Le cloud, maillon faible de la cybersécurité ?

Le passage vers le cloud est souvent parsemé d'embûches.

Quelle que soit la solution cloud envisagée, garantir des performances continues de service

et la sécurité élevée des données est un sujet de préoccupation majeur.

Pour résoudre ces problèmes, les entreprises doivent travailler avec un partenaire fiable.

Il peut les aider à migrer en toute confiance et à bénéficier des nombreux avantages du cloud.

Né en 1990, et prenant son essor avec internet, le cloud

computing s’est développé avec un avantage principal :

disposer d’une capacité de stocker ailleurs des fichiers que

sur des ser-veurs locaux. L’objectif étant de permettre aux

utilisateurs d’accéder à de nombreuses pres-tations accessibles

en ligne sans devoir subir la charge d’une infrastructure

coûteuse. Pour les entreprises, le cloud est devenu un outil

essentiel. Cette solution permet de dépasser très largement les

capacités de mémoire des appareils et disques durs locaux.

En recueillant les données stratégiques, le cloud est devenu

peu à peu un environnement attractif pour les hackers. Et la

pandémie de Covid-19 n’a rien arrangé. Pourtant, il est l’un des

environne-ments pour lequel les équipes de sécurité sont le

moins préparées.

Nuages sur la sécurité

Désormais, la cybersécurité dans le cloud s’impose comme un

sujet majeur pour les entreprises avec la sécurisation des

données, la gestion de l'identité et des accès utilisateurs, la

gouvernance ou la planification de la conservation des données.

continuité des activités en cas de cyberattaques est même

envisagée dans les offres cybersécuritaires. La sécurité dans le

cloud repose aussi sur le développement des nouvelles

technologies de pointe. Une nouvelle génération combine IA et

automatisation pour détecter les failles, en implémentant des

capteurs qui transmettent les modifications de code dans le

cloud. Ainsi, il peut réagir à toute attaque cyber en temps réel

pour la neutraliser de manière entièrement automatisée.

Malgré la bonne volonté des fournisseurs, ce sont les

utilisateurs et les mésusages qui génèrent le plus d’attaques.

Une formation client pour adopter les bons réflexes afin de

limiter les attaques paraît indispensable. “De manière

instinctive, on pense que le cloud est sécurisé. C’est vrai pour

ce qui est de la responsabilité des fournisseurs, mais beaucoup

d’actions restent de la responsabilité des organisations

utilisatrices et sont malheureusement souvent oubliées !

C’est un point majeur pour la sécurité des nouvelles

applications”, explique Gérôme Billois, associé du cabinet de

conseil Wavestone. En clair, il revient bien aux entreprises de

veiller aux bons paramétrages des outils qu’elles utilisent.

Pour autant, migrer dans des environnements cloud reste une

tâche complexe et chronophage.

On s’aperçoit que les deux causes courantes de violation de

données dans le cloud sont des restrictions d'accès mal

configurées et des systèmes oubliés ou mal sécurisés. Toutefois,

elles relèvent toutes deux de la responsabilité de l'organisation,

et non de celle du prestataire cloud.

Certes, les fournisseurs de cloud savent qu'ils doivent tout

mettre en œuvre pour garantir la meilleure sécurité, mais, en fin

de compte, si les données d'un client sont compromises, c'est

d’abord et avant tout un problème pour l'organisation

utilisatrice qui en paiera les conséquences. À titre d’exemple,

si une organisation est victime d'une attaque par ransomware,

c'est elle qui doit payer le pirate et non le fournisseur de cloud.

Les fournisseurs proposent également des services afin

d’accompagner les clients. Par exemple, Google propose un

Cloud Security Command Center qui agit comme un scanner

pour rechercher les vulnérabilités. De leur côté, Amazon et

Microsoft ont construit des applications et des infrastructures

pour aider les clients à adopter les bonnes pratiques en matière

de sécurité.

Ainsi, ce n’est pas parce que les grandes sociétés de cloud

assurent des services sécurisés que les utilisateurs du cloud

doivent baisser leur garde. Les fournisseurs de cloud ont déjà

investi d'énormes ressources dans la sécurité de leurs propres

produits. Les principaux acteurs incluant Amazon (Amazon

Web Services), Microsoft (Azure) et Google (Google Cloud

Platform) ont fait de la sécurité une de leurs plus hautes

priorités.

