Principes fondamentaux de la sécurité des données dans le cloud et de leur protection

La sécurité des données dans le cloud est une priorité absolue pour toute organisation qui utilise le cloud. Une exécution appropriée nécessite une expertise dans le cloud, une formation en comportement organisationnel et une transformation numérique continue de la pile technologique et de la stratégie.

En savoir plus sur Hyland Cloud

Qu'est-ce que la protection des données dans le cloud ?

La protection des données dans le cloud est l'ensemble des politiques établies, des processus et des contrôles techniques en place qui protègent les données et la confidentialité lors de l'interaction avec les ressources basées sur le cloud.

Cela inclut, mais ne se limite pas à :

  • Contrôles d’accès basés sur les rôles
  • Cryptage en transit
  • Cryptage à l'écriture
  • Cryptage des données au repos
  • Évaluations de la sécurité des tiers/fournisseurs
  • Journalisation détaillée vers un système de gestion des informations et des événements de sécurité (SIEM)
  • et bien plus encore.

Pourquoi la sécurité des données est importante dans le cloud computing

Les menaces pour la sécurité des données sont continues et en constante évolution. Étant donné que le cloud computing est désormais l'approche d'infrastructure dominante des grandes entreprises, le volume de données résidant dans le cloud est plus vaste que jamais. Par conséquent, la sécurité du cloud et la protection des données qui y sont stockées sont essentielles à la bonne marche des affaires.

D'ici 2026, Gartner prévoit que les dépenses liées au cloud public dépasseront 45 % de l'ensemble des dépenses informatiques des entreprises, contre moins de 17 % en 2021.

— Gartner

Les organisations restent vulnérables aux failles de sécurité.

Le rapport 2022 de Verizon sur les enquêtes relatives aux violations de données est une mine d'informations précieuses sur les violations de données. Il identifie quatre voies principales qui mènent à des violations : le vol d'identifiants, le phishing, l'exploitation de vulnérabilités et les botnets.

Les grands types d’attaques :

  • Ransomware : tendance à la hausse avec une augmentation supérieure à celle des cinq dernières années combinées.
  • Attaques de la supply chain : qu'il s'agisse d'une attaque motivée par des raisons financières ou d'une attaque d'un État-nation, un seul partenaire compromis peut entraîner des dommages en chaîne.
  • Erreur : alors qu'une mauvaise configuration du cloud influence fortement cette catégorie, Verizon note que « la faillibilité des employés ne doit pas être négligée ».
  • Le facteur humain : c'est un point faible persistant, le vol d'identifiants et le phishing jouant un rôle majeur. 

Risque financier

Le coût financier d'une violation de données s'élevait en moyenne à 9,44 millions de dollars pour les organisations basées aux États-Unis, mais pour le secteur de la santé, le coût dépassait les 10 millions de dollars, selon le Ponemon Institute.

Réputation

Lorsqu'une entreprise s'associe à une solution qui se déploie dans le cloud, elle confie au moins une partie de la responsabilité de la protection de ses données au fournisseur de cloud. Cependant, si le fournisseur de services cloud ne parvient pas à assurer la sécurité des données au niveau promis et que des violations se produisent, l'atteinte à la réputation ne se limite pas au fournisseur de services cloud. Les dommages — en termes de réputation et plus encore — auront probablement des répercussions sur les fournisseurs de solutions et les entreprises qui ont stocké leurs actifs dans cet environnement cloud, sans parler des consommateurs affectés.

Conformité

Outre les besoins de conformité des fournisseurs de services cloud, les entreprises ont souvent leurs propres obligations de conformité imposées par leur secteur d'activité ou leur zone géographique. En général, la conformité est une approche à deux volets :

  1. Politiques, procédures et opérations
  2. L’aspect technique de la sécurité du cloud, tel que l'application de contrôles ou la surveillance de ces contrôles 

CERTIFICATIONS

La sécurité des données dans le cloud est cruciale pour obtenir et maintenir les types de certifications dont les entreprises ont souvent besoin. Que les certifications soient imposées par le secteur, comme pour le secteur de la santé, le gouvernement, les services financiers ou un autre domaine, ou que les clients exigent une certification avant de signer des contrats, des mesures de sécurité appropriées dans le cloud sont essentielles. De l'assurance cyber aux meilleures pratiques de traitement des données, les certifications et la robustesse de votre sécurité cloud sont souvent interconnectées.

