Mis à jour : 01/09/2022
S’il y a quelques années encore, le Cloud Computing ne faisait pas l’unanimité, il s’agit désormais d’une technologie adoptée par une majorité des entreprises, qu’il s’agisse des grands groupes, des PME ou des TPE.
En effet, depuis 2020, un grand nombre d’entreprises ont entamé une ouverture massive de leur système d’information vers des services hébergés dans le Cloud, ceci dans le but de procurer à leur structure plus de mobilité, de flexibilité et de choix.
Le Cloud a permis de résoudre le problème du stockage face à une croissance exponentielle des données, et il s’avère être de plus en plus la technologie choisie par les prestataires pour proposer des services en ligne, notamment depuis l’avènement du modèle du SaaS (Software as a Service).
Une question n’a toutefois jamais cesser de hanter les chefs de projet informatique : Le Cloud est-il suffisamment sécurisé ?
Nous allons dans cet article nous intéresser à cette problématique de sécurité informatique dans le Cloud. Au cœur des préoccupations des décisionnaires, la sécurité informatique est un enjeu majeur en matière de choix de services de Cloud Computing. En B2B, ce critère est tout aussi important que le tarif ou la qualité du service proposé.
Sensibilisation importante des DSI à la sécurité dans le Cloud
Selon l’étude 2022 Cloud Security Report de l’(ISC)² (The International Information System Security Certification Consortium), 93 % des entreprises sont préoccupées par la sécurité dans le Cloud et 1 sur 4 a confirmé avoir subi un incident de sécurité dans le Cloud au cours de l’année écoulée. Ceci prouve que désormais, une majorité des décideurs IT sont sensibilisés. De fait, ils n’ont pas vraiment le choix puisque les attaques touchent de plus en plus de structures et surtout, des structures de tous types et de tous domaines d’activité.
Rappelons, pour l’anecdote, qu’en 2014, selon une étude réalisée par le groupe BT au Royaume-Uni, ils n’étaient que 49 % des décisionnaires IT à admettre être anxieux concernant des problèmes de sécurité liés aux services dans le Cloud. Nous pouvons donc observer un véritable bouleversement de paradigme au sujet de cette problématique.
Cloud Computing et sécurité informatique : pourquoi s’inquiéter ?
Lorsque les infrastructures informatiques de l’entreprise sont hébergées en interne, la structure peut décider elle-même de leur niveau de sécurité. Mais dans le cas de l’utilisation d’une plate-forme de services Cloud, il est beaucoup plus difficile d’avoir un réel contrôle sur la sécurité mise en place.
- les exigences de conformité réglementaires peuvent ne pas être respectée par la plateforme ou par l’hébergeur Cloud
- en cas d’incident de sécurité informatique, des données sensibles peuvent se retrouver divulguées, ce qui peut entraîner une perte financière et de notoriété importante
- le fournisseur ne sécurise peut-être pas toutes les interfaces d’accès à ses services, c’est le problème par exemple de la sécurisation des API (Interface de Programmation)
Les faiblesses du Cloud en matière de sécurité informatique
Choisir le bon hébergeur Cloud
Le Cloud consiste à faire héberger ses données en déléguant cette tâche à une plateforme ou à un prestataire tierce. La première question à se poser est donc celle du choix du prestataire.
- Est-il conforme à la législation en vigueur pour votre localité, votre activité et pour l’usage que vous faites de vos données ?
- Quelles sont les mesures de sécurité mises en œuvre pour protéger les données des attaques extérieures ?
Maîtriser la gestion des droits et des accès
Le service Cloud étant un service externe, il est important de s’approprier parfaitement le paramétrage et les subtilités de la gestion des droits et des accès utilisateurs.
En effet, une mauvaise gestion des accès pourrait par exemple exposer des données confidentielles à des utilisateurs non autorisés, ou permettre à des utilisateurs de continuer de consulter des informations alors que celles-ci ne les concernent plus.
S’assurer d’une sécurité de bout en bout du service Cloud
Le service Cloud en lui-même n’est pas toujours la finalité. Parfois, il est nécessaire de prévoir des possibilités de connexion et d’interopérabilité avec le SI existant. Ce type de passerelle est souvent réalisé au moyen d’API laissées à libre disposition du client. Les API sont un exemple de composant du service qui doivent bénéficier du même niveau de sécurité que le service Cloud principal proposé.
Comment les prestataires Cloud limitent les risques
Si la sécurité a toujours été un frein à l’utilisation du Cloud Computing, les éditeurs de services et de plateformes Cloud travaillent en continu à toujours mieux sécuriser leurs services, de façon à rassurer les clients.
Le Cloud et les risques humains
L’une des problématiques majeures de sécurité rencontrées par les entreprises est celles liées aux risques humains. Par exemple, dans le cas où des employés mal intentionnés souhaitent s’introduire dans le système ou consulter ou dérober des informations privées.
