Heartbleed, Cloud, espionnage… les données des entreprises sont plus menacées que jamais
A l’heure où le Cloud Computing séduit de plus en plus d’entreprises, des risques pèsent sur leurs données. Qu’il s’agisse de coupure de service et donc d’accès aux données, de problèmes de piratage ou de cadre juridiques parfois flous qui entourent la propriété intellectuelle des données stockées en ligne.
Avec Heartbleed, la faille béante dans le protocole de sécurité OpenSSL découverte en mars et rendue publique le 6 avril dernier, particuliers et entreprises ont découvert que la sécurité des échanges de données de centaines de milliers de sites Web à travers le monde était compromise depuis plus de deux ans. Parmi eux, de nombreux sites de e-commerce ou de banques en ligne.Une vulnérabilité introduite dans le protocole OpenSSL en décembre 2011 permettait, en envoyant une requête à un serveur Web, de récupérer en retour des informations transmises par d’autres utilisateurs lors de requêtes précédentes telles qu’identifiants, mots de passe ou encore cookies.
De nombreux fournisseurs de services Cloud, accessibles via un navigateur Web s’appuyant sur le protocole HTTPS, combinaison du HTTP avec une couche de chiffrement SSL ou TLS, s’appuient sur la bibliothèque de chiffrement OpenSSL et sont donc vulnérables aux attaques.
En outre, les médias ont révélé en septembre 2013, en s’appuyant sur les documents fournis par Edward Snowden, que la NSA a cassé le chiffrement du protocole HTTPS grâce au programme Bullrun, rendant toutes les données chiffrées du Web (transactions bancaires, e-mails, etc.) accessibles aux services de renseignement américains.
L’étendue du système de surveillance mis en place depuis des années par les États-Unis, est aujourd’hui connu sous le nom de programme PRISM. Au nom de la lutte antiterroriste, le gouvernement américain analyse depuis des années des millions de données Internet et téléphoniques dans le monde, souvent fournies par des opérateurs de Cloud américains, et semble en avoir profité pour espionner, de manière systématique, nombre d’entreprises européennes, avant de transmettre les informations récupérées à leurs concurrentes américaines.
Cloud Computing et sécurisation des données en ligne
A l’heure où le Cloud Computing – et l’hébergement en ligne des données et des services – séduit de plus en plus d’entreprises, de nombreux risques pèsent sur leurs données, qu’il s’agisse de coupure de service et donc d’accès aux données, de problèmes de piratage ou de cadre juridiques parfois flous qui entourent la propriété intellectuelle des données stockées en ligne. Le principal d’entre eux concerne la confidentialité des données stratégiques des entreprises auxquelles leurs concurrents peuvent chercher à avoir accès.D’après le site Web Host Review, 4 entreprises sur 10 perdront le contrôle d’une partie de leurs données d’ici à cinq ans. Hors, la divulgation de ces données confidentielles peut ouvrir une fenêtre sur la stratégie de l’entreprise et les fuites de données peuvent entraîner des pertes marchés ou de réputation. L’entreprise allemande de services Ferrostaal l’a appris à ses dépens en 2003 puisque qu’elle aurait perdu un contrat de 34 millions d’euros au profit de ses concurrents américains après s’être fait dérober des données sensibles.
L’espionnage industriel, rendu possible grâce à un accès à des données trop peu protégées, peut avoir des impacts conséquents. Pour s’en prémunir, les entreprises doivent les préserver dans un environnement hautement sécurisé. Aujourd’hui, seules les applications Web en mode cloud privé – ou data room électroniques – sont capables d’assurer un niveau de protection acceptable à cet actif stratégique. Elles sont à la fois capables d’assurer une accessibilité permanente aux données et une sécurisation de premier ordre grâce, notamment, à des protocoles renforcés en matière de gestion des accès.
Pour autant, il ne suffit pas de s’appuyer sur une infrastructure technique de premier plan pour prévenir les risques liés à la sécurité. Celle-ci ne peut être satisfaisante que si les aspects techniques, organisationnels et juridiques sont alignés – ce que seuls les fournisseurs européens de data room électroniques et de Cloud privés sont à même de faire :
- Juridique : Les fournisseurs européens de solutions et de services Cloud doivent se conformer strictement aux réglementations de l’UE sur la confidentialité des données personnelles.
Leurs serveurs doivent être situés en Europe pour être placés sous juridiction européenne. - Technique : La dataroom électronique agit comme un véritable coffre-fort numérique stockant les données. Leur sécurisation doit être assurée par un ensemble de procédures intégrées telles que processus d’authentification en plusieurs étapes et architecture de sécurité multi niveaux. Il faut en outre, que l’intégrité physique des données soit garantie grâce à un système de récupération en cas de sinistre et à la réplication géographique de ces informations.
- Organisationnel : Les entreprises doivent s’assurer que son fournisseur de services Cloud lui fournisse l’assurance que ses données puissent être partagées entre les ayant-droit, sans pour autant perdre le contrôle sur leurs informations, grâce à la gestion des droits d’accès d’une part, et à la traçabilité lui permettant de savoir qui a accédé aux documents.
C’est d’ailleurs la raison pour laquelle de nombreux experts en matière de sécurité recommandent aux entreprises européennes de faire appel aux prestataires de services européens dont les serveurs se trouvent au sein de l’UE afin de répondre aux risques juridiques.