Entreprise : comment protéger ses données sensibles dans le Cloud ?

Écrit par le , Modifié le

Le stockage des données sensibles dans des ordinateurs distants offre aux entreprises de nombreux avantages qui s’avèrent très tentants, à condition de bien gérer la sécurisation des données sur le Cloud.

Les avantages du Cloud pour protéger ses données sensibles

  1. Accessibilité globale pour les équipes dispersées ou à distance.
  2. Collaboration facilitée grâce au partage et à l’édition en temps réel.
  3. Scalabilité pour s’adapter aux besoins changeants.
  4. Mises à jour et maintenance automatiques pour rester à jour.
  5. Sauvegardes et récupérations automatiques pour une meilleure sécurité des données.
  6. Résilience et redondance avec des données stockées à plusieurs endroits.
  7. Conformité et sécurité via des solutions adaptées aux réglementations.
  8. Écologie en optimisant la consommation d’énergie.

Toutefois, une attention particulière doit être accordée à la sécurité lors du choix d’un fournisseur de services Cloud. En effet, la divulgation de données sensibles peut avoir des conséquences très importantes, tant pour l’entreprise que pour les propriétaires de ces données.

Quels sont les types de données sensibles gérées par une entreprise ?

Le terme « données sensibles » recouvre un ensemble de données personnelles ou stratégiques de nature souvent confidentielles, telles que :

  • Les données personnelles d’un collaborateur, client ou patient (adresse, téléphone, email…).
  • Ses données d’identification (passeport, numéro de sécurité sociale…).
  • Ses informations financières (numéro de compte bancaire, de carte de crédit…).
  • Ses informations médicales (résultats d’examens, ordonnances, contrats d’assurance…).
  • Les données biométriques d’une personne (empreinte digitale, données faciales…).
  • Les données sur l’origine ethnique ou raciale.
  • Les informations sur les croyances religieuses.
  • Les orientations sexuelles.
  • Les opinions politiques ou appartenances syndicales.
  • Les casiers judiciaires.
  • Les mots de passe, ou les questions de sécurité.
  • Les données confidentielles de l’entreprise (stratégie commerciale, propriétés intellectuelles, listing clients, bilans comptables…).

Comme on le voit, les données personnelles sont nombreuses et leur divulgation peuvent avoir des conséquences importantes sur la vie privée, la sécurité ou la réputation des personnes concernées. Les règlementations françaises et européennes sont de plus en plus strictes à ce sujet.

Il est donc d’autant plus important de sélectionner avec soin le prestataire de services proposant le stockage des données sensibles sur le Cloud.

Choisir les bons fournisseurs de services Cloud

Les environnements de service Cloud privé

Contrairement aux services Cloud publics, un Cloud privé assure que l’ensemble de l’infrastructure est dédié à une seule entité. Voici les 4 types courants d’environnements de service Cloud privés :

Cloud On Premises

Ce cloud privé est hébergé dans le propre centre de données de l’entreprise, laquelle utilise son matériel.

Avantages : Contrôle total sur l’infrastructure physique, le réseau et la gestion du Cloud.

Inconvénients : Investissements importants en matériel et installations. Nécessité de disposer de ressources internes pour la maintenance et la mise à niveau régulière du hardware et du software.

Cloud Privé Hébergé

L’entreprise loue une infrastructure dédiée auprès d’un fournisseur de services tiers. Le matériel est exclusif à l’entreprise, mais il est hébergé et géré par un fournisseur externe.

Avantages : Moins de responsabilités opérationnelles pour l’entretien physique. Environnement dédié au Cloud.

Inconvénients : Solution moins personnalisable que pour un Cloud privé « On Premises ».

Cloud Privé Virtuel

Il s’agit d’une portion isolée d’un cloud public, où une entreprise peut lancer des ressources dans un réseau virtuel défini. Même s’il s’appuie sur un environnement cloud public, le Cloud Privé Virtuel est distinct et offre la possibilité de définir et de contrôler l’environnement réseau.

Avantages : Combinaison de la flexibilité et de la scalabilité des Clouds publics avec une couche supplémentaire de confidentialité et de personnalisation.

