La sécurité dans le cloud: principaux risques et challenges

La sécurité dans le cloud: principaux risques et challenges

Elsa T.
Calendar picto
10/1/2022
Clock picto
9 min

Le "cloud" (terme désignant des ressources informatiques à distance) est devenu un élément indissociable de l'entreprise moderne. Les organisations du monde entier utilisent des services cloud tels que les services de plate-forme (PaaS), les services logiciels (SaaS) ou les services d'infrastructure (IaaS). Ces services cloud aident les organisations à étendre leurs capacités tout en minimisant leurs dépenses d'investissement et les coûts de main-d'œuvre liés à l'ajout de nouvelles solutions technologiques.


Quels sont les principaux risques liés au cloud ?

Les risques liés à la sécurité du cloud sont nombreux. En connaissant à l'avance les risques courants, il est possible de minimiser ces risques.  Ci-dessous sont développés trois principaux risques liés à la sécurité du cloud. 


  1. Une surface d'attaque non gérée

La surface d'attaque est l'exposition totale d’un environnement. L'adoption de microservices peut conduire à une explosion de la charge de travail publiquement disponible. Chaque charge de travail ajoute à la surface d'attaque. Sans une gestion étroite, une infrastructure peut être exposée à des risques inconnus jusqu'à ce qu'une attaque se produise.


La surface d'attaque peut également inclure des fuites d'informations subtiles qui mènent à une attaque. Dès lors qu’Internet ou le cloud public est utilisé, la surface d’attaque est automatiquement exposée au monde entier.


  1. L'erreur humaine

Selon Gartner, jusqu'en 2025, 99 % de toutes les défaillances de sécurité du cloud seront dues à un certain niveau d'erreur humaine. L'erreur humaine est un risque constant lors de la création d'applications d'entreprise. Cependant, l'hébergement de ressources sur le cloud public amplifie ce risque.


La facilité d'utilisation du cloud signifie que les utilisateurs peuvent utiliser des API dont les responsables n’ont pas connaissance sans contrôles appropriés et ouvrir des brèches dans un périmètre. Gérer l'erreur humaine en mettant en place des contrôles solides pour aider les personnes à prendre les bonnes décisions.


  1. Une mauvaise configuration

Les paramètres du cloud ne cessent de croître car les fournisseurs de cloud ajoutent de nouveaux services au fil du temps. De nombreuses entreprises utilisent plus d'un fournisseur.


Les fournisseurs ont des configurations par défaut différentes, chaque service ayant ses propres implémentations et nuances. Tant que les entreprises ne seront pas capables de sécuriser leurs différents services de cloud computing, les adversaires continueront à exploiter les mauvaises configurations.

Quels sont les principaux défis de sécurité liés au cloud auxquels sont confrontées les entreprises ?


Lorsqu'elles adoptent des solutions cloud, de nombreuses entreprises ne parviennent pas à mettre en balance les avantages du cloud computing et les menaces et défis de sécurité auxquels elles peuvent être confrontées. Ces défis et risques liés à la sécurité du cloud doivent être traités de manière appropriée avant que l'organisation n'adopte une solution de sécurité cloud.



  1. Le manque de visibilité et de contrôle


L'un des principaux avantages de l'utilisation de technologies basées sur le cloud est que le client n'a pas à gérer les ressources nécessaires à leur fonctionnement (comme les serveurs). Cependant, le fait de transférer la responsabilité de la gestion de la maintenance quotidienne d'un logiciel, d'une plate-forme ou d'un actif informatique peut entraîner une diminution de la visibilité et du contrôle de cet actif.


Pourquoi est-ce l'un des défis les plus importants en matière de sécurité du cloud que les organisations doivent relever ?


Parce que cela affecte la capacité de l'organisation à :


  • Vérifier l'efficacité de ses contrôles de sécurité (car il n'y a pas de visibilité sur les outils et les données de la plateforme cloud) ;
  • Mettre en place des plans de réponse aux incidents (car elle n'a pas forcément le contrôle total des actifs basés sur le cloud) ; 
  • Analyser les informations sur leurs données, services et utilisateurs (ce qui est souvent nécessaire pour reconnaître les modèles d'utilisation anormaux inhérents à une violation de la sécurité).


Lors de l'ajout d'un service basé sur le cloud computing aux flux de travail de l'organisation, il est important pour l'organisation de préciser les détails concernant les données accessibles, la manière dont elles peuvent être suivies et les contrôles de sécurité utilisés par le fournisseur de cloud computing pour prévenir les violations de données. Ce point est crucial pour vérifier le degré de visibilité et de contrôle qu'offrira la solution de cloud computing.


  1. Les problèmes de confidentialité des données


Voici un scénario à considérer:


Un employé X travaille pour une société de services financiers qui vient d'ajouter une solution PaaS à ses flux de travail, et n'a aucune idée de quand et comment l'utiliser. Il ne sait pas que l'entreprise n'a acquis ce service que pour ses besoins généraux de comptabilité d'entreprise, et y télécharge quelques données de clients parce qu'il pense que le logiciel de la plateforme lui sera utile pour gérer ses comptes.


