Des bureaux entiers dans le cloud
Au cours des trois dernières années, de nombreux bureaux ont migré vers le cloud, permettant aux équipes de collaborer et de communiquer à distance, quelle que soit leur taille. Les fichiers et les données sont stockés dans le cloud et peuvent être facilement accessibles depuis n’importe quel appareil. Malgré cela, de nombreux experts en informatique continuent d’avoir des préoccupations concernant la sécurité des données dans le cloud.
La sécurité dans le cloud : une responsabilité partagée
L’année dernière, les entreprises allemandes ont même dépassé la moyenne européenne en termes d’utilisation des services cloud. Cependant, des inquiétudes persistantes subsistent quant à la sécurité du cloud. En général, le cloud est aussi sûr, voire plus sûr, qu’un disque dur, un serveur physique ou un centre de données. Tant que le fournisseur de services cloud (CSP) suit une stratégie de cybersécurité complète et robuste, spécifiquement axée sur la protection contre les risques et les menaces, le cloud moderne est extrêmement sûr et fiable. Cette stratégie inclut des mesures de sécurité techniques telles que la protection contre les attaques DDoS ou l’authentification à deux facteurs. Les grandes entreprises cloud disposent des ressources nécessaires pour maintenir et mettre à jour les mesures de sécurité de leur infrastructure informatique, une tâche qui peut être difficile pour les petites et moyennes entreprises.
Cependant, il est important de souligner que le fournisseur de cloud n’est responsable que partiellement de la sécurité des données. La sécurité dans le cloud relève d’un modèle de responsabilité partagée, ce qui signifie que la sécurité des données dans le cloud est la responsabilité à la fois du CSP et de ses clients. Ainsi, en cas d’incident de sécurité, le client cloud n’est pas exempt de toute responsabilité.
Différence entre stockage et sauvegarde dans le cloud
Il est essentiel de comprendre la différence entre le stockage et la sauvegarde dans le cloud pour mieux appréhender la sécurité des données dans le cloud. Les solutions de stockage cloud telles que Google Drive et OneDrive permettent de stocker des fichiers et de centraliser des photos ou des vidéos dans le cloud. L’accent est mis sur la facilité d’utilisation, ce qui permet un accès et une synchronisation aisés depuis n’importe quel appareil.
En revanche, la sauvegarde dans le cloud consiste à envoyer automatiquement et en continu des copies de fichiers vers le cloud pour garantir une sauvegarde et une récupération fiables. Les fournisseurs de sauvegarde cloud proposent souvent une versioning des fichiers ou des systèmes complets. Ainsi, en cas de perte de données catastrophique ou de panne informatique, il est possible de restaurer une version sécurisée et à jour des fichiers ou du système d’exploitation.
Il est également important de noter que les fichiers de sauvegarde sont généralement chiffrés lors de la transmission et au repos, ce qui n’est pas toujours le cas pour les services de stockage cloud.
Les pièges sur le chemin vers le cloud
Les avantages du cloud sont indéniables, mais il y a aussi des défis à relever. Trois risques courants liés au stockage des données dans le cloud sont les violations de la vie privée, les erreurs de configuration et les interfaces non sécurisées. Alors que les attaques traditionnelles se concentrent principalement sur les logiciels malveillants, les attaques dans le cloud exploitent les erreurs de configuration, les contrôles d’accès, les identifiants volés et les vulnérabilités logicielles pour accéder aux données.
La plus grande vulnérabilité dans un environnement cloud réside dans les comptes et les logiciels mal configurés. Les erreurs de configuration peuvent entraîner des autorisations excessives, une journalisation insuffisante et d’autres failles de sécurité qui peuvent être facilement exploitées.
De plus, les utilisateurs et les entreprises utilisent fréquemment des interfaces de programmation (API) pour connecter des services et transférer des données entre différentes applications ou entreprises. Étant donné que les API sont conçues pour récupérer et transférer des données, des modifications des politiques ou des niveaux d’autorisation peuvent accroître le risque d’accès non autorisé.
Liste de contrôle pour une sécurité optimale dans le cloud
Le début de l’année est l’occasion pour les responsables informatiques d’évaluer, de remettre en question et de réajuster la sécurité des données stockées dans le cloud. Les points suivants peuvent servir de guide pour renforcer la sécurité des données dans le cloud :
Utilisation du chiffrement : Le chiffrement des données est un élément clé de la sécurité des données dans le cloud. Que ce soit en mouvement ou au repos, le chiffrement de bout en bout garantit que les données ne peuvent pas être utilisées par des tiers, y compris le fournisseur de cloud.
