Utiliser les services de Cloud en tout sécurité

La sécurité des données est désormais, à l’ère du numérique, une question centrale. Et l’utilisation sécurisée des services de Cloud semble devenir un grand défi : on entend souvent que les données ne peuvent jamais être sécurisées dans un Cloud, c’est pourquoi les utilisateurs privés prudents hésitent bien souvent à utiliser ce type de services. Mais la sécurité du Cloud ne concerne pas uniquement un usage privatif, ce sujet est aussi important pour les entrepreneurs : en effet de nombreuses entreprises stockent des données personnelles sensibles et des projets en grandes quantités sur un Cloud.

Le volume de données stockées dans les différents Clouds est en constante augmentation, car malgré les risques de sécurité, les Clouds sont extrêmement populaires. Les particuliers profitent en effet du confort d’avoir partout accès à leurs propres données et aiment aussi charger des sauvegardes de leur disque dur dans un espace de stockage en ligne. De plus, les entreprises peuvent utiliser le Cloud pour mieux mettre en réseau leurs employés et rendre ainsi les processus de travail plus efficaces. Cela permet aussi d’économiser des coûts, car l’hébergement Cloud permet d’adapter les ressources en fonction des besoins et nécessite ainsi moins d’infrastructure sur site.

La variante la plus courante de l’utilisation de Cloud est le Cloud public : les fournisseurs de Cloud tels que Google Drive ou Box offrent à leurs clients un espace de stockage en ligne entièrement équipé, avec leurs propres solutions de sécurité. Cependant, si vous voulez avoir plus de contrôle sur vos données, vous pouvez créer un Cloud privé ou bien un Cloud hybride. Ces stockages en ligne sont totalement ou partiellement indépendants des fournisseurs publics. Cela apporte plus de contrôle au niveau des mesures de sécurité, mais exige cependant plus d’efforts techniques. Les entreprises utilisent en particulier les Clouds privés ou hybrides pour des raisons de protection des données et de sécurité informatique. Cependant, avec un logiciel comme ownCloud, même les particuliers peuvent facilement mettre en place un Cloud autogéré.

Alors que de plus en plus de domaines de la vie numérique passent désormais par les services de Cloud, la question de la sécurité est d’autant plus urgente. Comment les particuliers et les entreprises peuvent-ils protéger au mieux les accès au Cloud ? Nous expliquons quels problèmes peuvent survenir et quels aspects au niveau de la sécurité doivent faire l’objet d’une attention particulière. Nous présentons ensuite différentes méthodes pour une utilisation sécurisée des services de Cloud de toutes sortes.

Si le Cloud offre beaucoup de confort, son utilisation est aussi associée à des risques. Pour les minimiser, il faut tout d’abord s’informer et prendre consciences des dangers réels.

On dit toujours que le Cloud n’est pas totalement sécurisé, mais quels sont exactement les dangers ? La réponse est la suivante : il existe de nombreux problèmes si vous souhaitez utiliser les services de Cloud en toute sécurité : outre la perte de données (par exemple en raison de l’insolvabilité d’un fournisseur, de pannes techniques ou d’un blocage inattendu du compte), les risques concernant principalement l’accès non autorisé ou non désiré par des tiers. Mais quels groupes de personnes pourraient être intéressés par les données ? À ce niveau, voici les principaux acteurs :