Cognyte, le casse à 5 milliards

En juin 2021, la société d’analyse des menaces Cognyte n'a pas réussi à sécuriser sa base de données, exposant 5 milliards d'enregistrements. Les dossiers ont été mis en ligne sans mot de passe et sans aucune autre authentification pour y accéder. La base de données contenant des noms et des adresses e-mail a été exposée pendant quatre jours. Ce genre d’erreur est une aubaine pour les pirates informatiques.

De son côté, Gérôme Billois, associé du cabinet Wavestone et auteur d’un rapport sur la maturité cyber des grandes entreprises françaises, précise que 47 % des entreprises comptent uniquement sur les alertes de sécurité du fournisseur, ce qui est largement insuffisant.

Pénurie de cybertalents

En France, comme à l’échelle mondiale, la cybersécurité est

confrontée à une pénurie de talents : plus de 15 000 postes non

pourvus. Les grandes entreprises tentent d’inverser la courbe

et renforcent leurs équipes, mais les écarts sont importants en

fonction de la maturi-té digitale des secteurs. En ce qui

concerne les effectifs dans les organisations évaluées par le

cabinet Wavestone, on dénombre moins d’une personne

dédiée à la cybersécurité pour 1500 employés. Un chiffre bien

trop faible face aux enjeux actuels.

Bien conscient du problème, Microsoft veut endiguer cette

pénurie avec un plan ambitieux de formation de près de 10 000

professionnels à l’horizon 2025, notamment avec l’école Cyber

Microsoft by Simplon. L’idée : communiquer pour attirer les

jeunes talents – même néophytes dans les métiers de la

cybersécurité – et les accompagner au travers d’une formation

complète afin de les recruter directement à la sortie de la

formation.

L’intégration pour sécuriser la migration

Lorsqu’une entreprise décide de migrer dans le cloud, elle

s’expose à des risques en déplaçant les données ainsi qu’en

fournissant de nouveaux accès à ses collaborateurs.

L’intégrateur joue alors un rôle essentiel dans ce processus

complexe : il peut limiter les erreurs régulières qui mènent à

des failles et pallier le débordement d’équipes sécurité

submergées d’alertes à traiter. “Les mauvaises configurations

ont des conséquences plus importantes dans un

environnement cloud”, pointe David Hatfield, co-PDG

de Lacework, licorne américaine de cybersécurité. Dans la

perspective d’une migration vers le cloud, les intégrateurs

établissent généralement une architecture de transfert qui définit et planifie le processus de migration. Cela consiste

en la clarification avec l’entreprise cliente des exigences de la

solution cloud, de la conception de la stratégie de migration

des données (pour, par exemple, maintenir les prestations de

l’entreprise lors de la migration, avec l'établissement des

priorités de migration).

Il faut savoir que les failles se produisent lorsque les ressources

informatiques sont configurées de manière incorrecte, laissant

la porte ouverte aux activités malveillantes. Les intégrateurs

disposent de plusieurs outils pour sécuriser au maximum la

migration. Parmi eux :

• Le chiffrement des données pour s’assurer que les données

au repos et en transit sont chiffrées.

• L’évaluation de la vulnérabilité du cloud avec une routine de

tests – dont certains centrés sur l’intrusion de l’environnement

cloud – permet de corriger chaque faille de manière agile.

• L’ajout de sécurités supplémentaires sur les ordinateurs

portables, les ordinateurs de bureau et les appareils mobiles

des collaborateurs de l’entreprise.

• L’addition de systèmes d’identification multi-facteurs pour

les données les plus stratégiques. Les utilisateurs doivent

confirmer leur identité en scannant, par exemple, leur

empreinte ou en entrant un code reçu par téléphone.

La grande force des intégrateurs cloud est l’application de

méthodes agiles inspirées du DevOps. On parle même de

DevSecOps qui automatise le processus de sécurisation du

cycle de vie des données dans le cloud. Chaque étape de la

migration vers le cloud est ainsi soumise à des vérifications

de sécurité.

