Quels impératifs faut-il respecter en matière de sécurité du Cloud ?

Les défis posés par des quantités de données à stocker de plus en plus importantes rendent inévitable, pour de nombreuses entreprises, la transition vers le cloud. Comment éviter que les faiblesses du cloud, en matière de sécurité des données n'aient de repercussions graves sur l'entreprise ?

À travers ce texte, nous exposons quelques impératifs à respecter pour s'assurer de la sécurité de vos données d'entreprise dans le cloud.

Tandis que des quantités de données toujours plus importantes font leur transition vers le Cloud, les défis posés par la protection de ces données sont eux aussi en constante augmentation.  Comme nous le savons tous, et plus particulièrement au sein du monde de l’informatique d’entreprise, la sécurité des données dans le Cloud demeure l’une des principales préoccupations des décideurs, plus encore lorsque ces données se trouvent à l’extérieur du datacenter d’une entreprise.  Les faiblesses spécifiques du Cloud en matière de sécurité sont par conséquent au premier plan des enjeux de la plupart des équipes IT modernes. 

Nous estimons que les entreprises qui stockent des données dans le Cloud au-delà de leur pare-feu devront faire face à une brèche de sécurité en moyenne dans les trois ans à venir.  Ceci tient davantage d’une certitude que d’une probabilité tant il est établi que les données stockées sur le Cloud courent le risque d’être compromises. Ainsi, la sécurité du Cloud reste aujourd’hui un défi majeur pour les entreprises, et spécifiquement celles qui peinent à être pragmatiques dans leur approche face à la migration et la protection des données au sein du Cloud. Néanmoins, en faisant preuve de diligence et de préparation, il est tout à fait possible de remédier à ce problème avant qu’il ne survienne.    

Voici cinq scénarios parmi les plus courants qui illustrent comment la sécurité des données peut être compromise dans le Cloud :

L’erreur humaine

Les êtres humains représentent le principal point faible de la sécurité d’un datacenter. Et attention, toutes les brèches ne sont pas commises par des personnes mal intentionnées. Les erreurs humaines continuent à figurer au premier rang des plus grands risques pour la sécurité dans le Cloud. De nos jours, les informations circulent facilement jusqu’à n’importe quel endroit du monde, ou presque, ce qui signifie qu’un simple clic non-intentionnel sur le bouton d’envoi peut propulser des informations strictement confidentielles dans le domaine public.  Les "Leaky Cloud Buckets" en sont un parfait exemple.  Pour s’assurer que les informations restent à l’abri de dynamiques dangereuses de bout en bout, les équipes IT des entreprises doivent trouver l’équilibre entre les "technologies de protection", telles que les pare-feux, et les "technologies de conservation", telles que le classement, le chiffrement, et la gestion des droits d’accès.  

Les mauvais joueurs

Nous travaillons souvent avec de grandes entreprises internationales qui ont conscience que les brèches de sécurité les plus préjudiciables ne viennent pas toujours de l’extérieur — comme les attaques de pirates informatiques. Parfois, la menace peut venir de l’intérieur, de la part d’initiés malveillants, d’employés rancuniers sur le départ, ou de mauvais joueurs ayant obtenu des accréditations et qui les utilisent au détriment de l’entreprise.  Les permissions de partage de fichiers externes, les filigranes et autres outils de prévention des pertes de données peuvent protéger votre entreprise contre ces mauvais joueurs. 

Le contrôle d’accès insuffisant

Dans le même ordre d’idées, un contrôle d’accès insuffisant est un problème dont l’entreprise peut ne pas avoir connaissance.  Une erreur fréquente des entreprises, est l’autorisation du partage des informations des comptes d’utilisateurs entre collègues, le temps que chacun ait ses propres identifiants, ou juste pour consulter un dossier, etc.  Ceci permet à certains utilisateurs d’accéder à des données du système de l’entreprise qui leur seraient autrement interdites, et cela élimine par la même occasion la possibilité de suivre, de vérifier et de lier l’activité d’un utilisateur à une personne spécifique en cas de comportement inapproprié. 

La perte de données

Toutes les entreprises désirent tirer profit des avantages des technologies du Cloud, mais pas aux dépens de la perte du contrôle de leurs données.  Un tel cas de figure suppose que la perte de données signifie la suppression accidentelle de données critiques dans le Cloud, ou l’incapacité de vérifier d’anciens codes pour détecter des vulnérabilités spécifiques.  Les entreprises peuvent pour éviter cela, opter pour des services et produits offrant la possibilité d’utiliser le Cloud derrière leur pare-feu, sur l’infrastructure de stockage de leur choix. Par exemple, chiffrer les données avant leur envoi vers le Cloud, évite ainsi qu’elles soient exposées ou perdues. On évite également qu’une tierce partie n’ai accès à vos données, à vos clés ou à vos authentifications, ce qui est un gage de sécurité. 

Les services Cloud partagés

Certaines solutions Cloud proposent des services partagés, qui peuvent constituer une vulnérabilité lorsqu’ils échouent à appliquer un niveau de sécurité adéquat entre les clients du service partagé. Ceci peut mener au partage des ressources dans le Cloud et les menaces peuvent ainsi provenir d’autres clients du Cloud qui introduisent des vulnérabilités et des dangers pouvant affecter tous les utilisateurs. C’est la raison fondamentale pour laquelle par exemple, notre plateforme est non seulement conçue pour être déployée sur votre propre Cloud, mais également pour être multi-locataire, c’est-à-dire vous permettant de séparer vos données par groupes ou types de données en fonction des besoins de votre entreprise.