Mises à jour régulières : Il est essentiel de maintenir à jour les logiciels. Le patching des logiciels est un enjeu important de la cybersécurité, tant dans le cloud qu’à l’extérieur. Bien que le CSP soit responsable de la mise à jour des logiciels dans ses propres centres de données, une partie du logiciel local doit peut-être également être mise à jour pour accéder au cloud. Un outil de gestion des correctifs automatise ce processus pour les équipes informatiques responsables de nombreuses mises à jour sur de nombreux ordinateurs.
Configuration des paramètres de confidentialité : Lors de l’inscription à un service cloud, des paramètres de confidentialité sont définis, tels que le partage des données et les autorisations d’accès. Les responsables informatiques doivent régulièrement examiner et ajuster les paramètres de confidentialité pour qu’ils restent à jour. Les paramètres sont souvent définis initialement et ne sont plus remis en question, même si de nombreux changements peuvent survenir depuis la mise en place du cloud dans l’entreprise.
Privilégier la précaution pour les mots de passe : Lors de l’utilisation de services cloud, les utilisateurs doivent être encouragés à utiliser des mots de passe forts pour tous leurs comptes. Les services cloud sont conçus pour permettre à quiconque disposant des bons identifiants d’y accéder. La grande majorité des cyberattaques réussies sont rendues possibles par des mots de passe faibles.
Authentification à deux facteurs : En plus des mots de passe forts, l’authentification à deux facteurs est essentielle pour renforcer la sécurité du cloud. Les options les plus efficaces consistent à utiliser le téléphone ou une application d’authentification pour envoyer un code à usage unique lors des tentatives de connexion. Cela empêche un acteur non autorisé d’accéder aux données même avec les identifiants corrects. Les responsables informatiques doivent donc régulièrement vérifier si tous les utilisateurs ont activé l’authentification à deux facteurs.
Ne pas divulguer d’informations personnelles : Les réseaux sociaux sont souvent une mine d’informations personnelles pour les cybercriminels, leur permettant de contourner les mots de passe et les questions de sécurité. Les formations récurrentes et la sensibilisation des employés sont essentielles, car moins d’informations personnelles circulent sur le web, moins on est vulnérable aux cyberattaques.
Programmes antimalwares et antivirus solides : Les programmes antivirus étaient autrefois considérés comme une solution globale en matière de cybersécurité. Cependant, les attaques étant devenues de plus en plus sophistiquées, ils ne suffisent plus. Néanmoins, ils restent un élément important d’un plan global de cybersécurité. Les logiciels antivirus et antimalwares sont constamment améliorés et proposent des fonctionnalités avancées telles que la suppression à distance et la détection des menaces basée sur l’intelligence artificielle.
Prudence avec les hotspots Wi-Fi publics : Il est préférable d’éviter les connexions aux hotspots Wi-Fi publics autant que possible. Les responsables informatiques doivent également sensibiliser tous les employés à ne pas se connecter à des hotspots inconnus, même avec leurs appareils personnels. Les cybercriminels utilisent souvent des appareils d’écoute Wi-Fi portables et des hotspots falsifiés pour accéder aux appareils personnels, en particulier dans des endroits tels que les cafés et les aéroports. Si une connexion Internet est nécessaire, l’utilisation d’un réseau privé virtuel (VPN) peut réduire les risques.
Conclusion
Le cloud est désormais bien implanté dans les entreprises allemandes. Bien qu’il soit globalement plus sûr qu’à ses débuts, il reste une cible attrayante pour les attaquants cherchant à s’emparer de la propriété intellectuelle, des secrets commerciaux et des données personnelles. En ce qui concerne la sécurité dans le cloud, il est important de comprendre que la responsabilité de la sécurité des données dans le cloud incombe à la fois au fournisseur de cloud et à son client. La combinaison d’un CSP approprié, d’outils de gestion informatique et de vérifications régulières des mesures de sécurité de l’entreprise constitue une base solide pour des données cloud sécurisées.
A propos de l’auteur : André Schindler a fondé la succursale européenne de NinjaOne à Berlin en tant que directeur général EMEA et a développé les ventes et les services en Europe. En tant que vice-président des partenariats stratégiques, il est responsable des partenariats commerciaux et technologiques, y compris la planification et la mise en œuvre des stratégies de mise sur le marché. Avant de rejoindre NinjaOne, André Schindler a occupé différents postes de direction chez TeamViewer pendant neuf ans, dans les domaines des ventes, du développement d’entreprise, de la création de valeur et des partenariats stratégiques. (ID:49219476)