En d’autres mots, malgré l'adoption rapide et continue de cet

outil remarquable de stockage, la sécurité reste plus que jamais

un enjeu crucial pour les clients du cloud.

Pour résumer, l’éventualité de nombreux problèmes de sécurité

critiques dans le cloud impose la vigilance et incite à opter pour

des attitudes adaptées et des solutions de sécurité robustes.

Notamment en s’entourant d’intégrateurs avec lesquels

l’entreprise peut élaborer sa stratégie de migration. Il sera alors

plus facile et efficace d’intégrer la sécurité dans le transfert de

données vers le cloud, tout en établissant un cadre rigoureux

de gestion des accès et de prévention des failles, afin de

garantir au mieux la sécurité à long terme.

Sources :

Qu’est-ce que la sécurité informatique dans le Cloud ? (kaspersky.fr)

5 Things You Must Know About Cyber Security in the Cloud (simplilearn.com)

Le cloud, talon d’Achille de la cybersécurité (lefigaro.fr)

Le niveau de maturité cyber des grandes organisations françaises reste largement insuffisant (itrmanager.com) [citation Gérôme Billois]

Cognyte jeopardized its database exposing 5 billion records, including earlier data breaches (secureblink.com)

Best practices for secure cloud maigration (PDF, capgemini-engineering.com)

Plus court, plus vite

Le passage vers le cloud est souvent parsemé d'embûches. Quelle que soit la solution cloud envisagée, garantir des performances continues de service et la sécurité élevée des données est un sujet de préoccupation majeur. Pour résoudre ces problèmes, les entreprises doivent travailler avec un partenaire fiable. Il peut les aider à migrer en toute confiance et à bénéficier des nombreux avantages du cloud

Né en 1990, et prenant son essor avec internet, le cloud computing s’est développé avec un avantage principal : disposer d’une capacité de stocker ailleurs des fichiers que sur des ser-veurs locaux. L’objectif étant de permettre aux utilisateurs d’accéder à de nombreuses pres-tations accessibles en ligne sans devoir subir la charge d’une infrastructure coûteuse. Pour les entreprises, le cloud est devenu un outil essentiel. Cette solution permet de dépasser très largement les capacités de mémoire des appareils et disques durs locaux. En recueillant les données stratégiques, le cloud est devenu peu à peu un environnement attractif pour les hackers. Et la pandémie de Covid-19 n’a rien arrangé. Pourtant, il est l’un des environne-ments pour lequel les équipes de sécurité sont le moins préparées.

Nuages sur la sécurité

Désormais, la cybersécurité dans le cloud s’impose comme un sujet majeur pour les entreprises avec la sécurisation des données, la gestion de l'identité et des accès utilisateurs, la gouvernance ou la planification de la conservation des données. La continuité des activités en cas de cyberattaques est même envisagée dans les offres cybersécuritaires. La sécurité dans le cloud repose aussi sur le développement des nouvelles technologies de pointe. Une nouvelle génération combine IA et automatisation pour détecter les failles, en implémentant des capteurs qui transmettent les modifications de code dans le cloud. Ainsi, il peut réagir à toute attaque cyber en temps réel pour la neutraliser de manière entièrement automatisée.

Malgré la bonne volonté des fournisseurs, ce sont les utilisateurs et les mésusages qui génèrent le plus d’attaques. Une formation client pour adopter les bons réflexes afin de limiter les attaques paraît indispensable. “De manière instinctive, on pense que le cloud est sécurisé. C’est vrai pour ce qui est de la responsabilité des fournisseurs, mais beaucoup d’actions restent de la responsabilité des organisations utilisatrices et sont malheureusement souvent oubliées ! C’est un point majeur pour la sécurité des nouvelles applications”, explique Gérôme Billois, associé du cabinet de conseil Wavestone. En clair, il revient bien aux entreprises de veiller aux bons paramétrages des outils qu’elles utilisent. Pour autant, migrer dans des environnements cloud reste une tâche complexe et chronophage.

On s’aperçoit que les deux causes courantes de violation de données dans le cloud sont des restrictions d'accès malconfigurées et des systèmes oubliés ou mal sécurisés. Toutefois, elles relèvent toutes deux de la responsabilité de l'organisation, et non de celle du prestataire cloud.

