Crise sanitaire et migration vers le cloud : comment minimiser les risques de sécurité ?

Le plus souvent, la menace émane des utilisateurs qui n'ont pas conscience du rôle qu'ils jouent ou ont à jouer pour minimiser les risques d'attaques. 

La crise sanitaire actuelle a modifié de nombreux comportements de notre quotidien, tant pour les entreprises que pour les particuliers. L'un des changements majeurs, concerne l'évolution de notre société vers une démocratisation du télétravail. Cette tendance, à l'origine de la forte croissance de nombreuses applications de communication collaborative (+775%)[1], a également contraint les chefs d'entreprises à s'engager dans des changements structurels au profit de la continuité de leur activité.

Si les avantages induits par le cloud sont évidents, certains enjeux demeurent à relever. Parmi eux, le potentiel accru de risques de sécurité prévaut. Les défaillances de sécurité ne concernent généralement pas les plateformes de cloud computing, qui disposent elles-mêmes d’excellents protocoles de sécurité. Le plus souvent, la menace émane des utilisateurs qui n’ont pas conscience du rôle qu’ils jouent/ont à jouer pour minimiser les risques d’attaques. 

Or, les plateformes cloud pâtissent d’une réputation controversée. Elles sont souvent blâmées à tort et c’est souvent bien plus tard que l’on découvre que les dommages ont été causés par des utilisateurs non aguerris. Nul, pendant le confinement, n’a pu passer à côté du zoombombing, phénomène qui a vu des hackers s’inviter à certaines conférences en ligne. Si la réaction première était que le système avait été piraté, dans les faits, ces intrusions étaient dû au statut public des liens de conférence et donc à une mauvaise configuration de l’outil de la part des utilisateurs.

Par où commencer ? Un plan de sécurité bien défini est primordial

Si la plupart des entreprises se lancent dans la migration vers le cloud avec de bonnes intentions, beaucoup ne parviennent pas à formuler une stratégie claire.

Une fois la plateforme correspondant aux besoins choisit, l’étape suivante consiste à identifier les mesures de sécurité appropriées. Tout comme le contrôle d’accès aux documents, il est primordial d’accorder des autorisations de modification desdits documents aux bonnes personnes. Pour ce faire, une partie du processus consiste à bien identifier celles qui en auront besoin. Il est aujourd’hui fréquent, que certaines entreprises accordent à plusieurs personnes un accès privilégié d’"administrateurs global" à tous les systèmes. Mais dès lors que les utilisateurs peuvent passer outre ce qu’une autre personne a établi en matière de politique de sécurité, les problèmes commencent.

In fine, les services cloud sont différents des systèmes traditionnels de serveurs et de stockage on-premise et doivent donc être traités différemment. Lorsqu’une entreprise choisit de migrer vers le cloud, la cybersécurité prend un tout autre aspect. La gestion des données et des ressources ne concerne plus les machines physiques qui fonctionnent dans les bâtiments. Il s’agit désormais de code, qui requiert un ensemble de compétences qui se font rares aujourd’hui.

S’assurer que le cloud n’augmente pas votre profil de risques

Le cloud offre des possibilités inégalées en termes de flexibilité et de facilité d'utilisation, mais il est aussi très complexe et ne cesse d’évoluer. Cette complexité et rapidité d’évolution traduit un manque de ressources au niveau des entreprises, des ressources qui permettraient de suivre convenablement l’évolution de cette technologie. De ce fait, de multiples utilisateurs cloud ne peuvent profiter pleinement de ses avantages procurés et s’exposent également à de nombreux risques de sécurité (attaque DDoS, vol de données, injection SQL, etc.).

En somme, la migration vers le cloud et l’optimisation de son potentiel peuvent rapidement s’avérer complexes. Dans leur processus de migration et de sécurisation du cloud, les entreprises ont besoin d’être encadrées et accompagnées afin de tirer parti de l’ensemble de son potentiel technologique. Aujourd’hui, la dimension conseil leur est accessible directement auprès des fournisseurs cloud et d’entreprises de services tierces. Dans ce contexte, les partenariats technologiques entre fournisseurs cloud, dont AWS et Microsoft Azure, et spécialistes des services IT constituent pour les entreprises une garantie en matière de performance 360. Les entreprises sont assurées de bénéficier d’une gestion du cloud intégrale, combinant expertise conseil, connaissances techniques, infrastructure informatique robuste et gestion des risques de sécurité. Elles sont à la fois libérées de certaines contraintes et garantie de disposer d’un service évolutif en fonction de leurs besoins.

Tout comme nous nous adaptons dans notre quotidien à vivre avec de nouvelles consignes de sécurité, à l’image de la distanciation physique, travailler dans le cloud en toute sécurité exige un changement de paradigme, qui prend du temps. Prendre le virage du cloud est la responsabilité de chacune des parties prenantes (interne et externe).

 [1] Source Microsoft