Inconvénients : Bien qu’il offre une isolation, il est toujours construit sur une infrastructure partagée.

Cloud privé géré

Similaire au cloud privé hébergé, mais dans ce cas, le fournisseur de services gère non seulement l’infrastructure physique, mais aussi l’exploitation du cloud, y compris la configuration, la gestion et la mise à jour.

Avantages : Libère l’entreprise des tâches opérationnelles associées à la gestion d’un cloud privé.

Inconvénients : Moins de contrôle direct sur la gestion et les opérations.

Les environnements de service Cloud public

Ce sont des plateformes de Cloud Computing pour lesquelles le fournisseur propose des serveurs virtuels et du stockage, à destination du grand public, via Internet.

Ces ressources sont hébergées dans les centres de données du fournisseur. Chaque client a sa propre instance ou son propre compte distinct, mais les capacités de traitement de données restent partagées entre les clients.

Offres des principaux fournisseurs de services cloud publics

Amazon Web Services (AWS)

Exemples de services proposés : EC2 (Elastic Compute Cloud) pour le calcul, S3 (Simple Storage Service) pour le stockage, RDS (Relational Database Service) pour les bases de données.

Point fort : Leader du marché en matière de services cloud, AWS offre une vaste gamme de services pour répondre à presque tous les besoins en matière de Cloud Computing.

Microsoft Azure

Exemples de services proposés : Virtual Machines pour le calcul, Blob Storage pour le stockage, Azure SQL Database pour les bases de données.

Point fort : Azure s’intègre nativement aux autres produits Microsoft.

Google Cloud Platform (GCP)

Exemples de services proposés : Compute Engine pour le calcul, Cloud Storage pour le stockage, Cloud SQL pour les bases de données.

Point forts: Réputé pour ses outils d’analyse de données et de Machine Learning, GCP s’intègre aux autres services Google.

IBM Cloud

Exemples de services proposés : IBM Cloud Virtual Servers pour le calcul, IBM Cloud Object Storage pour le stockage, IBM Db2 on Cloud pour les bases de données.

Point fort : IBM Cloud offre une combinaison de technologies cloud et d’outils basés sur l’intelligence artificielle, avec une orientation vers les solutions d’entreprise.

Oracle Cloud

Exemples de services proposés : Oracle Cloud Infrastructure Compute pour le calcul, Oracle Cloud Infrastructure Object Storage pour le stockage, Oracle Database Cloud Service pour les bases de données.

Point forts: Oracle Cloud est optimisé pour les applications et les bases de données Oracle. Il supporte également des solutions Open Source et d’autres technologies.

Parmi les avantages des environnements de service Cloud publics, on peut noter :

  • la scalabilité,
  • la flexibilité,
  • la mise à jour
  • la maintenance automatiques
  • le paiement à l’utilisation.

Cependant, l’infrastructure étant partagée entre les clients, les entreprises doivent apporter une attention accrue à la sécurisation de leurs données et au respect des exigences réglementaires.

Les environnements de service Cloud hybride

Un Cloud hybride est un mix entre le Cloud public et le Cloud privé. Ils fonctionnent de manière indépendante, mais sont reliés entre eux pour permettre une gestion et une orchestration unifiées des ressources.

Cette configuration permet aux entreprises de profiter à la fois des avantages du cloud public (comme la scalabilité et la réduction des coûts) et du cloud privé (comme la sécurité et la personnalisation).

Les environnements Cloud hybrides offrent une connectivité fiable via des connexions VPN (Virtual Private Network) ou des connexions directes, comme AWS Direct Connect ou encore Azure ExpressRoute.

Les principaux avantages du Cloud hybride

La flexibilité : une entreprise qui choisira la solution du Cloud hybride pourra conserver ses données sensibles sur site dans un cloud privé, et déployer des applications moins critiques dans le cloud public.

L’optimisation des coûts : avec une solution de Cloud hybride, une entreprise pourra utiliser les ressources du Cloud public pour des besoins temporaires et maintenir des opérations régulières dans son Cloud privé. La puissance de traitement d’un Cloud public est bien souvent supérieure à celle d’un Cloud privé.