Certes, les fournisseurs de cloud savent qu'ils doivent tout mettre en œuvre pour garantir la meilleure sécurité, mais, en fin de compte, si les données d'un client sont compromises, c'est d’abord et avant tout un problème pour l'organisation utilisatrice qui en paiera les conséquences. À titre d’exemple, si une organisation est victime d'une attaque par ransomware, c'est elle qui doit payer le pirate et non le fournisseur de cloud.

Les fournisseurs proposent également des services afin d’accompagner les clients. Par exemple, Google propose un Cloud Security Command Center qui agit comme un scanner pour rechercher les vulnérabilités. De leur côté, Amazon et Microsoft ont construit des applications et des infrastructures pour aider les clients à adopter les bonnes pratiques en matière de sécurité.

Ainsi, ce n’est pas parce que les grandes sociétés de cloud assurent des services sécurisés que les utilisateurs du cloud doivent baisser leur garde. Les fournisseurs de cloud ont déjà investi d'énormes ressources dans la sécurité de leurs propres produits. Les principaux acteurs incluant Amazon (Amazon Web Services), Microsoft (Azure) et Google (Google Cloud Platform) ont fait de la sécurité une de leurs plus hautes priorités.

Cognyte, le casse à 5 milliards

Pénurie de cybertalents

En France, comme à l’échelle mondiale, la cybersécurité est confrontée à une pénurie de talents : plus de 15 000 postes non pourvus. Les grandes entreprises tentent d’inverser la courbe et renforcent leurs équipes, mais les écarts sont importants en fonction de la maturi-té digitale des secteurs. En ce qui concerne les effectifs dans les organisations évaluées par le cabinet Wavestone, on dénombre moins d’une personne dédiée à la cybersécurité pour 1500 employés. Un chiffre bien trop faible face aux enjeux actuels.

Bien conscient du problème, Microsoft veut endiguer cette pénurie avec un plan ambitieux de formation de près de 10 000 professionnels à l’horizon 2025, notamment avec l’école Cyber Microsoft by Simplon. L’idée : communiquer pour attirer les jeunes talents – même néophytes dans les métiers de la cybersécurité – et les accompagner au travers d’une formation complète afin de les recruter directement à la sortie de la formation.

L’intégration pour sécuriser la migration

Lorsqu’une entreprise décide de migrer dans le cloud, elle s’expose à des risques en déplaçant les données ainsi qu’en fournissant de nouveaux accès à ses collaborateurs. L’intégrateur joue alors un rôle essentiel dans ce processus complexe : il peut limiter les erreurs régulières qui mènent à des failles et pallier le débordement d’équipes sécurité submergées d’alertes à traiter. “Les mauvaises configurations ont des conséquences plus importantes dans un environnement cloud”, pointe David Hatfield, co-PDG de Lacework, licorne américaine de cybersécurité. Dans la perspective d’une migration vers le cloud, les intégrateurs établissent généralement une architecture de transfert qui définit et planifie le processus de migration. Cela consiste en la clarification avec l’entreprise cliente des exigences de la solution cloud, de la conception de la stratégie de migration des données (pour, par exemple, maintenir les prestations de l’entreprise lors de la migration, avec l'établissement des priorités de migration).

Il faut savoir que les failles se produisent lorsque les ressources informatiques sont configurées de manière incorrecte, laissant la porte ouverte aux activités malveillantes. Les intégrateurs disposent de plusieurs outils pour sécuriser au maximum la migration. Parmi eux :

• Le chiffrement des données pour s’assurer que les données au repos et en transit sont chiffrées.

• L’évaluation de la vulnérabilité du cloud avec une routine de tests – dont certains centrés sur l’intrusion de l’environnement cloud – permet de corriger chaque faille de manière agile.

• L’ajout de sécurités supplémentaires sur les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles des collaborateurs de l’entreprise.

• L’addition de systèmes d’identification multi-facteurs pour les données les plus stratégiques. Les utilisateurs doivent confirmer leur identité en scannant, par exemple, leur empreinte ou en entrant un code reçu par téléphone.

