Sécurité des données dans le cloud computing: Entre opportunités et risques
L'avènement du numérique et son expansion croissante ont conduit à une transformation radicale, affectant tous les aspects de notre vie. Les technologies avancées ont ouvert de nouvelles voies d'innovation et de croissance, mais ont également introduit des défis complexes en matière de sécurité des données. Ainsi, la nécessité de garantir la sécurité des données est devenue une priorité absolue pour éviter les violations de la vie privée, le vol d'identité et le vol de données confidentielles. Cette transition a donc conduit à l'essor du cloud computing, une technologie avancée qui offre des opportunités et des avantages, mais également des risques. En raison de ces préoccupations, la protection des données dans le cloud, les menaces de sécurité, les pannes et les violations potentielles des données sur le cloud sont le sujet de nombreuses discussions. Mais qu’est-ce que le cloud computing ?
Le cloud computing
Le Cloud Computing est une nouvelle approche de l'informatique. Cette technologie permet de délivrer des services via Internet, tels que le stockage de données, la puissance de calcul, les logiciels, ou encore les outils d'analyse de données. Le cloud permet aux utilisateurs d'accéder aux mêmes fichiers et applications à partir de presque n'importe quel appareil, car les processus informatiques et le stockage se font sur des serveurs dans un datacenter et non en local sur la machine de l'utilisateur. C'est ce qui permet à un utilisateur dont le téléphone est défaillant de se connecter à son compte Instagram à partir d'un nouveau téléphone et de retrouver son compte actif, avec toutes ses photos, vidéos et l'historique de ses conversations.
Il en va de même avec les fournisseurs de messagerie cloud comme Gmail ou Microsoft Office 365, et les fournisseurs de stockage cloud comme Dropbox ou Google Drive. Il existe d'ailleurs de nombreux fournisseurs de services cloud, spécialisés dans le stockage de données, tels que Google Cloud Platform, Cyberspector Cloud, Amazon Web Services (AWS), etc.
Les avantages du cloud
L'adoption du cloud pour héberger ses données reste majoritairement une meilleure option. Le cloud est fiable à condition que le fournisseur de services adopte une stratégie de cybersécurité complète, résiliente, exceptionnellement conçue pour se protéger contre les risques et les menaces. De ce fait, il offre plusieurs avantages, notamment la facilité d'accès aux données et aux applications. Le Cloud Computing est devenu une technologie incontournable pour les entreprises, qu'elles soient petites, moyennes ou grandes. Pour ces dernières, le passage au cloud computing supprime certains coûts et frais informatiques, par exemple, les sociétés n'ont plus besoin de mettre à jour et d'entretenir leurs propres serveurs, c'est le fournisseur de cloud qui s'en charge.
Cet aspect a surtout un impact sur les petites entreprises qui ne peuvent pas toujours se permettre de disposer de leur propre infrastructure interne, mais qui peuvent externaliser leurs besoins en infrastructure à un coût abordable via le cloud. Le cloud peut également faciliter les opérations internationales des entreprises, car les employés et les clients peuvent accéder aux mêmes fichiers et applications à partir de n'importe quel emplacement. Plus de doute, le Cloud est incontournable dans le monde de l'entreprise. Ainsi, il fait désormais partie intégrante de la vie en ligne. Non seulement il facilite la communication et les activités numériques, mais il stimule également l'innovation au sein des organisations.
L’adoption du cloud en Afrique, particulièrement en Afrique francophone, est une réalité. Selon une étude de Ernst et Young Consulting intitulée : Cloud computing : où en est l’Afrique francophone ? , 75 % des entreprises interrogées déclarent l’utiliser et 67 % des entreprises sont satisfaites des bénéfices apportés par le cloud et considèrent qu’ils correspondent à leurs attentes.
Cependant, le premier défi auquel sont confrontées les entreprises dans l’adoption du cloud est en réalité un facteur externe : la réglementation. 75 % des répondants la citent parmi les principaux freins à l’adoption du cloud. Ce facteur est d’autant plus important que près de 40 % des entreprises considèrent que la réglementation est inexistante. Il est donc crucial pour les autorités de régulation de communiquer sur le sujet pour donner davantage de visibilité aux acteurs, en particulier aux entreprises publiques.
Ceci passe par une classification des données, une définition des niveaux de sensibilité, particulièrement pour les données à caractère souverain. Dans un article de Raphaël Nkolwoudou, Associate Counsel, Azaniaway Consulting, paru dans le journal « Les Afriques » et cité dans le rapport de l’Internationale Telecommunication Union intitulé : Cloud computing en Afrique: situation et perspectives, le Cloud Computing convient au continent africain. Ceci en raison de la concentration des infrastructures, de la mise à disposition des compétences informatiques et de la facilité d’implémentation.
Parmi les avantages spécifiques du Cloud Computing en Afrique, on peut notamment en citer deux, susceptibles de contribuer considérablement à la réduction de la fracture numérique :
- La possibilité d’accéder immédiatement aux innovations les plus récentes.
- La possibilité pour une organisation de se passer d’investissements lourds dans les infrastructures et, en particulier, dans des centres de calcul, eu égard à la qualité incertaine de l’alimentation électrique en Afrique.
Quels sont les risques de sécurité liés au cloud computing ?
Avec la croissance exponentielle du cloud, les risques potentiels en termes de stockage et d'hébergement des données ne sont bien entendus pas écarter.
