Installé durablement dans les usages professionnels, le Cloud computing apporte une flexibilité, grâce à des offres qui s’adaptent aux besoins des utilisateurs, tout en évitant de lourds investissements dans la gestion des infrastructures.
Le Cloud computing est aujourd’hui largement adopté par les entreprises européennes puisqu’au moins 90% d’entre elles utilisent au quotidien au moins un service hébergé dans le Cloud, Microsoft 365 et Google Workspace en tête.
Une tendance de fond qui ne doit néanmoins pas faire oublier que les risques de sécurité informatique qui pèsent sur les données à l’intérieur de votre entreprise sont les mêmes à l’extérieur de cette dernière.
Mais alors comment protéger vos données hébergées dans le Cloud ? Comment sécuriser votre patrimoine numérique, malgré la dépendance aux fournisseurs et plateformes externes ? Quelle stratégie de gouvernance adopter pour encadrer ces nouveaux usages ?
Evicys vous répond et apporte des conseils concrets pour structurer la gouvernance des données dans le Cloud.
Ce qu’il faut comprendre sur la protection des données dans le Cloud.
Dans une infrastructure informatique on-premise (hébergée sur un serveur dans votre entreprise), vous cherchez à protéger vos données dans un périmètre défini. On emploie parfois l’image d’un « château fort », avec des couches successives de protections : DMZ (douves), pare-feu (murailles), antivirus / EDR (tourelles et gardes), etc. Une accumulation dont l’objectif est de rendre toute tentative d’intrusion trop coûteuse en temps et en ressources pour qu’elle ne soit rentable pour le cybercriminel.
Dans une infrastructure Cloud, les DSI et RSSI cherchent à adapter et à étendre cette approche pour maîtriser les flux de données envoyés hors de l’entreprise.
Dans un environnement Cloud, vous êtes rarement le seul maître à bord. Si vous avez accès au serveur virtualisé ou à la plateforme de travail collaborative, vous n’aurez cependant pas spécifiquement accès à l’hyperviseur qui régit le fonctionnement de ce dernier. C’est également le cas pour le datacenter ou l’accès aux infrastructures physiques du prestataire Cloud que vous aurez choisi qui sont eux-mêmes vulnérables à de multiples risques.
C’est pourquoi des mesures de durcissement doivent être appliquées sur la protection des données qui transitent dans ces environnements.
Sécurité informatique dans le Cloud vs On-premise : durcir plutôt que subir.
La gestion de la sécurité des données dans le Cloud doit être pensée sous le prisme du modèle Zéro Trust. Vous ne faites confiance à aucun utilisateur ou équipement, et vous considérez qu’aucun environnement n’est fiable par défaut.
En tant que RSSI à temps partagé, chez Evicys nous appliquons une gouvernance de la cybersécurité qui s’appuie sur des référentiels majeurs tels que ISO27001, NIST ou encore les bonnes pratiques de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
C’est pourquoi nous recommandons, lorsque cela est possible, d’appliquer un chiffrement de vos données au repos comme en transit. Dans le cas d’une intrusion ou d’une exfiltration de données depuis votre infrastructure hébergée dans le Cloud, l’attaquant n’aura pas la capacité de déchiffrer vos données pour en exploiter le contenu.
Pour réduire la capacité des attaquants à produire un accès initial (comme un login et un mot de passe) permettant d’accéder à vos services, des mesures spécifiques doivent être prises.
L’une d’elles est l’application du principe du « moindre privilège », qui équivaut à fournir à un utilisateur des rôles et des permissions, strictement pendant le temps nécessaire à l’exécution de sa tâche. Ainsi, en cas de partage non autorisé ou de vol de ses identifiants, l’accès ne pourra être réutilisé à son insu.
Pour chacune de ces règles, les experts Evicys génèrent un tableau de bord intégrant des indicateurs de cybersécurité vous permettant de visualiser le niveau de conformité de votre entreprise et les actions à prévoir.
Car même si vous collaborez avec les principaux leaders du marché, aux yeux des autorités, vous êtes responsable de la protection des données de votre entreprise.
