De plus en plus d’entreprises sont séduites par les avantages du cloud. Mais cette migration ne doit pas se focaliser uniquement sur la réduction des coûts, la flexibilité et les solutions innovantes. La sécurité des données devient un enjeu majeur. Et ce n’est pas qu’une affaire de logiciels… Le cloud doit être intégré dans la gestion des risques.
« Le recours au cloud publique augmente rapidement, ce qui conduit inévitablement à un plus grand nombre d’éléments sensibles potentiellement à risque », avertit Jay Heiser, vice-président et responsable de la sécurité du cloud chez Gartner.
Qu’il s’agisse d’une attaque ciblée, d’une erreur humaine, d’une vulnérabilité des applications ou de mauvaises pratiques en matière de sécurité, le résultat est toujours le même : l’activité économique est impactée. Des informations sensibles peuvent se retrouver dans la nature ou être exploitées par des concurrents ou un État.
Comme tout outil, c’est la façon dont on l’utilise qui a des conséquences. En clair, ce n’est pas la sécurité du cloud qui doit être remise en cause. C’est la façon dont les entreprises utilisent ces services qui pose (ou peut poser) problème. Spécialisée dans la sécurité informatique, Threat Stack a analysé 200 entreprises utilisant AWS.
Des instances AWS mal configurées
Ce cabinet américain a constaté que 73 % d’entre elles avaient au moins une mauvaise configuration de sécurité et notamment des profils non autorisés à accéder directement aux données dans le cloud. Les listes de contrôle d’accès (ACL pour Access Control Lists) permettent pourtant aux administrateurs de définir et de gérer qui a accès aux compartiments et aux objets dans S3.
Mais il semble que cette pratique laisse à désirer… même à l’Armée américaine. Fin 2017, la société de cybersécurité UpGuard, basée en Californie, avait découvert une base de données appartenant au Ministère de la Défense. Étonnamment, elle avait été mal configurée sur une instance Amazon Web Services. Mais les militaires ne sont pas les seuls à porter un bonnet d’âne. Plusieurs grands comptes (Accenture, Verizon et TigerSwan) ont aussi accidentellement laissé des buckets (compartiments) contenant des données confidentielles exposées sur le Web.
Les problèmes de configuration des instances, en particulier les AWS S3 (Simple Storage Service), se multipliant, Amazon a revu son interface afin de mieux signaler aux administrateurs quelles instances sont publiquement accessibles sur internet. Le géant US a aussi configuré par défaut certains réglages importants.
Cet exemple d’AWS confirme que les entreprises sont mal (in)formées sur la gestion des données dans le cloud. Le risque est d’autant plus important que leur responsabilité est engagée.
Gestion des risques : Responsabilité partagée
Contrairement à une idée reçue, les responsabilités relatives à certains aspects de la sécurité informatique sont souvent partagées entre le fournisseur de services dans le cloud et le client. Cette répartition des responsabilités est susceptible de varier en fonction du modèle de service (IaaS, PaaS, SaaS…).
Par exemple, les fournisseurs de SaaS s’assurent que leurs applications sont protégées et que les données sont transmises et stockées en toute sécurité. Mais ce n’est généralement pas le cas avec l’IaaS. Par exemple, une entreprise a l’entière responsabilité de ses instances AWS Elastic Compute cloud (EC2), Amazon EBS et Amazon Virtual Private cloud (VPC), y compris la configuration du système d’exploitation, la gestion des applications et la protection des données.
Il est donc indispensable que l’équipe chargée de la maintenance informatique et de la sécurité comprenne et maîtrise cette problématique. Les fournisseurs dans le cloud offrent une gamme d’outils de sécurité (pare-feu, systèmes de gestion des identités et des accès, IPS/IDS…). Il faut donc les utiliser sans hésiter.
RGPD et contrats dans le cloud
Mais la sécurité informatique ne doit pas se limiter à des solutions matérielles et logicielles. Applicable dès le 25 mai prochain, le RGPD insiste sur la coresponsabilité de l’entreprise et de ses prestataires. Les sous-traitants doivent veiller à ce que les données aient été recueillies avec le consentement explicitement des utilisateurs. Ils doivent aussi mettre en place des processus de sécurité.
D’un autre côté, l’article 26 du Règlement général sur la protection des données, rappelle que le chef d’entreprise reste responsable des traitements appliqués aux données personnelles. Il doit donc s’assurer des garanties apportées par ses sous-traitants en matière de protection des données. Il est recommandé de faire vérifier par un avocat les contrats des fournisseurs de services dans le cloud pour constater la présence ou non de clauses spécifiques au RGPD.
Chiffrer ses données
Focalisées sur l’optimisation des phases de développement de leurs produits ou services grâce au cloud, de nombreuses entreprises ne chiffrent pas leurs données ! Selon RedLock, une société américaine spécialisée dans la sécurité du cloud, 82 % des bases de données dans le cloud public ne sont pas chiffrées. Stocker des informations sensibles dans le cloud sans une solution de chiffrement est dangereux. L’entreprise peut mettre en péril son activité et exposer les données personnelles de ses clients, prospects et salariés. Rappelons qu’en cas de fuite de données privées, toute entreprise doit notifier la CNIL sous 72 heures (RGPD).
Dans la mesure du possible, les entreprises doivent garder le contrôle des clés de chiffrement. Bien qu’il soit possible de donner aux fournisseurs de services dans le cloud l’accès aux clés, la responsabilité des données incombe, là aussi, à l’organisation.
Autre négligence due à un manque de sensibilisation des entreprises : l’absence d’authentification multifactorielle ou à double facteur. Cette solution permet pourtant de limiter les risques d’usurpation d’identité et de mieux contrôler les accès au cloud. Mais là aussi, Redlock a constaté que 58 % des comptes racine n’ont pas d’authentification multifactorielle activée.
Le cloud Act
Toutes ces mesures permettent de renforcer la sécurité des données, mais surtout leur confidentialité. Cet objectif doit devenir prioritaire avec l’arrivée du cloud Act (Clarifying Lawful Overseas Use of Data Act).
Dévoilé début février 2018 par le Congrès américain, il vise à faciliter l’accès, par les forces de l’ordre, aux données stockées sur des serveurs à l’étranger, sans se soucier du pays où vivent les personnes ou de la localisation des données. En clair, un juge américain pourrait donner son feu vert pour que les autorités de son pays accèdent à des emails ou à des fichiers hébergés dans le datacenter d’un Gafa situé en France.
La gouvernance des données
Le cloud oblige les entreprises à établir un cadre formel de gouvernance de l’information. Cette mission peut être assurée par un CDO (Chief Data Officer). Il devra développer la vision stratégique et déterminer les enjeux liés à l’acquisition et à l’exploitation de la donnée de son entreprise. Sa position transversale favorisera l’évolution de toute l’organisation vers une logique Data-Driven (ce qui implique le cloud).
Ce cadre formel détaillera :
- Les règles : définition et l’évolution des règles d’administration ;
- Les rôles : répartition des responsabilités des différents acteurs ;
- Le contrôle : mise en place de mécanismes permettant de s’assurer que les règles établies sont appliquées ;
- Les risques : évaluation et gestion des risques et des menaces liées aux données « utiles » (dont celles à caractère personnel) : vol, perte… Soit tout ce qui concerne la cybersécurité d’un point de vue technique, mais aussi réglementaire (conformité avec le RGPD).