Stratégies de reprise après sinistre : Un environnement hybride permettra une reprise plus facile après un incident informatique, car la charge de travail pourra rapidement être transférée du Cloud public au Cloud privé. L’entreprise limite ainsi partiellement sa dépendance à un prestataire de services unique.

Plusieurs fournisseurs de services Cloud publics, comme AWS, Azure et Google Cloud, proposent des outils et des services spécifiquement conçus pour faciliter l’intégration et la gestion des environnements hybrides.

Les environnements de service MultiCloud

Pour éviter la dépendance à un seul fournisseur (lock-in), optimiser les coûts, ou pour profiter des fonctionnalités spécifiques offertes par différents fournisseurs, une entreprise peut opter pour un environnement de services Multicloud.

L’appellation « MultiCloud » fait référence à l’utilisation simultanée de plusieurs services Clouds de différents fournisseurs. Cela peut inclure une combinaison de plusieurs Clouds publics, ou une combinaison de Clouds publics, privés et hybrides.

Les principaux avantages du MultiCloud

Tarification plus stable : en choisissant plusieurs prestataires pour la sécurisation des données sur le Cloud, une entreprise se protège ainsi contre les éventuelles pannes, les hausses de prix ou les changements de service.

Rationalisation des coûts : l’entreprise peut également choisir de déployer des applications ou des services en sélectionnant le meilleur rapport coût-efficacité parmi ses prestataires.

Proximité avec ses clients : en sélectionnant le Cloud en fonction de la localisation des serveurs, l’entreprise peuvent placer des ressources plus proches de ses utilisateurs finaux, réduisant ainsi la latence et améliorant les performances.

Flexibilité : L’approche Multicloud permet à l’entreprise de tirer parti des meilleures fonctionnalités de chacun de ses prestataires, voire de les mettre en concurrence.

Conformité : les réglementations de certains pays peuvent exiger que certaines données soient stockées dans des régions ou des pays spécifiques. La solution Multicloud permet de choisir son prestataire selon ces contraintes règlementaires.

Bien que le Multicloud offre de nombreux avantages, il apporte par ailleurs une complexité supplémentaire en matière de gestion, de surveillance et d’orchestration. Il nécessite l’utilisation d’outils adaptés et d’une expertise technique spécifique à ce type d’environnement.

Quels critères prendre en compte dans le choix du fournisseur de Cloud ?

Lors de la sélection d’un fournisseur de services cloud, il est crucial d’évaluer une variété de critères pour garantir que le fournisseur choisi répondra aux besoins spécifiques de l’entreprise.

Voici quelques critères importants à considérer :

Sécurité et conformité

  • Quels mécanismes de sécurité sont proposés dans l’offre (chiffrement, pare-feu, etc.) ?
  • Le fournisseur respecte-t-il les normes et réglementations en vigueur pour ce secteur (ex. : GDPR, HIPAA) ?

Performance, fiabilité et flexibilité

  • Quelle est la disponibilité garantie par le fournisseur (SLA) ?
  • Quelle est la localisation physique des datacenters du fournisseur ?
  • Quelle solution de redondance est proposée afin d’éviter les points uniques de défaillance ?
  • L’offre permet-elle d’augmenter ou de réduire les ressources en fonction des besoins ?
  • Comment sont gérés les pics de charge ?

Coût et modèle tarifaire

  • Quelle est la structure de prix (frais fixes et frais d’usage) ?
  • Les transferts de données ou les opérations supplémentaires sont-elles incluses dans ces prix ?

Support et service client

  • Quels sont les horaires de disponibilité et les modes d’intervention du support ?
  • La solution dispose-t-elle de documentations (PDF, vidéos, tutoriels…) ?

Intégration et compatibilité

  • Vos outils peuvent-ils se connecter facilement à ceux du fournisseur ?
  • Quels sont les APIs et SDK proposés pour étendre la solution à d’autres outils ?