A tel point d’ailleurs qu’il ne le quittera qu’à l’âge de trente-trois ans. Son père lui explique

que pour être tranquille dans la vie, il faut être sérieux. Il l’est. Mais à l’orée de la seconde,

la motivation décline. Un conseiller le remotive en lui parlant d’un BEP de comptabilité.

Obtenu brillamment, il rattrape sa route vers un bac G2 où la compta est reine.

Les résultats sont bons. On conseille à Michel de s’orienter vers de longues études.

Mais lui préfère un parcours plus court pour entrer plus vite dans la vie active.

Sa décision est prise, ce sera un BTS. Il enchaîne ensuite sur une maîtrise de gestion.

Comptable en uniforme

Et puis il a aussi des contraintes, notamment celles du service militaire "Pendant dix mois, à Montauban puis Vincennes" reprend Michel. Là, il endosse l’uniforme du comptable pour

s’occuper de la solde du contingent. "J’étais chanceux avec ce poste tranquille après des classes plus rugueuses", précise-t-il. Juste après l’armée, la chance l’attend encore dans une agence d’intérim. On lui propose de remplacer au poste de comptable une collaboratrice qui s’est cassée la jambe. "En fait, le PMU me met le pied à l’étrier", s’amuse Michel. Il y restera trois ans. Puis d’autres horizons s’ouvrent à lui. Notamment publicitaires chez Publicis Conseil.

Des sociétés de services l’accueillent. Jusqu’à Kaba. Ce spécialiste des portes coulissantes lui ouvre les siennes. "Souhaitant renouveler leur système d’information, ils avaient besoin de mon expérience pour être accompagnés dans ce changement". Les solutions du marché ne plaisent pas à Michel. C’est alors que des consultants de Navision viennent le voir. Leur offre plait au Directeur comptable de Michel et l’implémentation est mise place avec succès. Michel ayant découvert le métier de consultant est tenté par l’activité. Intéressé par la compétence comptable de Michel, Navision lui propose de le former au consulting.

Puis Michel entre chez Colombus, intégrateur AX. Les projets s’enchaînent, spécialement

chez Saint-Gobain Glass. Ensuite, il entre chez Avanade et quelques années plus tard

il intègre l’ESN Viseo.

Premiers contacts

Deux ans après, Flexmind le contacte avec un argument décisif : "Ici tu n’auras pas une kyrielle de projets mais un seul, important et captivant". C’est ainsi que Michel démarre en 2012 sur le projet Geodis et fait la connaissance de nombre de ses collègues d’aujourd’hui. En 2017, il quitte le salariat pour le statut d’indépendant et opère pour le groupe Saur. "Pendant ce temps, Geodis s’était séparé de Flexmind pour rejoindre FiveForty°. Jonathan m’appelle pour me proposer de reprendre en sous-traitant sur Geodis en conservant mon nouveau statut", résume le consultant finance Dynamics.

"De toute façon, quand Jonathan a voulu monter sa structure, je n’ai pas hésité une seule seconde". Celui que la chance n’a jamais lâché précise : "Ici, on ne sent pas le poids de la structure, l’aspect famille est palpable. Ce lien social ajouté à la diversité des clients, c’est ce qui donne envie de bosser avec eux".°

La grande force des intégrateurs cloud est l’application de méthodes agiles inspirées du DevOps. On parle même de DevSecOps qui automatise le processus de sécurisation du cycle de vie des données dans le cloud. Chaque étape de la migration vers le cloud est ainsi soumise à des vérifications de sécurité. (lien vers l’article DevOps).

En d’autres mots, malgré l'adoption rapide et continue de cet outil remarquable de stockage, la sécurité reste plus que jamais un enjeu crucial pour les clients du cloud.

Pour résumer, l’éventualité de nombreux problèmes de sécurité critiques dans le cloud impose la vigilance et incite à opter pour des attitudes adaptées et des solutions de sécurité robustes. Notamment en s’entourant d’intégrateurs avec lesquels l’entreprise peut élaborer sa stratégie de migration. Il sera alors plus facile et efficace d’intégrer la sécurité dans le transfert de données vers le cloud, tout en établissant un cadre rigoureux de gestion des accès et de prévention des failles, afin de garantir au mieux la sécurité à long terme.