Une université privée obtient un retour sur investissement de 114 % grâce à Hyland Cloud

Nucleus Research étudie l'impact de Hyland Cloud

Découvrez comment une grande université privée a révolutionné ses opérations avec Hyland Cloud, réalisant un impressionnant retour sur investissement de 114 % en un peu plus d’un an. L’établissement a économisé 275 000 dollars par an, rationalisé ses processus et adopté une approche digital-first. Poursuivez la lecture et découvrez comment l’innovation a permis de générer des résultats mesurables et de transformer l’enseignement supérieur.

Télécharger l’étude de cas

Meilleures pratiques en matière de sécurité des données dans le cloud

Les meilleures pratiques en matière de sécurité des données dans le cloud exigent une approche de défense qui superpose plusieurs types de tactiques de défense. Cette approche multicouche offre les meilleures chances de succès en matière de sécurité contre les menaces dynamiques auxquelles une organisation est confrontée.

Pour comprendre l'approche multicouche, imaginez que votre organisation est un château fort au Moyen-Âge. Pour la sécurité de tous, votre château doit être protégé par plusieurs couches de défense variées :

  • Un emplacement stratégique avec des obstacles naturels tels que le sommet d'une colline ou un flanc de falaise
  • Entretien continu de la structure
  • Des archers pour repousser les avancées de l'ennemi
  • Des douves pour entraver les grandes attaques
  • Un pont-levis et une herse pour couper facilement les accès
  • Du goudron pour contrer les envahisseurs
  • Des gardes postés à l'intérieur

Si les choses changent, elles restent aussi un peu les mêmes. Les meilleures pratiques en matière de sécurisation de vos données dans le cloud sont basées sur les mêmes principes de sécurité qu'autrefois, mais mettent clairement l'accent sur le numérique.

Défense en profondeur dans le cloud

Une stratégie de sécurité en profondeur pour le cloud utilise différentes couches de protection des données et de la confidentialité pour protéger vos données dans le cloud. Pour différents types de menaces (phishing ou vol d'identifiants par exemple), il vous faut une couche de protection différente. Lorsque plusieurs couches sont mises en place, davantage de menaces sont couvertes et, si une couche échoue, une autre peut contrecarrer l'attaque.

La triade CIA

Non, nous ne parlons pas de cette CIA-là.

La triade CIA décrit un modèle qui place ces trois types de sécurité en priorité :
  • Confidentialité : les bonnes personnes peuvent accéder au bon niveau d'information.
  • Intégrité : les données sont cohérentes et exactes.
  • Disponibilité : (ou Availability en anglais) la fiabilité de l'accès aux bonnes informations.

En fin de compte, ces trois principes constituent la sécurité des données dans le cloud.

Types de protection des données du cloud

Une entreprise exploitant le cloud computing devrait avoir plusieurs couches de défense, y compris :

Politiques et procédures

  • Sécurité robuste des mots de passe et authentification unique (SSO)
  • Authentification multifacteur (MFA)
  • Formation à la sécurité et révisions annuelles des politiques

Sécurité physique

  • Agents de sécurité
  • MFA, mantrap, biométrie
  • Listes de contrôle d’accès
  • Redondance de l'alimentation électrique
  • Suppression d'incendie
  • Dispersion géographique

Défense périmétrique

  • Tests de vulnérabilité et d'intrusion
  • SIEM
  • Prévention anticipée des attaques par déni de service (DoS)
  • Pare-feux de nouvelle génération (NGFW)

Sécurité du réseau interne

  • Pare-feu internes et segments de réseau
  • Cryptage en transit
  • Accès orienté rôle
  • Filtrage web sortant
  • Haute disponibilité