1. « Voleurs de données » : une source de danger réside au niveau des personnes qui souhaitent gagner de l’argent avec des données volées. Il peut s’agir non seulement des coordonnées bancaires, mais aussi de toutes les données personnelles qui peuvent être intéressantes pour ces voleurs. De plus, le vol des données dans des Clouds pas assez sécurisés est aussi intéressant dans le cadre de l’espionnage industriel.
2. Hackers : les hackers testent leurs compétences en essayant de pénétrer et de forcer les barrières de sécurité d’institutions ou d’entreprises publiques. Certains signalent ainsi la vulnérabilité aux administrateurs en cas de piratage réussi, mais d’autres ont malheureusement des intentions criminelles.
3. Organismes d’État : l’affaire de la NSA a attiré l’attention du grand public sur le fait que les services secrets peuvent avoir accès aux données personnelles des citoyens. Sur décision de justice, dans des cas de suspicions, d’autres autorités peuvent également avoir accès aux données du Cloud. Par conséquent, les acteurs étatiques sont aussi un facteur de risque en termes de sécurité et de protection des données.
4. Fournisseurs de Cloud : de nombreuses grandes entreprises dans de le domaine de l’informatique et du Web comme Google ou Apple tirent aussi profit du traitement ultérieur des données des utilisateurs. Par le biais de conditions d’utilisation vaguement formulées, les fournisseurs laissent parfois une grande marge de manœuvre pour réutiliser les données à leurs propres fins. L’un des problèmes est en effet le manque de transparence des fournisseurs : les utilisateurs ont souvent peu de contrôle sur ce qui arrive aux données sur un Cloud public.
5. Personnes internes : les employés actifs ou au repos d’une entreprise posent aussi un risque pour la sécurité. En effet, ils peuvent utiliser à mauvais escient les données d’accès au Cloud ou même exercer un chantage. Par conséquent, les grandes entreprises devraient maintenir une gestion prudente de l‘identité et des permissions de leurs services de Cloud.

Si les particuliers et les entreprises veulent efficacement protéger les accès au Cloud, ils sont confrontés à des défis différents. Alors que les particuliers utilisent les services de Cloud de manière sécurisée principalement par le biais de mesures générales de protection comme des mots de passe judicieusement choisis ou le chiffrement des données, le cas se révèle être un peu plus compliqué pour les entreprises.

Contrairement aux particuliers, les entreprises ne travaillent pas avec un seul service de Cloud, mais avec des infrastructures informatiques complexes basées Cloud qui sont utilisées par de nombreux employés différents. Cloud Computing est le terme générique pour les infrastructures qui ne fonctionnent pas principalement sur les ordinateurs locaux de l’entreprise, mais qui sont principalement fournies via Internet. La question de la sécurité se pose ici sous plusieurs formes : de nombreux employés accèdent aux services de Cloud avec différents appareils à partir de différents endroits, ce qui alors fait de la sécurité un défi technique.

Le défi particulier réside dans la gestion des identités, qui gère toutes les données d’accès des employés et règlemente ainsi les ressources auxquelles ces derniers sont autorisés à accéder dans le Cloud. Pour obtenir un meilleur flux de travail, les entreprises sont tenues d’implémenter les différents accès Cloud de leurs employés dans une administration centrale des utilisateurs. Ces défis se posent déjà lorsque les entreprises n'utilisent qu'un service de partage de fichiers tel que Dropbox, qui est accessible par plusieurs employés avec des données d'accès individuels. Mais dans un environnement multi-cloud, plus l'entreprise est grande, plus il est difficile de gérer l'identité et plus il est important de se concentrer sur la sécurité du Cloud.

Pour les particuliers, la qualité de la sécurité dans le Cloud est mesurée par la qualité de la mise en place des mesures générales de protection des données. Outre l’utilisation de mots de passe sécurisés, il faut prêter attention à l’emplacement du serveur du fournisseur de Cloud, aux conditions d’utilisation du fournisseur de Cloud et au chiffrement des données.

Afin d’utiliser les services d’un Cloud en toute sécurité, les lois sur la protection des données des pays dans lesquels se trouvent leurs serveurs ainsi que leur siège social sont tout d’abord pertinentes. Les utilisateurs privés devraient donc examiner attentivement à quel fournisseur de Cloud ils confient leurs données.

Si les serveurs sont situés aux États-Unis, les utilisateurs français sont donc ainsi soumis aux lois américaines. La situation juridique est cruciale, car en plus des pirates informatiques, les agences gouvernementales peuvent aussi accéder aux données dans le Cloud contre la volonté des utilisateurs. Les lois américaines apportent un niveau de protection de la vie privée inférieur à celui de l’Union européenne et il existe donc des litiges juridiques en cours sur la manière dont les entreprises américaines traitent les données des citoyens de l’UE. Il est donc conseillé de choisir un service de Cloud dont les serveurs sont situés au sein de l’Union européenne. C‘est d’ailleurs aussi souhaitable en termes de vitesse.