Innovation et développement

  • Le fournisseur fait-il des investissements réguliers dans le développement de nouvelles fonctionnalités et services ?
  • Comment sont gérés les mises à jour et les changements de service ?
  • Comment sont gérés l’import et l’expert de vos données ?
  • La solution utilise-t-elle des formats standards ?

Engagements contractuels et flexibilité

  • Quelle est la durée des contrats ?
  • Quelles sont les pénalités ou les frais associés à une résiliation anticipée ?

Réputation et retours d’expérience

  • Quelle est la réputation de ce fournisseur dans le monde professionnel ?
  • Le fournisseur dispose-t-il de témoignages de clients démontrant une expérience similaire à la vôtre ?

Aspects environnementaux

  • Quelles sont les mesures prises par le fournisseur pour réduire son empreinte carbone ?
  • Quelles sont ses initiatives en faveur de la durabilité ou de l’énergie verte ?

Digitemis vous suggère de lancer un projet pilote ou de tester votre fournisseur potentiel afin d’évaluer l’adéquation de sa solution aux besoins spécifiques de sécurisation de vos données.

Comment mettre en place une politique de Gouvernance Cloud ?

La gouvernance cloud englobe généralement :

  1. Planification et stratégie : Comment et pourquoi l’entreprise utilisera les services cloud.
  2. Gestion des coûts : Suivi et optimisation des dépenses liées au cloud.
  3. Sécurité et conformité : Assurer que les données sont protégées et que l’usage du cloud respecte toutes les réglementations pertinentes.
  4. Performance et qualité de service : Suivi de la performance des services cloud et garantie du respect des niveaux de service convenus.
  5. Gestion des risques : Identification et mitigation des risques associés à l’utilisation du cloud.

Les étapes à suivre

Évaluation initiale

  • Identifiez les services Cloud actuellement utilisés dans l’organisation.
  • Identifiez ce que vous souhaitez réaliser avec votre utilisation du cloud (par exemple, réduction des coûts, augmentation de la flexibilité, conformité réglementaire).
  • Évaluez les risques, les coûts, la conformité et l’efficacité de ces services.

Élaboration des politiques

  • Créez des règles claires concernant l’utilisation, la sécurité, la conformité et la gestion des coûts des services cloud.
  • Définissez des directives sur les types de données pouvant être stockées dans le cloud, les fournisseurs approuvés, ou encore les procédures d’audit.

Mise en place de mécanismes de contrôle

  • Utilisez des outils et des technologies pour surveiller et contrôler l’utilisation du cloud en fonction de vos politiques.
  • Sélectionnez des outils de gestion des coûts, des solutions de sécurité et de surveillance, et des systèmes d’audit.

Formation et sensibilisation

  • Assurez-vous que tous les employés connaissent les politiques de gouvernance cloud et comprennent leur importance.
  • Organisez des formations régulières pour maintenir cette sensibilisation.
  • Ajustez régulièrement la politique de gouvernance Cloud.
  • Planifiez des audits périodiques pour garantir la conformité et l’efficacité des politiques.

Mise en œuvre de mécanismes de feedback

  • Encouragez les retours d’information de la part des utilisateurs et des parties prenantes pour continuer à affiner et améliorer votre gouvernance.

Documentation

  • Gardez une documentation complète et à jour de toutes les politiques, procédures, et décisions relatives à la gouvernance cloud. Cela facilitera la formation, l’audit, et la responsabilité.

La mise en place d’une politique de gouvernance Cloud solide nécessite un engagement organisationnel et une approche proactive pour s’adapter à l’évolution du paysage technologique et réglementaire.

Quels sont les différents types de chiffrement pour sauvegarder des données sur le Cloud ?

Le chiffrement est une méthode essentielle pour sécuriser les données, en particulier dans un environnement cloud. Différents types de chiffrement peuvent être appliqués selon le moment et le lieu du chiffrement, ainsi que le type de données à protéger.

Voici les types courants de chiffrement utilisés dans le cloud :

Chiffrement au repos : Protège les données stockées (par exemple, sur des disques) dans le cloud.

