Blog

Sécurité cloud : les bonnes pratiques à adopter

Le passage massif des activités numériques des particuliers comme des entreprises de serveurs ou réseaux locaux vers “le cloud” pose de nombreuses interrogations. La première d’entre elles concerne évidemment la sécurité : quel hébergement des données ? Quelle étanchéité entre le vaste cloud et les systèmes locaux ? Quelle porosité face aux cyber-attaques, et quels moyens pour s’en protéger ? 

Si votre entreprise a opté pour le cloud, la sécurité est une question que vous devez impérativement vous poser. Un cloud sécurisé n’existe pas à proprement parler : c’est à vous qu’il appartient de faire les démarches et efforts nécessaires pour protéger au mieux vos données et vos réseaux. Voici une synthèse de tout ce qu’il faut savoir pour vous prémunir au mieux des risques associés à l’utilisation du cloud.

Le cloud en sécurité : état des risques

En 2021, deux tiers des malwares (programmes malveillants) dans le monde ont été distribués par des applications cloud. Ce constat n’est pas surprenant lorsque l’on sait que le passage à un environnement de travail numérique en cloud se fait dans une immense majorité de situations sans déploiement parallèle d’une politique de sécurité cloud adaptée.

Les enjeux sont pourtant nombreux en matière de sécurité appliquée au déploiement de cloud : dilution de la visibilité en termes d’accès à l’infrastructure réseau de votre entreprise, perte de conformité en matière de réglementation sur la protection des données, risque accru de fuite de données en raison d’un mauvais usage des outils cloud par votre propres employés, risques d’ouverture de brèches de sécurité par le biais d’applications cloud tiers, etc. 

En résumé, passer au cloud en sécurité demande du temps et de la préparation. De plus, les menaces et les risques doivent être envisagés de manière globale, sans se limiter au risque d’attaques par des logiciels malveillants. Enfin, des outils et réponses efficaces et concrets peuvent être rapidement mis en œuvre pour protéger vos réseaux et l’accès aux données de votre entreprise.

Cloud et sécurité : le risque venu de l’intérieur

Contrairement aux idées reçues, la principale menace en matière de perte de données détenues par les entreprises ne vient pas de l’extérieur, mais bien plutôt du transfert, mal intentionné ou non, des données de l’entreprise sur les espaces cloud privés de ses personnels. En effet, cloud et sécurité ne peuvent pas faire bon ménage quand il suffit de quelques clics pour “aspirer” des volumes considérables de données. Le problème, c’est que l’entreprise et son représentant légal restent responsables de la politique de protection des données personnelles collectée pour le compte de l’entreprise (sur ses clients, employés, fournisseurs, etc.).

→ Pour se protéger de ce risque, il est indispensable de réfléchir à l’architecture d’un cloud sécurisé, et de définir au préalable une politique de gestion des autorisations qui organise l’accès aux différentes données d’entreprise en conformité avec la réglementation sur la protection des données.

Les menaces externes : les applications tierces non sécurisées

Parmi les menaces les plus fréquentes en matière de cloud et de sécurité informatique, le ransomware (“rançongiciel”) arrive largement en tête, en volume d’attaques notamment. Sa porte d’entrée la plus fréquente dans les réseaux des entreprises ? Les applications cloud tierces non sécurisées qui, faute d’architecture cloud solide, se voient attribuer des accès à des données d’entreprise pourtant sensibles. La récupération d’un identifiant de connexion par une technique simple de hameçonnage suffit ainsi à accéder à ces données. Le pirate n’a alors plus qu’à déployer son ransomware auprès de l’entreprise qui ne pourra prendre le risque de se voir décrédibilisée aux yeux de ses clients et/ou partenaires commerciaux. 

Les infractions aux réglementations sur la protection des données personnelles

La question de la sécurité du cloud ne concerne pas uniquement les risques d’infraction par des individus ou logiciels malveillants. En matière de cloud, la sécurité est également un enjeu de respect des règles et lois en vigueur en matière de protection des données personnelles. Ainsi, toute entreprise détentrice de données personnelles (adresse, nom, numéro de téléphone, etc.), est tenue par le règlement général de protection des données (RGPD) de savoir à tout moment où sont stockées les données qu’elle détient, et de maîtriser la protection de leur confidentialité. Or dans le cas d’une utilisation peu encadrée du cloud, de nombreuses entreprises se trouvent dans l’impossibilité de satisfaire aux obligations fixées par le législateur en la matière. 

 

Les menaces liées à l’utilisation massive et à la mise en place souvent dans la précipitation du cloud sont donc nombreuses. Pour s’assurer d’une utilisation du cloud en sécurité, il appartient aux entreprises de mettre en place les règles et dispositifs adaptés à leurs nouveaux usages numériques. 

Cloud sécurisé : les solutions à mettre en œuvre

Il existe plusieurs types de réponses à apporter, en fonction des différents profils de menaces pesant sur le cloud et sur la sécurité des données détenues par les entreprises.

Si certaines de ces réponses sont des dispositions d’ordre général, d’autres, à l’image des solutions développées par Pyxya, sont particulièrement adaptées au contexte de généralisation des nouveaux usages numériques tels que le cloud.

Des principes et des règles à respecter en toutes circonstances

Face au déploiement parfois en dehors de toute considération relative à la sécurité du cloud, il existe un ensemble de mesures à prendre pour se prémunir des risques et menaces les plus présents :

  • activer le chiffrement (cryptage) des données dans les espaces de stockage ;
  • protéger l’identification des usagers : pour garantir l’utilisation du cloud en sécurité, il est indispensable de protéger les accès au cloud de vos utilisateurs par un dispositif d’identification renforcé. En effet, un simple identifiant et un mot de passe associé sont trop rapidement récupérés au moyen d’un simple email de phishing. Pensez donc à mettre en place une politique de gestion des accès et des identités viable et fiable. Assurez-vous en particulier de mettre en place des processus d’authentification multiple pour vos utilisateurs.
  • équipez l’ensemble de vos réseaux de pare-feux adaptés à leur configuration.

Les solutions de Pyxya pour la sécurité de votre entreprise

Pyxya conçoit des solutions de déploiement et de protection des réseaux d’entreprise qui redonnent de la visibilité aux responsables de la sécurité des réseaux sur les usages qui sont faits des réseaux internet depuis l’infrastructure du réseau d’entreprise. Consultez sans attendre notre offre de firewall d’entreprise pour en savoir plus. 

Pour une gestion optimale de la sécurité de vos réseaux, optez pour nos solutions en SD-WAN : bénéficiez ainsi d’un réseau virtuel performant, et gardez un œil à tout moment sur les connexions et les usages de vos différents groupes d’utilisateurs.