Temps de lecture estimé : 4 minutes

Les cybercriminel·les s’adaptent en permanence. Constatant que de plus en plus d’entreprises migrent leurs données et utilisent des applications dans le cloud, ils·elles concentrent leurs efforts dans ce domaine. Pénalisées par un manque de maturité en matière de cybersécurité, les PME restent des cibles de premier plan.

 

Une quinzaine d’années après les premières évocations du cloud comme un espace de stockage en ligne, ce modèle est devenu une norme. À cause de la pandémie de la Covid-19, les migrations vers le cloud se sont accélérées. Les entreprises considèrent « l’informatique en ligne » comme un moyen d’atténuer les contraintes d’un confinement et des obligations sanitaires (distanciation). Le cloud permet également aux différentes équipes de continuer à travailler à distance sur les mêmes dossiers.

 

Rester prudent lors du départ des collaborateur·rices

Mais justement, de nombreux accès distants pour les télétravailleur·ses ont été ouverts dans la précipitation sans une réelle réflexion (ni sensibilisation des collaborateur·rices) sur la protection des données échangées. De nombreuses équipes informatiques et de responsables cybersécurité n’ont pas forcément réussi à instaurer une hygiène de sécurité des comptes cloud des utilisateur·rices. « Près de 44 % des accès au cloud sont mal configurés, les utilisateurs ayant donc plus d’accès que nécessaire. Les collaborateurs ont souvent des privilèges trop larges. Cela peut favoriser des prises de contrôle de comptes et l’exfiltration de données », lit-on dans le rapport intitulé « 2021 SaaS Risk Report » de Varonis, une entreprise américaine spécialisée dans la protection des données.

 

Autre vulnérabilité engendrée par une politique de cybersécurité mal adaptée au contexte : « Trois identités cloud sur quatre (pour des contractants externes) restent actives après leur départ, ces personnes peuvent potentiellement accéder et voler des informations. Lorsqu’un·e collaborateur·rice quitte l’entreprise, tous ses accès doivent être répertoriés afin d’être supprimés. En outre, ses activités au cours des 60 jours précèdant son départ doivent être auditées afin de détecter un éventuel vol de données ou d’autres « compromissions », recommande Varonis.

 

La faute aux utilisateur·rices

Ces quelques chiffres confirment que les entreprises manquent de maturité à propos de cet écosystème complexe et en perpétuelle évolution que représente le cloud. C’est la raison pour laquelle le cabinet d’analystes Gartner prévoit que 95 % des problèmes de sécurité dans les clouds seront imputables aux utilisateur·rices.

 

Dans un premier temps, les entreprises ont fait comme monsieur Jourdain : elles ont fait du cloud sans le savoir. Depuis quelques années, elles utilisent des logiciels en mode SaaS (software as a service) à la place de leurs logiciels installés sur chaque poste de travail. Les applications SaaS permettent de gérer la comptabilité, la facturation, des ressources humaines ou d’échanger des données via une messagerie en ligne (Webmail).

 

Convaincues des intérêts réels ou attendus du SaaS (facilité de déploiement, mises à jour automatiques, abonnements…), elles passent la vitesse supérieure en migrant un volume de plus en plus important de données dans le cloud. Dans ce cas, cela revient schématiquement à stocker des données sur les disques durs d’un tiers. Pour de nombreuses entreprises, le cloud est synonyme d’une meilleure sécurité informatique, même si certaines restent plus ou moins réticentes à cause des menaces qui pèsent sur la confidentialité des informations.

 

En réalité, différents éléments montrent que le cloud n’est qu’un outil. Mal utilisé, il devient un point de vulnérabilité. De nombreuses entreprises l’ont appris à leurs dépens. Dans la nuit du 9 au 10 mars 2021, à Strasbourg, un incendie s’est étendu dans un datacenter de l’entreprise OVH, le leader européen du cloud. « Un grand nombre de sites hébergés par l’entreprise tricolore ont été mis à l’arrêt pendant plusieurs jours, voire des semaines. Si une grande majorité des clients d’OVH a progressivement repris le cours de leur activité dans le courant du mois de mai, certains ont définitivement perdu une partie de leurs données », indique Me Étienne Feildel, avocat en droit des affaires.

