Le 16 Janvier 2024 - Le cloud computing est un élément essentiel du
monde numérique actuel. L’infrastructure informatique, les plates-formes et les
logiciels sont plutôt fournis comme service (d’où les acronymes IaaS, PaaS et
SaaS,) que sur site dans une configuration traditionnelle. Et cela convient
particulièrement bien aux PME.
Le cloud offre la
possibilité de mettre les règles du jeu au niveau des concurrents plus
importants, permettant une plus grande agilité commerciale et une évolution
rapide sans se ruiner. C'est probablement la raison pour laquelle, dans un
rapport récent (recent report), 53 % des PME mondiales déclarent dépenser plus
de 1,2 million de $ par an dans le cloud contre 38% l’an dernier.
La transformation
numérique comporte aussi des risques. La sécurité (72 %) et la conformité (71
%) sont les deuxièmes et troisièmes défis les plus fréquemment cités par les
PME. La première chose est de comprendre les principales erreurs commises par
les PME lors de leurs déploiements cloud.
Les sept erreurs principales des
PME en sécurité cloud
Les erreurs ci-dessous
ne sont pas commises dans le cloud que par les PME. Même les entreprises avec
de grandes ressources oublient parfois les bases. Mais en éliminant ces angles
morts, une organisation peut optimiser son utilisation du cloud sans s’exposer
à des risques au niveau financier ou au niveau la réputation potentiellement
graves.
1)
Pas d'authentification
multifacteur (MFA)
Les mots de passe
statiques ne sont pas sécurisés et toutes les entreprises n’ont pas une bonne
politique de création de mots de passe. Ils peuvent être volés de différentes
manières, par le phishing, les méthodes de force brute ou simplement devinés.
Il faut donc y ajouter une couche d'authentification supplémentaire. Pour les
attaquants, accéder aux applis des comptes SaaS, IaaS ou PaaS des utilisateurs,
sera rendu bien plus difficile par la MFA, qui réduit le risque de rançongiciel,
de vol de données et d'autres nuisances. Une autre option est de passer à des
méthodes alternatives telles que l'authentification sans mot de passe.
2)
Faire trop confiance à son fournisseur de cloud (CSP)
De nombreux
responsables informatiques pensent qu’investir dans le cloud signifie tout
confier à un tiers de confiance. Ce n’est que partiellement vrai. Pour la
sécurisation du cloud, il existe un modèle de responsabilité partagée, réparti
entre le CSP et le client. Ce dont il faut tenir compte dépend du type de
service cloud (SaaS, IaaS ou PaaS) et du CSP. Même si l’essentiel de la
responsabilité incombe au fournisseur (dans le cas du SaaS), c’est intéressant
d’investir dans des contrôles tiers supplémentaires.
3)
Absence de backup
Il ne faut jamais
présumer que le fournisseur de cloud (pour les services de partage/stockage de
fichiers) soutienne l’entreprise. Il faut prévoir le pire : une panne du
système ou une cyberattaque. Ce ne sont pas que les données perdues qui ont un
impact sur une organisation, mais aussi les temps d’arrêt et la perte de
productivité pouvant suivre un incident.
4)
Pas de mise à jour régulière avec les correctifs
Si les correctifs
ne sont pas utilisés, les vulnérabilités peuvent être exploitées. Cela peut
entraîner une infection par des maliciels, des violations de données, etc. La
gestion des correctifs est une bonne pratique de sécurité essentielle, aussi
pertinente dans le cloud que sur site.
5)
Mauvaise configuration
du cloud
Les CSP sont un
groupe innovant. Le grand nombre de nouvelles fonctionnalités et capacités
qu’ils lancent en réponse aux commentaires des clients peut créer un environnement
cloud incroyablement complexe pour de nombreuses PME. Il est difficile de
savoir quelle configuration est la plus sécurisée. Les erreurs courantes sont
la configuration du stockage cloud afin que tout tiers puisse y accéder et
l'incapacité de bloquer les ports ouverts.
6) Ne pas surveiller le trafic cloud
Aujourd’hui, il ne s’agit pas de savoir « si » mais « quand » un environnement cloud (IaaS/PaaS) sera piraté. Cela rend une détection et une réponse rapides essentielles si l’on veut repérer les signes le plus tôt possible et contenir une attaque avant qu'elle n'ait un impact sur l'organisation. Une surveillance continue est donc indispensable.
Ne pas crypter les joyaux de l'entreprise
Aucun
environnement n’est 100 % à l’épreuve des violations. Que se passe-t-il si
des hackeurs accèdent aux données internes les plus sensibles ou à des
informations personnelles hautement réglementées sur les
employés/clients ? En les chiffrant au repos et en transit, on s’assure
qu’elles ne peuvent pas être utilisées, même si elles ont été données.
Une bonne sécurisation du cloud
Pour
lutter contre ces risques de sécurité dans le cloud, il faut comprendre où se
situent les responsabilités et quels domaines seront gérés par le CSP. Ensuite,
il faut déterminer si l’on fait confiance aux contrôles de sécurité natifs du
cloud du CSP ou si on souhaite les améliorer avec des produits tiers. Il faut considérer
ce qui suit :
· Investir dans des solutions de sécurité
tierces pour améliorer la sécurité de son cloud et la protection des applis de
messagerie, de stockage et de collaboration, en plus des fonctionnalités de
sécurité intégrées aux services cloud proposés par les principaux fournisseurs
mondiaux de cloud.
· Ajouter des outils de détection et de
réponse étendus ou gérés (XDR/MDR) permettant une réponse rapide aux incidents
et le confinement/remédiation des violations.
· Développer et déployer un programme
continu de correctifs basé sur les risques et une gestion solide des actifs (de
quels actifs cloud dispose -t-on et s’assurer qu'ils sont mis à jour)
· Crypter les données au repos (au niveau
base de données) et en transit pour garantir leur protection même si des
personnes malveillantes s'en emparent. Cela nécessitera aussi une découverte et
une classification efficaces et continues des données.
· Définir une politique de contrôle
d'accès claire, rendre obligatoires les mots de passe forts, l'authentification
multifacteur, les principes du moindre privilège et les restrictions/listes
autorisées basées sur les adresses IP pour des IP spécifiques
· Adopter une approche Zero Trust (Zero Trust approach), qui intègre les éléments ci-dessus
(MFA, XDR, chiffrement) ainsi que la segmentation du réseau et d'autres
contrôles.
La plupart des
mesures ci-dessus correspondent aux bonnes pratiques qu’on s’attendrait à
déployer sur site. A un niveau élevé, ils le sont, même si des détails seront
différents. Il ne faut pas oublier que la sécurité du cloud n’est pas
uniquement la responsabilité du fournisseur. Dès aujourd’hui, il faut prendre
le contrôle afin de mieux gérer les cyber-risques.
TELECHARGEZ: 2022
ESET SMB Digital Security Sentiment Report