Comme de nombreux utilisateurs se préoccupent de cette situation, les entreprises américaines stockent de plus en plus les données des clients européens sur des serveurs au sein de l’UE. Mais en cas de doute, cela n’aide guère les utilisateurs, car la localisation de l’entreprise est également un facteur décisif pour la protection des données : même si les serveurs d’une entreprise américaine sont situés en France, l’entreprise peut être obligée de divulguer les données personnelles des utilisateurs aux autorités américaines. Mais même cette question fait encore objet de débats et de litiges politiques et judiciaires.

Les règles de protection des données de chaque fournisseur de Cloud expliquent ce qu’il advient des données stockées. Il vaut la peine de l’envisager dans ce contexte : en particulier, des grands fournisseurs comme Google ou Apple ne génèrent pas l’essentiel de leurs bénéfices commerciaux en facturant des frais d’utilisation, mais plutôt en exploitant les données des utilisateurs. Les défenseurs des droits privés critiquent régulièrement les conditions et lignes directrices sur la protection des données de ces géants du Web, elles apportent souvent une marge de manœuvre que ces entreprises savent utiliser à leurs propres fins.

En outre, les grandes entreprises d’IT disposent généralement de plus de ressources pour extraire des modèles des montages de données recueillies dans le Cloud et pour créer des empreintes numériques (Digital Footprints) d’utilisateurs individuels ou de groupes d’utilisateurs. Ces « empreintes numériques » peuvent être reliées à celles de leurs autres services (dans le cas de Google avec Search, Maps, Mail etc.) et ainsi devenir encore plus significatives. Si vous voulez contourner et éviter cela, vous devriez alors plutôt choisir un fournisseur plus petit, où vous payez des frais d’utilisation mensuels de quelques euros pour obtenir une meilleure sécurité des données.

Autre point important de la sécurité dans les Clouds : si vous stockez vos données en ligne, vous devez toujours les chiffrer. Il existe pour cela de nombreuses méthodes de chiffrement, et comme dans certains cas elles sont techniquement très complexes, la plupart des utilisateurs recourent au chiffrement du fournisseur de Cloud associé. Cela nécessite déjà moins de connaissances techniques, mais les utilisateurs ne peuvent par contre pas vérifier si ces mesures sont suffisantes. Les Clouds publics offrent donc peu de transparence aux utilisateurs au sujet du devenir réel des données.

En outre, le nombre de programmes de chiffrement externes pour les données sur le Cloud augmente. Des programmes comme Cryptomator, CryptSync ou Boxcryptor visent à assurer une plus grande sécurité des données indépendamment du fournisseur de Cloud. Le marché des logiciels de chiffrement est devenu presque flou, mais le chiffrement externe rend l’utilisation d’un service de Cloud beaucoup plus sûr.

Pour les entreprises, la sécurité dans le Cloud est beaucoup plus complexe que pour les particuliers. L’emplacement du serveur et un concept de chiffrement efficace sont aussi importants, mais les entreprises sont de plus confrontées au défi de protéger l’accès au Cloud de nombreux employés et de gérer ces données de manière centralisée et efficace.

L’infrastructure informatique de l’entreprise est utilisée par divers salariés dont les identités doivent être authentifiées et dont les options d’accès dans le Cloud doivent être autorisées. Authentification et autorisation sont les termes clés utilisés dans le cadre d’un accès au Cloud bien protégé pour les entreprises. Nous présentons quelques solutions efficaces.

Une solution particulièrement courante pour l’utilisation sécurisée des services de Cloud est l’utilisation d’un Cloud Access Security Broker (CASB) ou, en français, une passerelle d’accès Cloud sécurisée. Un CASB est un logiciel conçu spécifiquement pour contrôler et protéger l’accès au Cloud. Cette nouvelle solution de sécurité Cloud est placée entre le service de Cloud et l’utilisateur du Cloud, et contrôle leur communication : c’est donc une passerelle de sécurité Cloud externe. Un CASB possède aussi de nombreuses autres fonctions : il sert d’outil de surveillance et de gestion dans le Cloud, il informe sur les processus irréguliers et détermine l’action à exécuter en cas de message de sécurité. Un CASB est un nouveau groupe de logiciels conçus spécifiquement pour les flux de travail en Cloud des entreprises.