Lorsque les données sont localisées dans le Cloud, elles deviennent beaucoup plus difficiles à localiser pour ces personnes mal intentionnées :
- Il n’est généralement pas possible d’obtenir des accès aux données via des relations ou des connaissances.
- Il est beaucoup plus difficile de localiser précisément où les données sont physiquement stockées
- Le service Cloud dispose généralement de “logs” ou enregistrements permettant, à posteriori, d’identifier qui a accédé, à quel moment, au service en question
- Certaines plateformes de Cloud disposent d’une intelligence artificielle ou de “machine learning” permettant d’identifier tout comportement utilisateur suspect.
Les prestataires de Cloud Computing et leur politique de sécurité
Parce que les prestataires de Cloud Computing n’ont aucun intérêt à alimenter cette polémique liée à la sécurité, ils investissent fréquemment dans des technologies pointues, et font appel à des professionnels expérimentés dans le cadre de la mise en place de leurs infrastructures.
Parmi ces technologies pointues, il faut citer à nouveau l’intelligence artificielle, et ses capacités d’automatisation :
- centralisation des aspects sécurité de la plateforme ou du service Cloud
- modélisation du trafic et des usages de l’entreprise cliente sous forme de cartographie
- repérage automatique des agissements suspects sur le service ou la plateforme Cloud, qu’il s’agisse d’une menace interne ou externe
- envoi automatique d’alertes à certaines personnes en charge de la surveillance du service ou de la plateforme
- utilisation de matériel et de logiciels de sécurité de pointe
- protection contre des menaces telles que les attaques par déni de service (DDoS)
De plus, ils ont à respecter un certain nombre de réglementations afin d’assurer la protection des données ainsi que la conformité vis-à-vis de règles spécifiques dans des domaines tels que la santé par exemple. Typiquement, un fournisseur de service Cloud travaillant avec une clientèle ou des utilisateurs européens est assujetti au respect du règlement RGPD (Règlement Général sur la Protection des Données).
Enfin, les données se trouvant à l’intérieur de datacenters à vocation professionnelle, il s’agit de lieux sécurisés, respectant un certain nombre de standards (disponibilité, monitoring, sauvegardes etc.) et régulièrement audités.
Le Cloud et les bonnes pratiques à adopter dans les entreprises
Bien entendu, la sécurité côté hébergeur ou fournisseur de service Cloud ne pouvant parer à tous les risques, il est important que l’entreprise cliente elle-même mette en place un certain nombre de bonnes pratiques applicables au sein même de l’entreprise. On peut ainsi citer des bonnes pratiques telles que :
- l’utilisation de mots de passe unique,
- l’instauration d’un système de double vérification (par exemple, par SMS)
- la mise en place de zones de sécurité
- la définition d’une politique de sécurité informatique propre à l’entreprise
Ce sont ces bonnes pratiques, associées à un stockage sécurisé, à des procédures de protection, de garantie et de sauvegarde pointues qui permettront ainsi d’assurer une sécurité optimale dans le cadre du Cloud Computing.
En 2022, la sécurité dans le Cloud en pleine maturation
Ainsi, en 2022, même si la sécurité demeure une problématique importante dans la décision de recourir à un service ou à une plateforme de Cloud Computing, ce n’est plus le Cloud lui-même qui pose problème. En effet, de par les multiplications des menaces informatiques et de leur impact potentiel sur la viabilité des entreprises, la sécurité informatique est devenue un enjeu systématique et qui intervient dans tous les aspects de la gestion du système d’information.
Concernant la sécurité assurée par les prestataires et plateformes de Cloud, même si le risque 0 n’existe pas, l’hébergement des données, lorsqu’il est mis en place et suivi de manière professionnelle, en faisant appel à des spécialistes, est tout aussi sécurisé que des infrastructures gérées en interne, que ce soit sur le plan de la sécurité vis-à-vis de ses employés, du matériel et des logiciels utilisés ou encore de procédures.
Reste qu’en matière de sécurité informatique et de Cloud Computing, l’important est de s’assurer que la plateforme ou le service de Cloud choisi est sérieux dans son approche, compétente, à jour dans ses procédures de sécurité informatique, et qu’elle tiendra ses engagements et ses responsabilités en cas d’incident.
Ne pas oublier : les clauses de réversibilité
Également reste pour le client une dernière problématique à considérer, c’est à dire, la sécurité des données du point de vue de la capacité du client à récupérer les informations auprès du prestataire en cas de problème.
Ainsi, en dernier lieu, il conviendra de s’assurer pour le client de disposer dans son contrat de clauses lui permettant de rester propriétaire et souverain de ses données, d’annuler le contrat ou de récupérer ses données sur simple demande ou encore de disposer d’une traçabilité des données et des traitements. On parle généralement pour ces aspects de clauses de réversibilité.
Tout ceci permettant de savoir où se situent les données et de pouvoir mettre en place des solutions en cas de volonté de changement du prestataire ou d’une éventuelle défaillance de sa part.