 

Quels sont les dommages provoqués par l’incendie ?  Les quatre principaux sont la perte de marge, la perte de chance de signer un contrat, la perte de fichiers clients et la destruction des bases de données. Cette affaire rappelle qu’il est indispensable de lire attentivement les conditions générales de services et de savoir précisément quels services et fonctionnalités sont intégrés dans l’abonnement. En l’occurrence, de nombreuses entreprises ont découvert qu’elles n’avaient pas souscrit pour différentes sauvegardes… Or, une politique de cybersécurité digne de son nom doit établir précisément un Plan de reprise et de continuité d’activité (PRA/PCA), ce qui inclut les sauvegardes et encore plus les restaurations de données.

 

Chiffrer les données : une solution efficace, mais loin d’être généralisée

Autre vulnérabilité du cloud : les accès non sécurisés aux données hébergées en ligne. De plus en plus d’équipes ont mis en place des dossiers partagés sur Office 365, Workspace de Google ou toute autre solution de travail collaboratif. Une pratique qui s’est généralisée depuis la pandémie. Mais quid de la confidentialité de toutes ces informations dont certaines sont stratégiques ou à caractère personnel (documents RH par exemple) ? Pour assurer cette confidentialité, il est indispensable de chiffrer ces données. Une pratique fortement recommandée, mais qui est très loin d’être généralisée ! Peu d’entreprises (17 %) ont mis en place une politique de chiffrement de leurs données stockées dans le cloud, indique une étude publiée par Thales en juin. Et tout aussi inquiétant, parmi ces « bons élèves », ils ne chiffrent que la moitié de leurs données hébergées dans le cloud.

 

L’absence de chiffrement (une solution jugée à tort comme compliquée à mettre en place et contre-productive) est donc une aubaine pour les pirates qui considèrent dorénavant le cloud comme une cible prioritaire. Une étude de la start-up américaine Vectra, spécialisée dans la détection des failles via l’intelligence artificielle, a montré que les prises de contrôle de comptes dans Office 365 sont devenues le plus grand vecteur de menace dans le cloud.

 

Pour limiter les risques, il convient également de généraliser l’utilisation d’un VPN (Virtual Private Network ou réseau privé virtuel) pour tous les accès distants à des dossiers critiques. Avec un VPN, la connexion entre le cloud (ou le serveur de l’entreprise) et l’ordinateur des salarié·es s’effectue dans un « tunnel » réservé à cette connexion : les données sont sécurisées et chiffrées pour transiter d’un site A vers un site B. Comme son nom l’indique, un VPN n’est pas un réseau ouvert à tout le monde. Seules des personnes dûment identifiées peuvent y accéder. Toutes celles qui ne disposent pas des bonnes « clés » pour entrer dans ce « tunnel » ne peuvent pas voir ce qui s’y échange. Les données qui y transitent sont sécurisées par des algorithmes de cryptographie. Cette connexion chiffrée garantit ainsi un niveau élevé de sécurité.

 

Un partage des responsabilités méconnu

Outre le chiffrement, les entreprises doivent améliorer leur gestion des accès distants en s’appuyant sur la politique dite du « moindre privilège » : seul·es des collaborateur·ricess parfaitement identifié·es et autorisé·es doivent accéder à des données sensibles et/ou partagées sur le cloud. En clair, seuls les membres d’un projet peuvent accéder à un dossier partagé dans le cloud. Chacun doit y accéder avec un mot de fort et… unique. Encore trop souvent, des salarié·es utilisent des mêmes mots de passe pour différents comptes ou des mots de passe rudimentaires du style le prénom de leurs enfants ou de leur club de football préféré ! Une récente étude mondiale a en effet relevé que Liverpool et Manchester étaient des mots de passe très fréquents…

 

Les PME doivent aussi utiliser une passerelle d’accès cloud sécurisé. Appelées Cloud Access Security Broker (CASB), ces passerelles sécurisent efficacement toutes les données qui résident en dehors du périmètre d’une entreprise et gèrent les mouvements de données sensibles, sans compromettre l’expérience utilisateur.

 

Pourquoi les entreprises doivent-elles prendre toutes ces mesures ? Tout repose sur un malentendu ou une absence d’information transparente et explicite. Les organisations estiment qu’en mettant leurs données dans le cloud, elles délèguent leur protection aux fournisseurs. En réalité, les responsabilités sont partagées. D’un côté, les fournisseurs de cloud doivent assurer la sécurité de leurs infrastructures. D’un autre côté, les entreprises doivent mettre en place des procédures pour renforcer la sécurité des informations qu’elles migrent dans le cloud.

 

Ce partage des responsabilités est renforcé par le Règlement général sur la protection (RGPD). L’article 28-1 le stipule : vous ne devez faire appel qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

À lire aussiPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

J’accepte les conditions et la politique de confidentialité

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.