Guide essentiel de la sécurité dans le cloud : risques, normes, politiques et meilleures pratiques

Le cloud computing est devenu la nouvelle normalité, offrant une disponibilité à la demande et à faible coût des ressources numériques sur Internet. Découvrez les astuces les plus utiles pour réduire les risques de sécurité dans le cloud et optimiser les avantages du cloud computing.

Vous trouverez sur cette page des détails sur les défis de sécurité des solutions cloud, une comparaison entre la sécurité du cloud et la sécurité informatique traditionnelle, des informations sur l’architecture de sécurité du cloud, etc.

Que signifie « sécurité dans le cloud » ?

La sécurité dans le cloud est similaire à la sécurité informatique traditionnelle, mais se concentre sur les politiques et contrôles utilisés pour protéger les données, les applications logicielles et l’infrastructure de cloud computing associée.

Le cloud computing remonte aux années 1960. Aujourd’hui, l’adoption généralisée des services cloud dans la vie professionnelle et personnelle a conduit à la nécessité de pratiques et de contrôles sécurisés solides.

Qu’est-ce qu’un modèle de sécurité dans le cloud ?

Le cloud computing comprend plusieurs options de déploiement (appelées modèles), y compris le cloud public, privé et hybride. Dans le tableau ci-dessous, vous trouverez les informations spécifiques de gestion du cloud associées à chaque modèle de déploiement :

Modèle de déploiement Description Utilisateurs cibles Cas d’utilisation Avantages
Cloud public

Les fournisseurs de services cloud tiers (comme Microsoft, Amazon et Google, les trois plus populaires) sont propriétaires de ces ressources (c’est-à-dire le matériel, les logiciels et l’infrastructure). Les entreprises partagent ces ressources avec d’autres organisations.

Testeurs et développeurs de logiciels Couramment utilisé pour les e-mails, les applications bureautiques et le stockage

  • Faible coût/abordable
  • Sans maintenance
  • Évolutif
  • À la demande
  • Très fiable
Cloud privé Une seule entreprise est propriétaire de ces ressources, qu’un fournisseur de services tiers ou le centre de données de l’organisation peut héberger. Institutions gouvernementales et financières Couramment utilisé pour les charges de travail sensibles dans des secteurs très réglementés
  • Flexible pour répondre aux besoins spécifiques de l’entreprise
  • Sécurité hautement contrôlée
  • Cloud hybride évolutif
Cloud hybride Ce modèle de déploiement répartit les charges de travail entre les infrastructures de cloud public et privé. Les applications partagent des ressources et sont interopérables entre le cloud public et privé, en fonction des besoins en sécurité et en performance. Entités qui servent plusieurs organisations avec des réglementations et des exigences de sécurité différentes Couramment utilisé par les start-ups qui ont des exigences irrégulières et inconnues et les fournisseurs de services informatiques ayant une variété de clients
  • Hautement contrôlé
  • Flexible pour s’adapter aux infrastructures privées et publiques au besoin
  • Évolutif

Pour ceux qui utilisent différents clouds pour différentes tâches, des modèles multi-cloud sont également disponibles. Contrairement au cloud hybride, les solutions multi-cloud servent les organisations qui utilisent différents services de cloud public de différents fournisseurs. Une organisation peut également disposer d’une infrastructure de cloud privé et même d’une infrastructure sur site. Vous utilisez chacun de ces environnements pour son propre but indépendant et cloisonné. Le cloud hybride, en revanche, comprend toujours une infrastructure de cloud public et une infrastructure de cloud privé qui fonctionnent ensemble et s’entremêlent. 

Des individus ou des organisations de secteurs d’activité spécifiques qui ont des préoccupations similaires en matière de confidentialité, de sécurité et de conformité partagent ce qu’on appelle un cloud communautaire. Ces organisations comprennent les banques, les hôpitaux et les organismes gouvernementaux. 

La différence entre la sécurité dans le cloud et la sécurité informatique traditionnelle

Les technologies informatiques traditionnelles et cloud font face à la même exposition aux vols, fuites et perturbations de données. La principale différence entre les deux technologies réside dans le fait que les ressources de cloud computing sont plus abstraites que le matériel, les serveurs et les logiciels traditionnels sur site. 