Chiffrement en transit : Sécurise les données lors de leur transmission, généralement via TLS ou SSL[EV1] .

Chiffrement en cours d’utilisation : Chiffre les données pendant les opérations de calcul, avec des techniques comme le chiffrement homomorphe.

Chiffrement côté client : Les données sont chiffrées avant d’être envoyées au cloud, renforçant la confidentialité.

Gestion des clés de chiffrement : Gère et protège les clés utilisées pour le chiffrement, avec des options comme BYOK (Bring Your Own Key).

Tokenisation : Remplace les données sensibles par des tokens sans valeur hors du système.

L’utilisation de ces méthodes dépend des exigences et des besoins spécifiques de chaque organisation.

Comment garantir la sécurité du Cloud ?

La surveillance et la détection des menaces sont des composantes essentielles de la sécurité des systèmes d’information. Le développement des Clouds privés et publics a nécessité la mise en place de nouvelles méthodes de surveillance et de détection adaptées à ce type d’infrastructure.

Voici quelques méthodes couramment utilisées pour la surveillance et la détection des menaces dans un environnement de type Cloud :

Systèmes de Détection d’Intrusion (IDS)

  • IDS basé sur le réseau (NIDS) : Surveillance du trafic réseau à la recherche de signatures ou d’anomalies suspectes.
  • IDS basé sur l’hôte (HIDS) : Surveillance des activités sur un hôte spécifique, comme un serveur ou un poste de travail.

Systèmes de Prévention d’Intrusion (IPS)

Cette méthode est semblable à l’IDS, mais peut également prendre des mesures pour stopper ou bloquer l’activité malveillante.

Systèmes de Gestion des Informations et des Événements de Sécurité (SIEM)

Cette méthode consiste en une collecte et une analyse des journaux et des événements de diverses sources pour détecter des activités suspectes et fournir des alertes en temps réel.

Analyse comportementale des utilisateurs et des entités (UEBA)

Utilisation des algorithmes d’apprentissage automatique pour établir une « ligne de base » du comportement normal des utilisateurs et des entités, puis alerte sur les écarts par rapport à cette norme.

Chasse aux menaces (Threat Hunting)

Cette méthode est basée sur une approche proactive où les analystes de sécurité recherchent activement les signes d’activités malveillantes dans les réseaux, souvent en utilisant des outils automatisés combinés à leur expertise.

Antivirus et Antimalware

Cette méthode consiste à scanner des fichiers et des processus à la recherche de potentielles signatures malveillantes.

Sandboxing

Exécution de fichiers ou de codes suspects dans un environnement isolé pour observer leur comportement, afin de détecter d’éventuelles actions malveillantes.

Analyse de la File d’Attente (Queue Analysis)

Cette technique est basée sur la surveillance et l’analyse du trafic en attente pour détecter des comportements malveillants avant qu’ils n’atteignent le réseau.

Services de renseignement sur les menaces (Threat Intelligence)

Plus qu’une méthode, c’est une pratique qui consiste à fournir au personnel spécialisé (appelé SOC pour Security Operation Center), des informations actualisées sur les menaces émergentes et les TTP (Tactics, Techniques, and Procedures) des adversaires. Ces informations sont essentiellement proposées sur des sites web ou des forums de discussion spécialisés.

Détection des anomalies dans le trafic réseau

Méthode qui utilise des algorithmes pour identifier des motifs anormaux dans le trafic réseau qui peuvent indiquer une compromission.

Évaluations de vulnérabilité et scanners

Il s’agit d’une méthode consistant à tester systématiquement un système informatique afin d’identifier et d’évaluer les vulnérabilités potentielles dans les ordinateurs d’un réseau pour éviter les exploitations.

La combinaison de plusieurs de ces méthodes offre généralement la meilleure protection, car elle permet une approche multicouche pour détecter et répondre à une vaste gamme de menaces.

L’augmentation permanente des capacités de nuisance des cyberattaquants en particulier depuis l’émergence de l’intelligence artificielle, oblige à l’automatisation de plus en plus poussée de ces méthodes de protection.

Contactez-nous

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article