Comment faire face à ces risques? Quelles sont actuellement les meilleures pratiques et les évolutions en cours ?
Entreprises : quels enjeux de sécurité du cloud en 2019 ?
Pour protéger au mieux ses données dans le cloud, une entreprise doit aujourd’hui répondre à 3 enjeux structurels :
- Prévoir une architecture applicative intégrant pleinement la sécurisation des données et des applications dans le cloud public. Une sécurisation qui est désormais distribuée et virtualisée.
- Mettre en place et correctement utiliser les mécanismes de sécurité des applications et des données proposés par les infrastructures et services de cloud mondiaux.
- Porter attention à la conformité juridique (compliance) de la protection des données, partout dans le monde : l’enjeu réglementaire et contractuel étant de taille.
La protection des données dans le cloud, un casse-tête réglementaire international
Ces dernières années, les réglementations en matière de protection des données se sont multipliées à travers le monde - notamment dans le sillon du RGPD - avec des contraintes propres à chaque pays. Ainsi en Russie, la législation impose que toute première copie de données de ses ressortissants soit hébergée dans le pays. La Chine requiert que les données des opérateurs critiques soient hébergées sur son territoire. Entre autres exemples. Pour une entreprise qui opère à l’international, il faut donc déjà se conformer à la législation du pays où les infrastructures de cloud sont localisées et à celle du pays où les données sont utilisées. Une complexité qui peut inciter à recourir à des clouds situés dans la même zone géographique que celle où sont exploitées des données, ou à des opérateurs qui savent gérer cette complexité compte tenu des enjeux et contraintes propres du client. L’objectif étant de limiter les réglementations que le client doit prendre en compte à son niveau.
La compliance des services de cloud avec les législations locales et la capacité des infogéreurs cloud à accompagner les clients localement constituent donc des critères de choix primordiaux.
Les travailleurs nomades sont-ils plus exposés aux failles de sécurité ?
« Non, les services de cloud sont par construction accessibles de partout, donc en mobilité, de manière sécurisée », explique Cédric Prévost, Directeur Marketing Services Managés et Sécurité Cloud d’Orange. « Les mécanismes d’identification pourront être aussi forts et efficaces que le collaborateur se trouve au siège de son entreprise, en déplacement ou à son domicile. »
Les 3 mesures incontournables pour sécuriser votre cloud
Ne faites en aucun cas l’impasse sur...
1. Une authentification systématique la plus forte et la plus fédérée possible : il est fondamental de coupler le système d’authentification des services s’exécutant sur le cloud à ceux en vigueur au sein de votre entreprise. Cela permet de maintenir une base d’utilisateurs unique la plus à jour possible, réduisant ainsi les risques d’erreur ou les utilisateurs fantômes mais toujours autorisés.
2. Le chiffrement des données : afin de les protéger quand elles transitent entre l’infrastructure du cloud et l’utilisateur, mais aussi là où elles sont stockées. En effet, les fournisseurs de cloud peuvent être obligés par certaines réglementations –tel que le Patriot Act aux Etats-Unis– à fournir des données où qu’elles soient hébergées dans le monde lorsque demandées par les autorités.
3. La réplication des données : héberger des données répliquées dans deux endroits éloignés l’un de l’autre est une mesure de prudence non superflue, pour éviter la perte de données en cas d’incident majeur (incendie, inondation voire destruction accidentelle d’un data center par exemple). L’avantage du cloud ? Il suffit généralement de cliquer sur un bouton pour lancer cette duplication automatique !
Chez Orange, nous co-innovons avec nos clients pour les accompagner dans la mise en place et la sécurisation de leurs services cloud », précise Cédric Prévost. « Et ce aussi bien très en amont du changement que très en aval lors de la migration opérationnelle vers le cloud.
Quelles sont les innovations qui demain changeront la donne de la sécurité du cloud ?
Tout d’abord, l’impact de l’intelligence artificielle et du machine learning est très important. La capacité d’apprentissage et de traitement d’énormes volumes de données –tels que des journaux d’authentification et de connexion- permet la détection d’incidents de sécurité en (quasi-)temps réel. Il s’agit notamment d’analyse comportementale, prédictive comme réactive. Par exemple, l’intelligence artificielle saura différencier un comportement de connexion normal d’un comportement déviant potentiellement problématique. Elle est ensuite capable d’adapter le niveau de sécurité des mécanismes d’authentification au niveau de risque analysé en temps réel.
Enfin, à l’avenir, les ordinateurs quantiques devraient radicalement changer la donne : ces nouvelles capacités devraient révolutionner les dispositifs de sécurité actuellement en vigueur, ouvrant la voie à des risques inédits, qui nous amèneront à innover afin de développer de nouveaux mécanismes de sécurité adaptés à ces enjeux de demain.