L’infrastructure informatique traditionnelle comprend l’achat, l’installation et la gestion en interne de matériel, de logiciels et d’autres éléments d’infrastructure dédiés. Grâce à l’infrastructure informatique traditionnelle, vous disposez d’un contrôle local complet des données, des applications et de l’infrastructure de votre entreprise, créant ainsi un système apparemment sécurisé. Au fur et à mesure que votre organisation se développe et que les exigences en matière de stockage de données augmentent, vous achetez du matériel supplémentaire pour répondre à vos besoins en capacité. Les environnements informatiques traditionnels permettent une connexion entre les périphériques matériels et les serveurs situés dans votre centre de données sur site et s’appuient sur des modèles de sécurité périmétrique.

Le cloud computing est abstrait par rapport à l’infrastructure informatique traditionnelle. Les ressources de cloud computing ne sont pas physiquement accessibles ou sur site. Le cloud offre une solution virtuelle, qui permet aux entreprises d’obtenir un hébergement externe en louant de l’espace serveur à un fournisseur de services cloud. Cet arrangement place le fournisseur de services cloud en charge de la sécurité. Vous accédez aux environnements de cloud computing à l’aide d’interfaces de programmation d’applications (API). Les API permettent la communication entre vos appareils et les serveurs cloud. L’environnement cloud est aussi sécurisé que ces API. Bien que la sécurité traditionnelle et la sécurité dans le cloud reposent sur des méthodes similaires, une infrastructure cloud de plus en plus complexe et des menaces de sécurité de plus en plus sophistiquées obligent à passer de la sécurité périmétrique au cloud computing qui utilise des méthodes d’authentification et de chiffrement plus solides. 

Les contrastes entre le cloud et l’infrastructure traditionnelle peuvent donner l’impression que le cloud computing est trop peu sûr, mais avec les précautions appropriées et le bon fournisseur de services cloud, les avantages du cloud computing l’emportent sur les risques, ce qui fait de la sécurité dans le cloud une évidence pour la plupart des organisations.

À quel point le cloud est-il sécurisé ?

Les services cloud sont devenus très courants, mais les préoccupations de sécurité restent au premier plan. Le maintien de la sécurité, de la disponibilité et de la confidentialité est essentiel pour les entreprises. Les centres de données dans le cloud sont généralement dotés d’experts en sécurité dans le cloud, audités par des organisations tierces, et tenus à des politiques et normes strictes. Bon nombre de ces centres sont conformes aux normes HIPAA (Health Insurance Portability and Accountability) et PCI (Peripheral Component Interconnect) et suivent les SSAE (Statements on Standards for Attestation Engagements). Ces fournisseurs de services cloud se sont engagés à respecter de solides exigences de sécurité et ont prouvé leur capacité à protéger les informations sensibles.

Pourquoi la sécurité dans le cloud est-elle si importante ?

Alors que les dépenses pour le cloud computing ne cessent d’augmenter, la sécurité dans le cloud est plus importante que jamais. Selon l’enquête State of the Cloud de RightScale, 96 % des professionnels de l’informatique utilisent le cloud. Les dépenses des entreprises dans le cloud public devraient augmenter rapidement et considérablement. 

Les fournisseurs de services cloud sont une cible pour les pirates informatiques. Voici les principales menaces pour la sécurité du cloud auxquelles sont confrontés ces fournisseurs, selon la Cloud Security Alliance® (CSA) :

  • Atteintes à la protection des données
  • Gestion insuffisante des identités, des informations d’identification et des accès
  • Interfaces et API non sécurisées
  • Vulnérabilités du système
  • Détournement de compte
  • Initiés malveillants
  • Menaces persistantes avancées (APT)
  • Pertes de données
  • Diligence raisonnable insuffisante
  • Abus et utilisations néfastes des services dans le cloud
  • Attaques par déni de service (DDoS)
  • Problèmes technologiques partagés

D’autres menaces pour la sécurité sont les suivantes :

  • Rançongiciels, tels que BadRabbit
  • Minage de cryptomonnaie
  • Cryptojacking
  • Chevaux de Troie, tels que Dridex, Trickybot, Zbot et Emotet
  • Problèmes de sécurité Windows, comme EternalBlue
  • Grayware
  • Pirates informatiques « vivant à l’étranger »
  • Logiciels malveillants, tels que Petya/NotPetya, qui tirent parti des mises à jour logicielles, et qui profitent des défauts du processeur et de la panne des mesures de sécurité, comme Meltdown, Spectre et les problèmes à point de défaillance unique
  • Vers informatiques, tels que Ramnit
  • Harponnage
  • Vulnérabilités logicielles non corrigées (appelées Zero Days)
  • Attaques d’ingénierie sociale
  • Écoute du réseau
  • Erreur humaine
  • Informations d’identification volées
  • Abus commis par des employés
  • Négligence
  • Utilisation non autorisée
  • Données non supprimées
  • Perte de données qui se produit lorsqu’un fournisseur de services cloud cesse son activité
  • Personnel informatique non qualifié ou surmené
  • Informatique parallèle