Sécurité de l'hôte

  • Détection et remédiation des points de terminaison
  • Déploiement renforcé
  • Application de correctifs rapide et responsable

Sécurité des applications

  • Cycle sécurisé de développement d'applications
  • Gestion des clés de chiffrement
  • Contrôles d’accès
  • Journalisation des applications
  • Identifiants uniques de l'application

Sécurité des données

  • Cryptage des données au repos
  • Redondance et réplication des données
  • Séparation des données
  • Principe du moindre privilège

Il faut noter qu'aucune stratégie de sécurité n'est infaillible — les meilleures pratiques en matière de sécurité des données dans le cloud nécessitent une maintenance, une évolution, une innovation et des investissements constants.

Quels objectifs la sécurité des données dans le cloud atteint-elle ?

Une protection des données cloud parfaite peut contrecarrer un flux ininterrompu de menaces pendant des mois et des années, et faire économiser des milliards de dollars à votre organisation.

Mais une seule défaillance de sécurité peut coûter cher à une organisation, que ce soit par les répercussions directes de la compromission des données ou par les effets à plus long terme de la violation, tels que les amendes à payer ou les atteintes à la réputation.

Comment assurez-vous la sécurité des données dans le cloud computing ?

Les organisations doivent avoir à la fois une culture de la sécurité et une culture qui comprend la sécurité. Cela inclut tout le monde, des équipes de maintenance, des fournisseurs et des sous-traitants jusqu'aux PDG, responsables informatiques et partenaires technologiques.

Créez une culture de la sécurité des données dans le cloud

Une sécurité réussie s'apparente au jeu du chat et de la souris. Ce que vous testerez ce mois-ci pourrait être complètement différent le mois prochain, car ces attaques évoluent constamment, et votre organisation doit également évoluer. Pour rester à jour, les organisations devraient :

Mobilisez tout le monde

Chaque personne au sein d'une organisation est un maillon essentiel de la stratégie de défense en couches. Votre sécurité dépend du maillon le plus faible, alors engagez chaque membre de l'entreprise dans la maintenance et la pérennisation de la sécurité de vos données dans le cloud.

Coacher activement leurs équipes avec de la formation continue

Organisez des formations régulières et obligatoires pour tous les membres du personnel. Formez une équipe qui déploie des moyens actifs pour tester et former leurs collègues et voir comment ils pourraient réagir aux menaces réelles. Ces tests devraient ressembler aux menaces réelles que des pirates informatiques utiliseraient pour attaquer ou tester des faiblesses. Ces résultats informeront votre équipe de sécurité de ce qui pourrait bien fonctionner contre vous et vous aideront à mieux définir quelles formations à la sécurité devraient être mises en place en priorité.

Recruter des experts du cloud pour travailler sur le cloud

Des failles de sécurité auto-infligées peuvent se produire lorsque les membres de l'équipe de sécurité du cloud ne disposent pas de l'expertise nécessaire pour effectuer correctement leur travail. Le rapport d'enquête sur les violations de données de Verizon réalisé en 2022 a révélé que les erreurs dues à une mauvaise configuration du stockage dans le cloud continuent d'être une tendance dominante.

Une sécurité réussie s'apparente au jeu du chat et de la souris. Ce que vous testerez ce mois-ci pourrait être complètement différent le mois prochain, car ces attaques évoluent constamment, et votre organisation doit également évoluer.

— Dylan Border, Directeur de la cybersécurité, Hyland

Méthodes de protection des données du cloud

En plus des bonnes pratiques énumérées ci-dessus, la protection des données du cloud peut bénéficier de ces méthodes.

Automatisation du cloud

Diminuer l'interaction humaine avec les ressources dans le cloud grâce à l'automatisation peut permettre de protéger les données dans le cloud. Cela facilite la détection des menaces et des anomalies, ainsi que la réponse. Lorsque l'automatisation est intégrée à l'infrastructure cloud, les changements et les mises à jour peuvent être lancés et réalisés en quelques secondes plutôt qu'en plusieurs jours, semaines ou mois.