Comprendre le modèle de responsabilité partagée entre le client et le fournisseur de services.
Contrairement à une idée répandue, votre fournisseur Cloud n’est pas responsable de la sécurité de vos données professionnelles.
Il assure généralement la sécurité de ses propres infrastructures et leur continuité d’activité : serveurs, stockage, réseau, hyperviseur mis à la disposition du client. Vous restez responsable de vos données, de la gestion des utilisateurs qui se connectent à vos services (identités et droits d’accès) ainsi que de la configuration des services et outils auxquels vous avez souscrit (machines virtuelles, base de données, solutions de cybersécurité).
Les SLA (accord ou contrat de niveau de service) prévus au contrat précisent les obligations de chacun en matière de sécurité, de disponibilité et de sauvegarde des données. Le cas le plus flagrant est la responsabilité en cas de suppression de données dans Microsoft 365. La firme américaine a l’obligation d’héberger une copie de vos données, mais elle n’a pas l’obligation d’historiser ces dernières. Ainsi en cas de suppression accidentelle, et sans sauvegarde supplémentaire de votre part, les données seront perdues et aucun recours ne sera possible.
Comprendre ce partage de responsabilité est indispensable pour concevoir la sécurisation et la protection des données hébergées dans vos environnements sur le Cloud.
Maîtriser sa surface d’exposition pour anticiper la menace.
L’un des principaux risques des services et infrastructures hébergées dans le Cloud est celui d’être visible par quiconque. Pour réduire cette menace, toute entreprise se doit de maîtriser sa surface d’exposition.
La maîtrise de la surface d’exposition consiste à identifier, réduire et contrôler tout ce qui, dans vos environnements Cloud, peut être atteint ou exploité depuis l’extérieur.
Cela comprend par exemple les IP, noms de domaine, ports de connexion, accès utilisateurs.
Dans les faits, la majorité des incidents que nous observons chez Evicys ont quatre causes :
- des interfaces ou services exposés sans nécessité,
- des identités ou permissions configurées trop largement,
- des interconnexions Cloud ↔ on-premise insuffisamment cloisonnées.
- des systèmes d’exploitation et applications non mises à jour.
Maîtriser votre exposition revient d’abord à supprimer ce qui n’a pas à être accessible : ports ouverts, documentation technique, application en mode debug, services de test, comptes d’administration non utilisés ou non protégés et services VPN non protégés par la double authentification.
Vient ensuite la question du cloisonnement : une compromission interne ne doit jamais permettre de rebondir vers un autre actif. Cela implique une étanchéité des réseaux, une gestion stricte des identités, des rôles et des passerelles d’interconnexion.
Mais surtout, cette maîtrise ne peut être statique : vos environnements évoluent en permanence. C’est précisément pour cela qu’Evicys recommande de s’appuyer sur un service VOC (Vulnerability Operation Center).
Le VOC permet :
- une veille continue de votre exposition réelle sur Internet,
- une détection priorisée des vulnérabilités et mauvaises configurations,
- une orchestration des corrections avec vos équipes,
- la production d’indicateurs pour piloter votre gouvernance cyber.
En pratique, le VOC identifie les angles morts : il garantit que chaque changement, chaque déploiement, chaque nouvel usage dans le Cloud reste maîtrisé.
Evicys assure la gouvernance de vos données dans le Cloud.
La protection des données dans le Cloud ne se limite donc pas à des solutions techniques : elle nécessite une compréhension des enjeux et des risques associés à vos usages, mais surtout un suivi continu dans le temps.
Evicys, cabinet de conseil en cybersécurité, accompagne les entreprises dans la sécurisation de leurs infrastructures Cloud.
Nos RSSI à temps partagé définissent et suivent l’application de plans d’actions, pour la sécurité et la conformité réglementaire de vos infrastructures, qu’elles soient sur site ou dans le Cloud.
Notre service VOC permet de surveiller, d’identifier les vulnérabilités et d’automatiser les opérations de gestion des vulnérabilités.
Contactez-nous dès aujourd’hui pour un premier échange avec nos experts.