Avantages de la sécurité dans le cloud

Le respect des meilleures pratiques en matière de sécurité dans le cloud et la mise en œuvre de mesures préventives adéquates peuvent vous assurer en toute sérénité que vos données et vos systèmes sont sûrs, garantir la visibilité des mesures de sécurité, vous permettre d’envoyer des alertes et vous préparer aux activités inhabituelles. L’engagement dans ces pratiques peut également vous aider à vous assurer que vous disposerez de la disponibilité, de la fiabilité et de la sécurité nécessaires pour fonctionner sans perturbation.

Qui compte sur le cloud computing ?

La flexibilité, la rentabilité et la fiabilité du cloud computing en font un excellent candidat pour les entreprises de toutes tailles, dans tous les marchés verticaux. Les dirigeants et les professionnels de l’informatique des entreprises de toutes tailles, des start-ups, ainsi que des secteurs gouvernementaux, financiers et de l’éducation passent rapidement au cloud. Des noms très connus comme Target dépendent fortement du cloud computing. En fait, Target a connu une cyberattaque de grande envergure en 2013 en raison de lacunes en matière de sécurité. Les pirates ont détourné les données bancaires de 40 millions de clients et les données personnelles de 70 millions de clients à l’aide d’une technique appelée RAM scraping.

Responsabilités des fournisseurs de sécurité dans le cloud

Avec la demande rapide en services de cloud computing, les fournisseurs de services apparaissent partout, offrant une grande variété d’équipements, y compris des couches de cloud, une infrastructure en tant que service (IaaS), une plateforme en tant que service (PaaS), des logiciels en tant que service (SaaS), le stockage dans le cloud, des tests, une intégration et des applications natives dans le cloud. Les services cloud les plus populaires proviennent de noms connus comme Amazon, Microsoft, Google et IBM.

La demande croissante en services de cloud computing fait augmenter la demande en sécurité dans le cloud. La plupart des fournisseurs de services dans le cloud ont des normes réglementaires très strictes, des outils de sécurité accessibles, des pratiques pour maintenir la confidentialité des données et une protection contre les attaques DDoS. Lorsque vous évaluez les fournisseurs de services cloud, assurez-vous de demander à chaque fournisseur les mesures de sécurité suivantes :

  • Gestion des identités
  • Sécurité physique
  • Formation du personnel
  • Confidentialité, intégrité des données et contrôle des accès
  • Continuité de l’activité et reprise après sinistre
  • Méthode de chiffrement, par exemple, chiffrement basé sur des attributs (ABE), chiffrement basé sur des attributs et des politiques de cryptage (CP-ABE), chiffrement basé sur des attributs et des politiques de clés (KP-ABE), chiffrement entièrement homomorphique (FHE) ou chiffrement consultable (SE)
  • Journaux et pistes d’audit
  • Exigences de conformité uniques, telles que HIPA

Défis de sécurité liés aux solutions cloud

Comme mentionné précédemment, les pirates informatiques, les logiciels malveillants et les rançongiciels sont des menaces qui accompagnent le cloud computing. Outre les problèmes courants de sécurité dans le cloud, il existe des défis juridiques et liés aux responsabilités.

  • L’afflux d’informations stockées par les fournisseurs de services cloud en fait des cibles de choix pour les activités malveillantes.
  • Les fournisseurs de solutions cloud sont responsables de la propriété intellectuelle et des conditions entourant la perte de données ou les données compromises.
  • Les exigences de conservation ou même de soumission des documents publics sur demande peuvent mettre les fournisseurs de services cloud dans une position inconfortable.
  • Le nombre de mises en œuvre dans le cloud peut facilement devenir hors de portée, car les exigences en matière de stockage de données et d’informations peuvent limiter les opportunités de déclassement. 

La facilité d’accès et la grande disponibilité des solutions cloud défient également les entreprises et les organisations. Les employés peuvent facilement profiter des solutions et applications dans le cloud, ce qui fait perdre le contrôle des services informatiques internes. L’informatique parallèle expose une organisation au danger : l’organisation est dans le flou concernant les services utilisés, l’emplacement des informations, les personnes qui y ont accès et les politiques de sécurité. Ces facteurs rendent difficile l’application des politiques de sécurité, ce qui expose une entreprise à un risque de non-conformité aux lois réglementaires.

