Le cloud (nuage en anglais) est un système de solutions de stockage de données permettant aux entreprises qui l’utilisent de stocker les données informatiques sur des serveurs distants et accessibles par internet. Il permet d’éviter d’avoir un gros espace de stockage au sein de l’entreprise et d’accéder aux données de façon souple et mutualisée.
Dans l’air du temps, cette solution est de plus en plus utilisée par les entreprises du monde entier. Se pose alors la question de la sécurité des données. Les fuites de données en provenance du Cloud ont tendance à se multiplier avec un impact très important pour les entreprises. Aujourd’hui, la confidentialité des données est devenue, en effet, un enjeu majeur et un défi quotidien pour la plupart des entreprises. Quels sont les risques de l’utilisation du cloud ? Comment s’en prémunir ?
La protection des données du Cloud : une responsabilité partagée
Une étude, récemment menée par Thales et le Ponemon Institute, révèle que seules 32% des entreprises pensent être responsables de la protection de leurs données dans le Cloud.
De nombreuses entreprises utilisant le service Cloud n’ont pas conscience, qu’en matière de fuite des donnée, la responsabilité est partagée.
Le principe est le suivant : le fournisseur doit assurer la sécurité du Cloud mais il incombe à l’entreprise de protéger les données dans le Cloud. La migration vers le Cloud nécessite pour l’entreprise d’entreprendre des actions pour protéger les serveurs, le stockage, les applications et les données.
Quels sont les risques d’une fuite de données ?
Selon une Étude de l’Institut Ponemon 2015, une intrusion coûte en moyenne 3,8 millions de dollars, mais les attaques sur Sony ou Target montrent que ce montant peut être encore bien plus élevé.
La fuite de données constitue donc une réelle menace qui impacte :
• l’ensemble du système d’information,
• les activités métier de l’entreprise,
• tout l’écosystème de l’entreprise.
La fuite de données est en lien direct avec les activités de l’entreprise, les actifs de l’entreprise mais aussi ceux de ses partenaires et ses clients, sans oublier les données à caractère personnel. L’information étant la matière première de l’entreprise, l’intégrité des données concerne l’ensemble du système d’information et de ses utilisateurs.
Quelles sont les solutions efficaces ?
Les outils de prévention de fuite pour les SaaS
Dans le cas de solutions cloud SaaS, afin de protéger davantage les données stockées, deux outils de prévention des fuites de données sont accessibles.
Les DLP ou Data Leakage Prevention
Ce système permet, par un marquage des fichiers, d’apporter un niveau de confidentialité optimal. Le principe est le suivant : plus une donnée est sensible, plus son accès est restreint.
Les CASB ou Cloud Access Security Brokers
Ces outils analysent le flux des données et scannent les documents présents au sein d’un cloud. Les entreprises font de plus en plus souvent appel aux CASB pour gérer les risques liés aux services Cloud, appliquer des stratégies de sécurité et se mettre en conformité avec les réglementations en vigueur.
Les outils de prévention de fuite pour les IaaS et PaaS
Pour se prémunir d’une éventuelle fuite de données, plusieurs solutions existent.
Les WAF (ou web application firewalls)
Elles permettent en effet de contrer des attaques cherchant à profiter des failles de l’application.
Les CWP (ou Cloud Workload Protection)
Ces solutions permettent de vérifier les mauvaises configurations de l’infrastructure cloud et particulièrement des espaces de stockage de données, tout en autorisant une vue d’ensemble des actions menées par chaque administrateur. Certes sécurisés, les serveurs publics ne sont en effet pas infaillibles.
Sensibiliser les équipes IT aux bonnes pratiques
Pour se prémunir d’une éventuelle fuite de données, il est primordial de sensibiliser les équipes IT sur les enjeux de sécurité spécifiques aux technologies cloud et particulièrement la population des développeurs.
Quel recours en cas de fuite ?
En cas de fuite de données personnelles, les entreprises européennes sont tenues de déclarer l’incident dans les 72h, que celui-ci soit accidentel ou provienne d’une cyberattaque depuis le 25 mai 2018, date de mise en application du Règlement pour la protection des données (RGPD).
Envie de partager cet article ?
