Conjuguer cloud et cybersécurité

Julien Paffumi, Product Portfolio Manager chez Stormshield s’empare du sujet et y répond en mettant en avant plusieurs points clés.

Une remise en cause du cloud dans l’entreprise

Lorsqu’il est question de cloud, se mélangent les notions de cloud public et de cloud privé, mais aussi de SaaS (Software-as-a-Service), d’IaaS (Infrastructure-as-a-Service) et de PaaS (Platform-as-a-Service). Autant de clouds différents en matière d’économie mais aussi de risques.

Malgré le caractère incontournable du cloud aujourd’hui, les préoccupations autour de la sécurité des données se font davantage entendre. Une certaine sensation de perte de contrôle associe cloud et fragilité des données. D’un côté, certaines inquiétudes concernent la confidentialité des données stockées via des plateformes américaines, suite à l’adoption du Cloud Act par les États-Unis en 2018. De l’autre, les risques d’erreurs humaines font peur, puisqu’une mauvaise configuration des paramètres de sécurité peut occasionner une fuite massive de données.

Deuxième crainte répandue : les coûts cachés du cloud, souvent présenté comme une solution moins coûteuse que les infrastructures informatiques on premise. En effet, plusieurs facteurs sont susceptibles d’engendrer un dépassement de budget : l’augmentation du prix du stockage, les frais d’exploitation et de suppression des données plus élevés ou encore les frais de sortie récemment épinglés par l’Autorité de la concurrence en France. ​ En parallèle, la crise du prix de l’énergie a également permis de (r)ouvrir les yeux sur la consommation énergétique d’un datacenter.

Dernière crainte derrière l’utilisation du cloud : la vulnérabilité des données qui y sont stockées, cibles de choix pour les cyber-criminels. Car pour atteindre ces données, les cyber-criminels peuvent attaquer différents éléments du cloud, que ce soient les services informatiques, les services de stockage ou encore les applications. En 2021, Cognite, Facebook ou encore Kaseya étaient toutes victimes de cyberattaques sur des bases de données cloud.

Ces quelques exemples d’attaques (parmi tant d’autres) participent au sentiment d’insécurité que les entreprises ont vis-à-vis du cloud. Car même des solutions de cybersécurité se font attaquer dans le cloud – les moteurs de recherche regorgent par exemple d’articles sur les attaques contre l’entreprise LastPass et ses services de stockage sécurisé de mots de passe.

La remise en question du cloud se pose depuis plusieurs années. Une étude de 451 Research réalisée fin 2022 avance que 54% des répondants auraient retiré leurs données du cloud public dans l’année écoulée. Une action publique pour certaines entreprises : parmi elles, France Télévisions Publicité a rebasculé ses sauvegardes cloud sur des infrastructures on-premise dès 2020.

Mais sortir du cloud n’est pas une décision qui se prend à la légère et implique d’effectuer préalablement une étude d’impact (migration de l’infrastructure, migration des données et des utilisateurs, adaptation des règles de sécurité, accompagnement aux changements…).

Une cybersécurité possible pour le cloud

Reste une autre optique : conjuguer cloud et cybersécurité. Une approche d’autant plus importante que la sécurité du cloud est souvent en réalité la sécurité des clouds. Les briques de sécurité propres aux différentes market places doivent ainsi être renforcées ou remplacées par les capacités des pure-players de cybersécurité (segmentation interne, filtrage entre les différentes ressources, systèmes de détection d’intrusion, outils de gestion des identités et des accès, liens VPN de confiance…).

Dans cette optique d’un multi-cloud, le choix d’une marque de firewall pure-player à déployer dans chaque cloud prend tout son sens en matière d’expertise, de visibilité et de gestion, en comparaison à l’administration des différentes configurations de chacun des firewalls natifs de chaque cloud.

Et comment faire son choix dans les différentes plateformes cloud ? Autrement dit : comment faire appel à un cloud sécurisé ? Le référentiel français SecNumCloud permet la qualification de prestataires de services cloud. Un label qui vient attester de la confiance de l’État français, en répondant à des exigences cyber fortes établies par l’ANSSI. Conformité au plus haut niveau de sécurité pour la protection des données, convention de service précise ou encore localisation des données garantie : les clouds qualifiés sont ainsi plus protecteurs face aux lois extra-européennes.

Mais tout ceci ne doit pas faire oublier l’importance de sécuriser ses échanges dans le cloud. À l’heure où les outils collaboratifs dans le cloud prennent de plus en plus de place dans les organisations, l’information est donc exposée aux risques d’interception, de fuite et de vol de données. Chiffrer ses fichiers permet ainsi d’échanger ses données sensibles de manière sécurisée : les données sont chiffrées et déchiffrées uniquement par les personnes autorisées.

Mais pour être efficace, l’action de sécuriser les données sensibles doit se conjuguer avec la simplicité d’usage apportée par les plateformes. Encore un autre sujet…

Les craintes autour de la fragilité des données dans le cloud permettent donc de se poser les bonnes questions autour de cet environnement si particulier. Elles mettent en lumière les failles du cloud et les besoins associés en matière de sécurité. Une sécurité dans le cloud qui ne doit pas être pensée seule : l’entreprise doit également sensibiliser ses collaborateurs sur le périmètre plus global des menaces cyber.

La seule manière d’élever le niveau de sécurité de ses actifs dans le cloud mais également de l’entièreté de son périmètre. Car dans le cloud, la sécurité se joue bien à tous les étages.

Pour compléter votre lecture sur le thème de la Sécurité du Cloud avec les experts @ITPROFR :

Top 6 des Enjeux de la Sécurité du Cloud · iTPro.fr

Les 7 piliers de la sécurité dans le Cloud · iTPro.fr

Conteneurs, Cloud et Sécurité, Trio gagnant de l’écosystème IT (itpro.fr)