Architecture de sécurité des solutions cloud

L’objectif numéro un de tous les fournisseurs de services et de solutions dans le cloud établis est de sécuriser les données propriétaires et confidentielles. Les fournisseurs conçoivent et créent des solutions en fonction des exigences et des protocoles pour sécuriser vos données et de la nécessité d’offrir de la flexibilité. Le fournisseur de services/solutions dans le cloud et le client sont tous deux responsables de la sécurité. Les contrats de niveau de service des fournisseurs doivent indiquer le niveau de responsabilité du client. Le fournisseur de services cloud aura développé une architecture de sécurité dans le cloud qui démontre comment son cloud est sécurisé.

Quelles sont les normes de sécurité dans le cloud ?

Les normes de sécurité dans le cloud sont des normes, des contrôles et des conseils spécifiques liés à la sécurité que diverses organisations du secteur, dont l’Organisation internationale de normalisation (ISO), la CSA et d’autres, définissent et précisent pour les fournisseurs de services cloud et les clients de services cloud.

Contrôles et normes de sécurité dans le cloud

La CSA se consacre à la définition et à la sensibilisation aux meilleures pratiques en matière de cloud computing. En plus de définir les principales menaces de sécurité mentionnées ci-dessus, elle a conçu la matrice de contrôles cloud (CCM) de la Cloud Security Alliance pour fournir des conseils dans les domaines de la gouvernance et des opérations. Ces domaines comprennent les suivants :

  • Sécurité des applications et de l’interface
  • Assurance et conformité des audits
  • Gestion de la continuité des activités et résilience des opérations
  • Contrôle des modifications et gestion de la configuration
  • Sécurité des données et gestion du cycle de vie de l’information
  • Sécurité des centres de données
  • Chiffrement et gestion des clés
  • Gestion des risques et de la gouvernance
  • Sécurité des ressources humaines
  • Gestion des identités et des accès
  • Infrastructure et virtualisation
  • Interopérabilité et portabilité
  • Sécurité mobile
  • Gestion des incidents de sécurité, disque électronique et criminalistique dans le cloud
  • Transparence, responsabilités et gestion de la chaîne logistique
  • Gestion des fils et des vulnérabilités

La CCM fournit un cadre de 133 contrôles alignés sur les 16 domaines et axés sur la dissuasion, la prévention, la détection et la correction des problèmes de sécurité.

En plus de la CSA, le National Institute of Standards and Technology (NIST) est un organisme non réglementaire créé par le U.S. Commerce Department pour élaborer des normes de l’industrie qui encouragent l’innovation. Les lignes directrices du NIST en matière de cloud computing sont publiées dans le cadre de la série 800 de publications spéciales (SP) et s’appliquent aux organismes fédéraux. 

Le NIST fournit un rapport (NIST SP 500-322) qui permet de qualifier un service cloud comme étant aligné sur la définition du cloud computing par le NIST (NIST SP 800-145). Ce rapport fournit des conseils pour analyser les caractéristiques essentielles du cloud computing, des modèles de services cloud et des modèles de déploiement dans le cloud.

Meilleures pratiques en matière de sécurité dans le cloud

Le cloud computing offre aux organisations de nombreux avantages, mais les entreprises doivent mettre en œuvre des mesures de protection pour se défendre des menaces. En plus de mettre en œuvre les meilleures pratiques de la CSA et du NIST, les organisations peuvent mettre en place des contrôles de sécurité supplémentaires, comme les suivants :

  • Utilisez uniquement des logiciels connus et fiables.
  • Comprenez les réglementations de conformité.
  • Gérez le cycle de vie des instances cloud, en appliquant des correctifs et des mises à niveau.
  • Surveillez en permanence les atteintes à la sécurité dans le cloud. 
  • Choisissez des fournisseurs cloud qualifiés et évaluez-les en fonction d’exigences strictes.
  • Assurez-vous de pouvoir transférer votre charge de travail vers un autre fournisseur si nécessaire.
  • Déployez des mesures de sécurité supplémentaires (en plus de ce que propose le fournisseur de services cloud) pour vous protéger contre une infrastructure cloud compromise.
  • Utilisez un logiciel courtier de sécurité d’accès au cloud (CASB) et effectuez des tests de vulnérabilité dans le cloud à l’aide de produits d’analyse et de tests d’intrusion.
  • Mettez en place un plan de réponse aux incidents dans le cloud.
  • Remplacez toutes les solutions de sécurité existantes, y compris la sécurité des ordinateurs et du réseau.
  • Pensez au DevOps et au DevSecOps pour intégrer la sécurité aux projets de l’équipe de développement.
  • Unifiez et centralisez les pratiques de sécurité de tous les services cloud.
  • Maintenez une liste complète de tous les actifs dans le cloud.
  • Comprenez les meilleures pratiques en matière de sécurité dans le cloud.
  • Formez les employés à la sécurité du cloud.
  • Suivez les meilleures pratiques de sécurité.
  • Automatisez vos processus pour supprimer l’erreur humaine.
  • Sécurisez correctement les API.