Par exemple, AWS peut interagir avec des API et envoyer une seule ligne de commande pour déclencher une série de scripts qui démarrent les instances et conteneurs pertinents nécessaires à l'ensemble de l'environnement cloud. Outre l'efficacité sur le timing, l'automatisation du cloud élimine également les erreurs humaines et les mauvaises configurations du cloud.

Collaboration avec une équipe tierce de gestion des risques de cybersécurité

Évaluez et employez un outil indépendant et neutre qui analyse et rend compte de l’état de préparation de votre organisation en matière de sécurité. BitSight, par exemple, aide à surveiller l'empreinte publique d'une entité en ligne.

Les fournisseurs de services cloud et les entreprises qui utilisent leurs services peuvent bénéficier de ces outils d’évaluation tiers. Les retours peuvent être utilisés de manière proactive aussi bien que réactive :

  • Surveillance proactive : vérifie que les actions de votre équipe de sécurité cloud en interne ne se reflètent pas différemment à l'extérieur.
  • Surveillance réactive : vérifie que votre équipe de sécurité cloud fait ce qu'elle dit.

Les fournisseurs de services cloud de premier plan utilisent ces évaluateurs tiers pour surveiller leurs scores ainsi que ceux des clients, des fournisseurs et des organismes de traitement des paiements.

Infrastructure en tant que code (IaC)

En gérant et en déployant votre infrastructure cloud en tant que code plutôt que par le biais de processus manuels, vous limitez les erreurs humaines et l'intrusion d'acteurs malveillants — qu'ils soient internes ou externes. L'IaC oblige votre administration cloud à suivre le même processus de développement du cycle de vie de sécurité que celui du développement d'applications pour garantir qu'il n'est pas malveillant.

Problèmes et défis de la sécurité des données dans le cloud

L’infrastructure cloud accélère les activités et permet aux organisations de travailler en temps réel, où qu'elles soient. Elle permet de réaliser des économies, de libérer de l'espace physique, de soutenir les méthodes de travail modernes et à distance, et de renforcer la préparation à la reprise après sinistre.

Cependant, le cloud computing fait face à des problèmes et des défis, notamment :

Contrôle d’accès

Savoir qui peut accéder à quelles données dans votre environnement cloud est important pour la sécurité des données. Les clients des services cloud doivent savoir qui valide les accès et exiger des précautions strictes concernant l'accès aux données et les clés de chiffrement, et s'assurer que leurs fournisseurs de services cloud suivent les meilleures pratiques discutées ci-dessus, de la culture jusqu'aux couches de défense.

Malheureusement, une faible visibilité sur les contrôles d'accès peut permettre à des acteurs malveillants (souvent des menaces internes) de pénétrer dans votre configuration cloud.

Attaques sur la supply chain

Ces attaques sont orchestrées, à l’origine, contre le logiciel d’un prestataire plus petit d’une grande société. Alors que les grandes sociétés sont devenues plus averties dans le domaine de la protection des données, les acteurs malveillants ont intensifié leurs attaques contre les petits fournisseurs susceptibles de vendre leurs produits à une entité plus grande. Une fois que le logiciel partenaire infecté et non détecté est déployé dans l'environnement cloud de l'entreprise cible, il infecte tous les utilisateurs de l'application.

Ces attaques sur la supply chain peuvent affecter les fournisseurs, puis les fournisseurs de vos fournisseurs, créant ainsi une infection en chaîne par du code malveillant. Elles peuvent également être difficiles à tracer en raison des longues chaînes.

Inventaire des actifs

Les organisations dont les protocoles de gestion des actifs sont médiocres peuvent ne pas savoir quels actifs et quelles données elles possèdent dans le cloud. En outre, en raison de la nature du cloud, les éléments sont créés et détruits à un rythme effréné, aussi les équipes de sécurité du cloud sont-elles parfois incapables de suivre ce qui se passe dans l'environnement.