Un CASB offre une vaste gamme de services pour assurer la sécurité dans le Cloud : il peut être utilisé pour contrôler l’authentification des utilisateurs, chiffrer le trafic de données, bloquer le trafic de données non désiré, identifier les logiciels malveillants, activer les alertes en cas d’actions suspectes ou bien intégrer des exigences d’accès supplémentaires. Cette dernière condition serait notamment qu’un CASB doit identifier et autoriser le dispositif par lequel un employé souhaite accéder au Cloud. Ces mesures de sécurité sont définies à l’avance et ensuite appliquées par le CASB. Beaucoup de CASB travaillent avec d’autres solutions de sécurité, comme celles pour le chiffrement, l’authentification multifactorielle, l’IAM (identity and Access Management ou gestion des identités et des accès : GIA) ou SIEM (Security information and Event Management).

Grâce à ces services, un CASB répond très largement aux exigences de sécurité actuelles des entreprises. L’institut d’étude Gatrner prédit que 85 % des entreprises sécuriseront leur accès au Cloud via un service CASB d’ici 2020. Il n’est donc pas surprenant que certains des jeunes services de CASB aient déjà été achetés par de grandes entreprises de l’informatique : le service Elastica, par exemple, a été acquis par Blue Coat Systems (qui fait partie de Symantec) et Adallom par Microsoft. Cela illustre bien le potentiel de cette industrie et montre l’actualité de la question de la sécurité des Cloud.

Les services de CASB tels que CensorNet, Bitglass, Netskope ou CipherCloud doivent être bien intégrés dans l’infrastructure existante de l’entreprise afin de fonctionner correctement. Cela signifie qu’ils doivent être connectés à la gestion des utilisateurs de l’entreprise et en même temps profondément intégrés dans les Clouds qu’ils sont censés protégés. De nombreux CASB prennent déjà en charge les services de Cloud comme Microsoft 365, OneDrive, Box, Google Apps ou Salesforce. Mais ils sont aussi capables de mettre en œuvre des services qu’ils ne connaissent pas.

Il existe différentes façons d’intégrer un CASB dans un réseau d’entreprise. Le logiciel CASB est soit basé sur le Cloud, soit exploité localement. Il est intégré dans l’infrastructure informatique de l’entreprise en tant que passerelle centrale ou en tant qu’application API. Ces deux variantes ont des avantages et des inconvénients : si le CASB est implémenté en tant que passerelle (Gateway), il est situé directement entre l’utilisateur et le service Cloud. Il est donc activé dans le flux de données et peut bloquer directement les actions indésirables. Cependant, l’un des inconvénients de cette variante est que la performance du Cloud peut être altérée à mesure que la charge de travail augmente. Si une entreprise comporte beaucoup d’employés, les solutions basées sur l’API sont appropriées. Dans ce cas, le CASB n’est pas en communication directe avec les utilisateurs du Cloud. Bien que le CASB ne puisse pas intervenir directement dans ces actions, il n’a aucun impact sur les performances du Cloud.

Les CASB sont des méta-solutions complexes pour la sécurité des Cloud, mais les différentes méthodes d’authentification sont leurs sous-composantes les plus importantes. Les solutions d’authentification prennent en charge le contrôle d’accès d’un service Cloud et contrôlent ainsi qui peut l’utiliser. Les entreprises sous-traitent fréquemment l’authentification à leurs propres services d’authentification (Identity Provider). Si un salarié veut utiliser un service informatique, il est d’abord redirigé vers un Identity Provider (fournisseur d’identité, IdP), où il doit s’identifier avec un mot de passe. L’identity provider ou la méthode d’authentification choisie est essentielle à l’utilisation sécurisée d’un service dans le Cloud.