Lorsque vous établissez des normes de sécurité dans le cloud, vous pouvez créer un plan de sécurité des données pour votre organisation. Ce modèle personnalisable fournit des conseils sur la façon de gérer les données sur site et dans le cloud.

 Modèle de plan de sécurité des données

Téléchargez le modèle de plan de sécurité des données

Word

Qu’est-ce que le cloud ?

En termes simples, le cloud est Internet. Le cloud met les ressources, les logiciels, les informations et les services à disposition sur Internet plutôt que sur votre ordinateur local. Ces ressources sont stockées sur des serveurs physiques quelque part dans un centre de données, mais le cloud supprime la nécessité d’une infrastructure matérielle sur site. Vous trouverez ci-dessous une comparaison de la technologie cloud avec la technologie traditionnelle

Cloud Traditionnelle
Les applications et les données sont stockées dans des centres de données tiers (ce qui réduit l’administration). Les applications et les données sont stockées sur des ordinateurs locaux ou dans des centres de données internes.
Investissement minimal dans les infrastructures Fort investissement dans les infrastructures
Facile et rapide à adapter Adaptation lente
Frais basés sur l’utilisation (qui peuvent être plus rentables) Frais quelle que soit l’utilisation

Comment fonctionne le cloud ?

Le cloud fonctionne en permettant aux utilisateurs d’accéder aux données et aux applications sur Internet, quel que soit leur emplacement et leur appareil.

Les clouds publics sont-ils sécurisés ?

Les clouds publics sont sécurisés si le fournisseur de services est sécurisé. Vous pouvez évaluer la sécurité d’un fournisseur de cloud en examinant ses audits de conformité, en lui posant des questions en fonction des meilleures pratiques décrites ci-dessus, et en parcourant ses installations.

L’avenir de la sécurité dans le cloud

Pour de nombreuses organisations, les services cloud sont passés de l’état de luxe à priorité stratégique. La grande quantité de données stockées dans le cloud en fait une cible énorme pour les pirates informatiques, les fraudeurs et les cybercriminels. Les ramifications colossales de ces menaces potentielles ont fait de la sécurité une priorité absolue de l’industrie. Nous faisons déjà l’expérience de méthodes d’authentification plus robustes sous la forme d’authentification multifactorielle et biométrique.

Améliorez la sécurité des informations et des données grâce à Smartsheet

Donnez à vos employés les moyens de se dépasser grâce à une plateforme flexible conçue pour répondre aux besoins de votre équipe, et capable de s'adapter quand ces besoins changent. La plateforme Smartsheet facilite la planification, la capture, la gestion et la création de rapports sur le travail depuis n'importe où, ce qui permet à votre équipe d'être plus efficace et d'accomplir plus. Créez des rapports sur les métriques clés et obtenez de la visibilité en temps réel quant au travail grâce aux rapports de synthèse, aux tableaux de bord et aux flux de travail automatisés conçus afin d'aider votre équipe à rester connectée et informée. Quand les équipes bénéficient de clarté quant au travail en cours, elles peuvent accomplir bien plus dans le même temps. Essayez Smartsheet gratuitement, dès aujourd'hui.

Tous les articles, modèles ou informations proposés par Smartsheet sur le site Web sont fournis à titre de référence uniquement. Bien que nous nous efforcions de maintenir l’information à jour et exacte, nous ne faisons aucune déclaration, ni n’offrons aucune garantie, de quelque nature que ce soit, expresse ou implicite, quant à l’exhaustivité, l’exactitude, la fiabilité, la pertinence ou la disponibilité du site Web, ou des informations, articles, modèles ou graphiques liés, contenus sur le site. Toute la confiance que vous accordez à ces informations relève de votre propre responsabilité, à vos propres risques. 

Ces modèles sont fournis uniquement à titre d’exemples. Ces modèles ne sauraient en aucun cas être considérés comme des conseils juridiques ou de conformité. Les utilisateurs de ces modèles doivent déterminer les informations nécessaires dont ils ont besoin pour atteindre leurs objectifs.

Découvrez pourquoi plus de 90 % des entreprises Fortune 100 font confiance à Smartsheet pour accomplir leur travail.

Essayer Smartsheet gratuitement Get a Free Smartsheet Demo