Pour lutter contre cette vulnérabilité, les organisations doivent savoir ce qu’il y a dans le cloud, pourquoi ces données s’y trouvent et qui est responsable. Cela facilitera également les enquêtes, de sorte qu'en cas de violation, votre équipe chargée de la sécurité du cloud puisse suivre les systèmes éphémères.

Conclusion : vous ne pouvez pas sécuriser ce dont vous ignorez l'existence.

Pénurie d'expertise en cloud

Le secteur est confronté à une pénurie d'expertise en cloud, et certains des plus grands défis de sécurité en découlent. Si des employés sans expertise cloud tentent de déployer des actifs dans le cloud de la même manière que dans leurs centres de données traditionnels, cela peut poser de sérieux problèmes de sécurité. Bien que ces ensembles de compétences soient complémentaires, ils ne sont pas interchangeables.

Ajoutez à cela la rapidité du cloud et la vitesse à laquelle les fournisseurs de cloud peuvent modifier et remplacer leurs propres services, et on comprend aisément que cela soit extrêmement complexe pour les non-experts (et les experts du cloud) de suivre le rythme.


> Lire la suite | Les profils technologiques dont vous avez besoin sont nulle part et partout à la fois

Sécurité du cloud et du centre de données

La différence en matière de sécurité entre le cloud computing et les centres de données sur site réside essentiellement dans la responsabilité.

Un centre de données sur site qui n’utilise pas le cloud possède des serveurs détenus et gérés par l’entreprise. Dans ce scénario, l'organisation est entièrement responsable de la sécurité.

Lorsqu'une entreprise s'associe à une solution cloud qui utilise un fournisseur cloud, la responsabilité de la sécurité du centre de données est transférée au fournisseur de cloud.

Toutefois, l’organisation doit faire preuve de diligence raisonnable en examinant tous les fournisseurs, vendeurs et prestataires qui ont une part dans l’infrastructure cloud, les applications utilisées et les services achetés. Idéalement, cela signifie qu’une entreprise choisit un fournisseur majeur, tel qu’AWS, qui disposerait des profils les plus compétents en sécurité du cloud et qui aurait fait ses preuves en matière de sécurité.

Le cloud remplacera-t-il les centres de données ?

Non, le cloud ne remplace pas les centres de données. Une solution cloud utilise toujours un datacenter pour le stockage des données. Cependant, la plupart des entreprises s’éloignent d'une gestion de leurs propres centres de données sur site. Les fournisseurs de services cloud possèdent et gèrent leurs propres centres de données, et ils « louent » essentiellement de l'espace de stockage à leurs partenaires.

Par exemple, AWS est un fournisseur de cloud qui gère ses propres centres de données utilisés pour stocker les données cloud de ses partenaires. AWS est responsable de la sécurité et de l'entretien de ces centres de données, et c'est là qu'ils stockent les données de leurs clients utilisant l'infrastructure cloud.

Sécurité des données cloud pour les services de contenu

Hyland est l’un des principaux fournisseurs de services de contenu avec une gamme de technologies, de solutions et de services cloud-native. Nous prenons très au sérieux la sécurité des données dans le cloud, car nos clients l'exigent et parce que c'est la bonne manière de procéder.

Hyland et l'informatique en nuage

En savoir plus sur Hyland dans le cloud :

  • Hyland sur AWS Marketplace
  • Hyland Cloud
  • Alfresco Business Platform-as-a-Service de Hyland

Hyland sur AWS

Hyland est répertorié sur AWS Marketplace. En savoir plus sur les avantages d'y acheter, notamment sur la possibilité de :

  • Rationaliser les achats
  • Mettre en œuvre des contrôles et automatiser le provisionnement
  • Gérer les budgets logiciels avec transparence des coûts

Vous pourriez aussi aimer

Comprendre le cloud computing pour les professionnels non techniques
Guide pratique sur la migration vers le cloud
Solutions sur site ou cloud : comment faire le bon choix