertise. Et que lorsqu’il s’agit de données confidentielles, un hébergement dans un cloud souverain reste préférable à un hébergement auprès d’un géant du web.
Si votre entreprise est basée à La Réunion, se pose aussi la question de la qualité de votre connexion et de la quantité de bande passante.
Stor Solutions, expert informatique partenaire des entreprises réunionnaises depuis plus de 50 ans, vous propose un cloud totalement réunionnais, grâce à nos 2 centres de données basés dans notre “bunker” de Sainte-Clotilde. Ils sont installés dans 2 salles distinctes équipées d’installations électriques et climatiques indépendantes. Même si l’un devait tomber en panne, l’autre pourrait prendre le relai. Et vous échapperez aux fréquents problèmes de latence associés aux problèmes des pannes de câbles sous-marins. Nous vous proposons également des prestations de colocation. Contactez-nous dès à présent pour en savoir plus !
