La transformation numérique comporte des risques. La sécurité (72 %) et la conformité (71 %) sont les deuxièmes et troisièmes défis les plus fréquemment cités par les PME, selon une étude. Que faire ? La première chose est de comprendre les principales erreurs commises par les PME lors de leurs déploiements cloud.
Le Cloud est un élément essentiel du monde numérique actuel. 53 % des PME mondiales déclarent dépenser plus de 1 million € par an dans le cloud contre 38% l’an dernier (selon une étude ESET).
Les technologies IaaS, PaaS et SaaS conviennent particulièrement bien aux PME. Oui mais voilà, même les entreprises avec de grandes ressources oublient parfois les bases. Alors, que dire des PME ? Elles doivent aujourd’hui éliminer les angles morts. Pour cela, il faut optimiser son utilisation du cloud sans s’exposer à des risques.
Quelles sont les erreurs et les manques les plus courants ?
Pas d’authentification multifacteur (MFA)
Les mots de passe statiques ne sont pas sécurisés et toutes les entreprises n’ont pas une bonne politique de création de mots de passe. Ils peuvent être volés de différentes manières, par le phishing, les méthodes de force brute ou simplement devinés. Il faut donc y ajouter une couche d’authentification supplémentaire. Pour les attaquants, accéder aux applis des comptes SaaS, IaaS ou PaaS des utilisateurs, sera rendu bien plus difficile par la MFA, qui réduit le risque de rançongiciel, de vol de données et d’autres nuisances. Une autre option est de passer à des méthodes alternatives telles que l’authentification sans mot de passe.
Faire trop confiance à son fournisseur de cloud (CSP)
De nombreux responsables informatiques pensent qu’investir dans le cloud signifie tout confier à un tiers de confiance. Ce n’est que partiellement vrai. Pour la sécurisation du cloud, il existe un modèle de responsabilité partagée, réparti entre le CSP et le client. Ce dont il faut tenir compte dépend du type de service cloud (SaaS, IaaS ou PaaS) et du CSP. Même si l’essentiel de la responsabilité incombe au fournisseur (dans le cas du SaaS), c’est intéressant d’investir dans des contrôles tiers supplémentaires.
Absence de sauvegarde (backup)
Il ne faut jamais présumer que le fournisseur de cloud (pour les services de partage/stockage de fichiers) soutienne l’entreprise. Il faut prévoir le pire : une panne du système ou une cyberattaque. Ce ne sont pas que les données perdues qui ont un impact sur une organisation, mais aussi les temps d’arrêt et la perte de productivité pouvant suivre un incident.
Pas de mise à jour régulière avec les correctifs
Si les correctifs ne sont pas utilisés, les vulnérabilités peuvent être exploitées. Cela peut entraîner une infection par des maliciels, des violations de données, etc. La gestion des correctifs est une bonne pratique de sécurité essentielle, aussi pertinente dans le cloud que sur site. Y compris pour des systèmes d’exploitation moins exposés comme Linux !
Mauvaise configuration du Cloud
Les CSP sont un groupe innovant. Le grand nombre de nouvelles fonctionnalités et capacités qu’ils lancent en réponse aux commentaires des clients peut créer un environnement cloud incroyablement complexe pour de nombreuses PME. Il est difficile de savoir quelle configuration est la plus sécurisée. Les erreurs courantes sont la configuration du stockage cloud afin que tout tiers puisse y accéder et l’incapacité de bloquer les ports ouverts.
Ne pas surveiller le trafic Cloud
Aujourd’hui, il ne s’agit pas de savoir « si » mais « quand » un environnement cloud (IaaS/PaaS) sera piraté. Cela rend une détection et une réponse rapides essentielles si l’on veut repérer les signes le plus tôt possible et contenir une attaque avant qu’elle n’ait un impact sur l’organisation. Une surveillance continue est donc indispensable.
Une bonne sécurisation du Cloud
Pour lutter contre ces risques de sécurité dans le cloud, il faut comprendre où se situent les responsabilités et quels domaines seront gérés par le CSP. Ensuite, il faut déterminer si l’on fait confiance aux contrôles de sécurité natifs du cloud du CSP ou si on souhaite les améliorer avec des produits tiers (par exemple, avec une couche de sécurité supplémentaire pour l’e-mail).
Il faut coinvestir dans des solutions de sécurité, ajouter des outils de détection et de réponse étendus ou gérés (XDR/MDR), développer et déployer un programme continu de correctifs basé sur les risques et une gestion solide des actifs. Autre impératif : chiffrer les données au repos (au niveau base de données) et en transit pour garantir leur protection même si des personnes malveillantes s’en emparent. Cela nécessitera aussi une découverte et une classification efficaces et continues des données.
Définir une politique de contrôle d’accès claire s’impose également : rendre obligatoires les mots de passe forts, l’authentification multifacteur, les principes du moindre privilège et les restrictions/listes autorisées basées sur les adresses IP pour des IP spécifiques.
Enfin, adopter une approche Zero Trust (Zero Trust approach), qui intègre les éléments ci-dessus (MFA, XDR, chiffrement) ainsi que la segmentation du réseau et d’autres contrôles.