Une méthode d'authentification est particulièrement sûre si elle ne fonctionne pas uniquement avec un seul mot de passe, mais utilise au moins un paramètre supplémentaire pour l'authentification. C'est ce qu'on appelle la double authentification ou l'authentification multifactorielle (ou authentification forte). Ces mesures sont considérées comme les plus importantes pour protéger l'accès au Cloud. Les méthodes d'authentification forte devraient être utilisées en particulier pour les applications critiques au niveau de la sécurité. Par exemple, il est recommandé pour une entreprise de faire authentifier plusieurs fois les tâches administratives au sein des services de Cloud. En plus de combiner plusieurs clés (mots de passe), il est également possible d'utiliser des mots de passe à usage unique ou d'intégrer des éléments dans le processus d'authentification (comme une clé USB par exemple).

La gestion des droits de Cloud fait référence non seulement à l’authentification des employés, mais aussi à l’autorisation des droits : aux privilèges des utilisateurs. Le mot « autorisation » désigne l’octroi de droits d’utilisation à l’intérieur d’un Cloud. Ces droits d’utilisation sont attribués individuellement à chaque employé dans l’environnement multi-utilisateurs d’une entreprise, généralement par un ou plusieurs administrateurs. Les autorisations règlementent qui peut modifier les paramètres, qui a accès aux sous-répertoires, qui est soumis à des temps d'accès limités ou qui a des droits de visualisation sans droits de modification des documents etc.

Pour utiliser les services de Cloud en toute sécurité, les entreprises doivent disposer de procédures d’autorisation dynamiques : les autorisations doivent être individuelles et à jour pour que chaque salarié ne puisse visualiser et traiter que les données qui sont absolument pertinentes pour son rôle dans l’entreprise (principe de moindre privilège). Les autorisations devraient donc être fondées sur les rôles et régulièrement vérifiées. Si un salarié quitte l’entreprise, toutes les autorisations doivent alors être retirées.

L’authentification détermine qui a accès au Cloud. Les autorisations, d’autre part, définissent les ressources que les personnes sont autorisées à utiliser ou consulter dans un Cloud. Il existe des protocoles ouverts pour les deux domaines de la sécurité dans les Clouds avec lesquels cela peut être mis en œuvre : OpenID est approprié à l’authentification décentralisée des utilisateurs, OAuth assure l’autorisation sécurisée des applications Web ou de bureau.

Pour assurer la sécurité informatique, les entreprises doivent protéger de manière adéquate non seulement les services individuels, mais aussi la structure environnante, c’est-à-dire le réseau de l’entreprise. Ceci est particulièrement important lorsqu’une entreprise travaille avec des services de Cloud. En effet, les mots de passe des employés peuvent être extorqués, et le vol de mots de passe reste le moyen le plus courant d’obtenir un accès non autorisé au Cloud.

Les grandes entreprises qui travaillent avec des réseaux plus complexes devraient externaliser les équipements de sécurité (Security Appliances), tels que les pare-feu ou la protection anti-virus, afin de protéger leur réseau interne. Par exemple, un pare-feu externe (appelé aussi pare-feu matériel) a l’avantage d’avoir été spécifiquement conçu pour contrôler la connexion entre deux réseaux et empêcher l’accès non autorisé au réseau.

La sécurité informatique et notamment dans le Cloud représente un défi et cela particulièrement pour les grandes entreprises qui ont des salariés dans des villes et pays différents. Si ces entreprises veulent convertir leur flux de travail en processus de travail basés sur le Cloud, elles doivent alors standardiser et centraliser les identités hétérogènes de leurs employés. Alors que les petites entreprises font souvent appel à des services de sécurité externes pour la gestion centralisée de l'identité, les grandes entreprises construisent généralement leur propre infrastructure. Généralement les plus jeunes entreprises font confiance au Cloud et cela dès le départ, les entreprises classiques doivent se restructurer. La mise en place d’une gestion centralisée et sécurisée des identités est une autre tâche importante pour garantir un accès au Cloud bien securisé.

Pour que la restructuration soit réussie et que les identités des salariés puissent être fusionnées de manière sécurisée dans une structure centrale, une « couche d’intégration » supplémentaire est nécessaire, qui est intégrée dans l’architecture du réseau. Elle regroupe les informations d’identité des salariés et permet l’administration centrale des données. Grâce à la mise en place d’une telle couche d’intégration, même les grandes entreprises peuvent accéder en toute sécurité à l’utilisation des services de Cloud.