Cloud sécurisé : comment protéger vos données ?

 

Avec l’entrée dans l’ère du cloud, technologie basée sur la virtualisation de serveurs, les entreprises présentes sur le Web bénéficient de plus en plus de flexibilité, de possibilités d’économies, et souvent de simplicité d’utilisation. Le cloud devient incontournable, mais la question de la protection des données se pose dans ces environnements. Malheureusement, de nombreuses idées reçues sont encore véhiculées.

Cloud sécurisé : éviter les erreurs des idées reçues

Le premier élément à surveiller pour sécuriser son environnement de cloud, c’est la souveraineté des données, c’est-à-dire le lieu physique où elles sont stockées et l’entreprise qui les stocke. En effet, c’est ce lieu et l’implantation du siège de l’entreprise qui vont déterminer les règlementations et lois auxquelles ces données sont soumises. Il convient donc d’étudier les lois et normes des pays concernés, sans pour autant prendre peur à la moindre notion de Patriot Act par exemple.

À l’inverse, il est déconseillé de faire aveuglément confiance aux normes, comme ISO 27001, affichées par les prestataires. Ainsi, l’infrastructure AWS est certifiée PCI-DSS, mais cela ne signifie pas que toutes les entreprises hébergées sur AWS bénéficient par défaut de cette certification. Cela montre simplement qu’il est possible d’obtenir la certification sur un environnement AWS, puisque ce dernier est compliant. C’est pareil chez NBS System : l’environnement de cloud sécurisé CerberHost est PCI-DSS, mais seuls certains clients ont demandé à être certifiés et respectent les procédures imposées par la norme.

Enfin, une idée reçue fait de la résistance : c’est que les clouds publics sont moins sécurisés que les clouds privés. Cela est dû au fait que l’on imagine des serveurs partagés sur les clouds publics et des serveurs dédiés sur les clouds privés. Cependant, il est possible, et même conseillé, de créer un espace privé virtuel au sein même d’un cloud public pour pallier cette différence. Plus que « quel cloud choisir », la question est réellement « comment sécuriser mon environnement, quel que soit le cloud ».

Sécurité du cloud : adoptez les bonnes pratiques

Vos prestataires de cloud s’occupent donc de la sécurité de leurs infrastructures qu’ils mettent ensuite à votre disposition, et fournissent des outils pour assurer la protection de votre architecture (c’est-à-dire votre système, hébergé sur leur infrastructure), mais ne sont pas garants de la protection de vos données. Vous seuls (avec l’aide de votre infogérant ou d’un conseiller) êtes responsable de la sécurisation de vos serveurs. Cela nécessite de bien évaluer les risques, et de choisir les solutions adaptées pour se protéger.

La première étape, c’est de soigner son code source pour n’y laisser aucune vulnérabilité informatique. Avant la mise en production de votre environnement, réalisez un audit de code source ou des tests d’intrusion pour mettre en lumière d’éventuelles failles et les corriger avant qu’elles ne soient exploitées. Nos experts en sécurité conseillent de répéter ces tests tous les deux ans environ, afin de vérifier qu’aucune vulnérabilité n’a été oubliée ou exposée par une montée en version, un module supplémentaire, un nouveau développement…

Au-dessus de votre code source, il y a votre application web. WordPress, Magento, Drupal, Typo3… à vous de choisir celle qui correspond à vos besoins, sachant que certaines sont reconnues pour être plus sécurisées que d’autres. Dans tous les cas, des failles informatiques sont régulièrement publiées sur ces technologies : leur mise à jour régulière est nécessaire pour rester protégé et maintenir un environnement de cloud sécurisé.

Enfin vient votre architecture cloud. Comme nous l’avons dit, le type de cloud choisi importe peu, c’est la manière dont vous construisez votre plateforme qui va faire la différence. De nombreuses solutions existent pour contrer tout type d’attaques malveillantes : anti-DDoS, pare-feu applicatif, système de détection d’intrusion… Là encore, à vous de choisir selon les risques auxquels sont confrontés votre entreprise. Et surtout, chiffrez vos données !

Attention cependant : la multiplication d’outils de sécurité n’est pas une bonne pratique si vous ne les interfacez pas entre eux. La sécurité d’un environnement cloud se pense comme un ensemble, où l’articulation des parties donne de meilleurs résultats que leur simple addition. C’est d’ailleurs sur ce principe que notre équipe de sécurité a créé la solution de Cloud de haute sécurité CerberHost. Un autre point sur lequel porter son attention : vérifiez bien que les solutions choisies soient adaptées au fonctionnement du cloud !

Formation sécurité : une nécessité pour vos équipes

Enfin, veillez à ne pas oublier la dimension humaine, encore impliquée dans la majorité des vols ou pertes de données de grande ampleur. Contrairement aux idées reçues, il ne s’agit pas que d’actions malveillantes (ancien collaborateur cherchant une revanche, intérêts financiers…), ou d’employé tombant dans le piège d’un pirate, mais bien souvent de négligence ou d’erreurs humaines. Les intrusions ou pertes internes peuvent prendre plusieurs formes : entrée du mot de passe dans un train sans filtre de confidentialité, oubli d’une clé USB, vol d’équipement professionnel, utilisation personnelle d’un outil professionnel ou BYOD, transmission d’une donnée sensible par manque de connaissance de la criticité de cette dernière…

Des formations ou sessions de sensibilisation sur les bonnes pratiques de sécurité en entreprise permettront à vos équipes d’être mieux préparées et réduiront vos risques d’attaque par ingénierie sociale… Dans la même lignée, portez une attention particulière à la gestion des accès à votre Système d’Information, que ce soit en interne ou avec vos prestataires : la confiance n’exclut pas le contrôle. Limitez les accès vers vos plateforme au strict nécessaire, quitte à délivrer des autorisations complémentaires temporaires et ponctuelles.

Protection des données, le savoir-faire de NBS System

Chez NBS System, que ce soit sur notre cloud privé ou sur le cloud public AWS, vous bénéficiez d’une protection par défaut de vos serveurs (noyaux durcis, tête d’infrastructure sécurisée, protection anti-DDoS…). Nos équipes vous accompagnent dans la protection de vos données informatiques et applications web.

Nos experts sécurité informatique ont également développé une solution d’hébergement de haute sécurité, CerberHost. Testée et éprouvée par des professionnels, équipée de plusieurs couches de sécurité et d’un système qui lui permet de se mettre à jour en fonction des tentatives d’intrusions, CerberHost s’adresse aux entreprises avec un besoin important en matière de sécurité informatique.

Contactez-nous