Quelques semaines plus tard, le fournisseur de services cloud subit une violation de données. Tous les clients de l’employé X se font voler leur identité et leurs comptes bancaires sont vidés. L'entreprise fait l'objet d'une enquête car les données des clients n'auraient jamais dû se trouver sur le serveur cloud. Pire encore, l'entreprise risque de devoir payer des millions d'euros d'amendes et d'être poursuivie en justice pour obtenir des dommages et intérêts.


Si un service cloud ne dispose pas d'une cybersécurité solide, y transférer des données sensibles peut exposer ces données au vol. Même avec de solides mesures de cybersécurité, le transfert de données vers le cloud peut constituer une violation des accords de confidentialité des données entre l'entreprise et ses clients. Cela peut entraîner des amendes, des restrictions commerciales et une atteinte à la réputation de l’entreprise. 


  1. Le contrôle d'accès des utilisateurs

Le contrôle de l'accès des utilisateurs, qui est l'un des composants dont la responsabilité incombe presque toujours à l'utilisateur, est un défi crucial pour la sécurité du cloud, quel que soit le type de service de cloud utilisé. Toutefois, comme pour les solutions de sécurité sur site, le contrôle de l'accès des utilisateurs dans le cloud peut s'avérer difficile, surtout si le service de cloud ne dispose pas de paramètres de contrôle très robustes.


Lors du choix d'un service cloud, qu'il s'agisse d'une solution IaaS, PaaS ou SaaS, il est important de vérifier les contrôles d'accès des utilisateurs fournis avec la solution - ou s'il est possible de renforcer ces contrôles avec des outils et des intégrations supplémentaires.

Quelles sont les meilleures pratiques à adopter pour la sécurité du cloud ?


Une fois qu'une organisation s'est engagée dans un environnement cloud pour les données, les applications, les plates-formes et l'infrastructure, la tâche suivante consiste à créer une politique de sécurité cloud. Cette politique doit aborder des considérations essentielles, telles que la manière dont les employés peuvent interagir avec le cloud, les types de données qui peuvent y être envoyées et stockées, les contrôles d'accès, etc.


Si l'élaboration d'une politique de sécurité du cloud peut se faire par le biais de nombreuses approches, elle dépend également du type de service de cloud dont une organisation a besoin (SaaS, IaaS ou PaaS) 


  • Meilleures pratiques en matière de sécurité SaaS

Le SaaS n'est pas un service monolithique et ne doit pas être traité comme tel en matière de sécurité. Les entreprises doivent plutôt examiner une liste de directives et appliquer celles qui correspondent le mieux au service adopté. Ci-dessous les meilleures pratiques pour protéger les applications basées sur le SaaS :


  • vérifier et superviser les fournisseurs potentiels
  • déployer une authentification renforcée, telle que l'authentification multifactorielle (MFA), lorsque cela est possible 
  • chiffrer les données en mouvement et au repos dans le cloud
  • utiliser des méthodes manuelles et automatiques pour découvrir et inventorier les actifs du cloud.

Le SaaS nécessite également une culture d'entreprise dans laquelle les équipes informatiques et de sécurité travaillent ensemble pour sécuriser une application commerciale basée sur le cloud.


  • Meilleures pratiques de sécurité IaaS

À l'instar du SaaS, l'IaaS exige des organisations qu'elles réfléchissent à la manière de crypter les données au repos et d'inventorier les actifs du cloud, mais la sécurisation de l'infrastructure dans le cloud exige une attention encore plus grande à la sécurité informatique. Les entreprises doivent élaborer une liste de contrôle de la sécurité IaaS afin de garantir une gestion cohérente des correctifs et des accès. L'IaaS comporte de nombreuses couches d'accès à gérer, notamment l'accès à la console IaaS et à des fonctions spécifiques telles que la sauvegarde et la récupération.


  • Meilleures pratiques en matière de sécurité PaaS

Les lignes directrices en matière de sécurité PaaS recommandent aux entreprises de s'impliquer profondément dans la protection de leurs services de plateforme et de ne pas laisser les détails au fournisseur. Par exemple, les entreprises devraient s'engager dans la modélisation des menaces et la déconstruction de la conception d'une application, ce qui aiderait à identifier les vulnérabilités et à les atténuer.

Une autre bonne pratique pour les utilisateurs de PaaS consiste à planifier soigneusement la portabilité afin que l'entreprise ne soit pas liée à un seul fournisseur. Une façon d'y parvenir est d'utiliser des langages de programmation communs, tels que C#, Python et Java, qui sont pris en charge par tous les fournisseurs.



Pour conclure, chaque défi est différent et nécessite donc des solutions uniques. Il est important de prendre le temps de planifier avant d'utiliser des services de cloud computing. Une bonne stratégie prend en compte tous les défis du cloud, exposés, entre autres, ci-dessus. Une stratégie solide doit atténuer les risques (contrôles de sécurité), se défendre contre les menaces (codage et déploiement sécurisé) et surmonter les difficultés (mise en place de solutions culturelles et techniques) pour que votre entreprise puisse utiliser le cloud pour se développer en toute sécurité.