Selon Bruno Labidoire, Expert en Cybersécurité chez McAfee, « le Cloud est une extension des infrastructures existantes des entreprises. Il doit donc répondre aux mêmes objectifs et règles de sécurité que pour l'information 'dans les murs'. La stratégie de sécurité déployée doit prendre en compte le fait que 92 % des entreprises voient certains de leurs identifiants Cloud dérobés et en vente sur le Dark Web. Et les vols de données peuvent coûter très cher aux entreprises, avec un coût moyen de 3,5 millions d'euros en moyenne. Les attaques sans précédent qui ont marqué l'année 2017 ne sont que quelques exemples. »
Les disques durs deviennent moins fiables que la vitesse de transfert des données, la synchronisation et le stockage à distance. Voici, entre autres, quelques risques liés au stockage des données dans le cloud :
Violations des données :
Les violations de données sur le cloud sont exécutées différemment de celles visant le matériel local. Alors que les attaques traditionnelles font un usage intensif de logiciels malveillants, les attaquants du cloud computing exploitent les mauvaises configurations, les contrôles d'accès, les identifiants volés et les vulnérabilités logicielles.
Configurations Mauvaises :
La principale vulnérabilité dans un environnement cloud provient de comptes et de logiciels mal configurés. Les mauvaises configurations peuvent entraîner des privilèges superflus sur les comptes, une journalisation insuffisante et d'autres failles de sécurité qui peuvent être facilement exploitées.
API non sécurisées :
Les utilisateurs finaux et les entreprises utilisent souvent les API (application programming interface ou « interface de programmation d'application ») pour connecter des services et transférer des données entre des entités, même s'il s'agit d'applications ou d'entreprises complètement différentes. Les API étant conçues pour extraire et transmettre des données, les modifications apportées aux politiques ou aux niveaux de privilèges peuvent accroître le risque d'accès non autorisé.
Menaces internes :
Les menaces internes désignent les comportements intentionnels ou non intentionnels des employés qui entraînent l'exposition ou le partage de données sensibles. Cela comprend le partage par erreur de fichiers contenant des renseignements confidentiels (comme les numéros de sécurité sociale des employés) avec un groupe non autorisé plus important et l'utilisation de contrôles de partage inappropriés.
Quelques bonnes pratiques pour se protéger des attaques
Peut-on garantir à 100 % la sécurité des données dans le cloud ? Une réponse positive n'est sans doute pas évidente, car aucun système, aussi solide qu'il puisse être conçu, n'est infaillible. Toutefois, des bonnes pratiques peuvent être adoptées pour se prémunir :
- Choisir un cloud de stockage chiffré de bout en bout : Le chiffrement de bout en bout (E2EE) assure une protection maximale de vos données, car elles sont chiffrées à tous les stades de leur traitement.
- Activer l'authentification à deux facteurs (2FA) : La 2FA ajoute une couche de sécurité supplémentaire à votre compte cloud en nécessitant une seconde forme d'identification lors de la connexion.
- Utiliser un mot de passe fort : Un mot de passe fort est votre première ligne de défense contre l'accès non autorisé à votre compte cloud.
- Se protéger contre les attaques de phishing : Soyez vigilant face aux e-mails suspects ou aux expéditeurs inconnus.
L'autre point le plus crucial reste la mise à jour régulière. Mettez vos logiciels à jour, car cela vous permet de bénéficier des dernières améliorations en matière de sécurité et de performance et de vous protéger contre d'éventuelles failles exploitées par des hackers.
Implications de la conformité réglementaire
Les lois relatives au cloud computing peuvent varier considérablement d'un pays à l'autre. Il n'existe pas de loi unique qui régit le cloud dans le monde entier. Cependant, il existe plusieurs principes et réglementations qui peuvent s'appliquer au cloud computing dans de nombreuses juridictions. Selon un expert en cybersécurité chez Cyberspector les réglementations telles que le RGPD en Europe et le HIPAA aux États-Unis ont des implications significatives sur la sécurité des données stockées et traitées dans le cloud. Elles visent à protéger la confidentialité et la sécurité des données personnelles et sensibles des individus, ainsi qu'à établir des normes élevées pour la gestion et la protection de ces données
Voici comment ces réglementations influencent la sécurité des données dans le cloud et comment les entreprises peuvent s'assurer de s'y conformer :
Protection des données personnelles : Les réglementations obligent les entreprises à mettre en place des mesures de sécurité strictes pour protéger les données personnelles des utilisateurs, y compris lorsqu'elles sont stockées et traitées dans le cloud.
Consentement informé : Les réglementations exigent que les entreprises obtiennent le consentement informé des individus avant de collecter, stocker ou traiter leurs données personnelles. Cela peut nécessiter des ajustements dans la façon dont les données sont gérées dans le cloud.
Droits des individus : Les réglementations accordent aux individus des droits sur leurs données, telles que le droit d'accès, le droit de rectification et le droit à l'effacement. Les entreprises doivent être en mesure de répondre à ces demandes, même si les données sont dans le cloud.
Notification en cas de violation de données : Les entreprises sont tenues de notifier les autorités compétentes et les individus en cas de violation de données. Une gestion efficace des données dans le cloud est essentielle pour détecter rapidement et gérer ces incidents.
En résumé, l'utilisation du cloud offre de nombreux avantages, mais elle comporte également des enjeux significatifs. Une planification délicate, une gestion appropriée et une attention constante à la sécurité et à la conformité sont essentielles pour tirer le meilleur parti du cloud tout en minimisant les risques. La sécurité de vos données dans le cloud ne relève pas uniquement de votre fournisseur, mais aussi de votre capacité à adopter de bonnes pratiques en matière de cybersécurité.
Sources:
Kaspersky; NinjaOne; Google cloud; L’usine nouvelle
Christelle HOUETO
Journaliste digital