Le Cloud et la cybersécurité : les conseils de notre expert

Publié le: 23 octobre 2019

Les entreprises et les institutions gouvernementales belges sont préoccupées par leur cybersécurité et par l'impact sur le Cloud. C'est ce qui ressort d’une enquête annuelle réalisée par Beltug, l'association des managers ICT. Ainsi, notre expert cyber security vous donne ses conseils. 


Beltug a interrogé plus de 1.750 membres sur les problèmes informatiques auxquels ils souhaitent s'attaquer au cours des douze prochains mois. La migration ou non de l’infrastructure dans le Cloud et la cyber-sécurité figurent en tête des priorités.

Ces dernières années, les applications et les infrastructures Cloud ont augmenté dans notre pays. Cependant, Beltug constate que de nombreuses entreprises ont des réserves sur une stratégie ‘cloud first’. Le coût de certaines applications internes serait moin élevé et l’infrastructure ICT devient souvent plus complexe.

Ainsi, notre consultant principal au iStorm Projects Cyber Security Competence Centre, répond à toutes vos questions sur la problématique du passage au Cloud.

1) Les Public Cloud sont-ils secure ?

Tous les Public Cloud providers respectent les standards de sécurité recommandés. La perte de données ou la coupure de service provoqués par une cyber attack ne vient jamais de l'infrastructure Cloud elle-même.

Les attaques se font sur les machines virtuelles déployées par un client sur le Public Cloud, soit via l'exploitation de vulnérabilités, soit via une mauvaise configuration (généralement dû à un non respect des recommandations ou par un manque de connaissance de celui qui les configurent).

La question n'est pas de savoir si un Public Cloud est secure, le plus important est de savoir si le déploiement de service dans le Cloud est correctement sécurisé.

2) Les Private Cloud sont-ils secure ?

Contrairement aux Public Cloud, les personnes qui construisent un Private Cloud ne sont pas obligées de suivre les standards de sécurité recommandés. Excepté pour certains secteurs (banques, ...).

Généralement quand une entreprise développe son Private Cloud, le temps et l'argent sont les aspects les plus importants et donc la sécurité passe en second plan.

La sécurisation d'un Private Cloud va dépendre de la volonté d'une entreprise à vouloir être secure ou pas. Ceci dépendra également des compétences des personnes qui mettront en place la sécurité de ce Private Cloud.

3) Où sont sauvegardées les données d'un client ?

Pour les Private Cloud, c'est très facile, les données se trouvent dans le Data Center du client. L'exfiltration de données vient généralement d'une cyber attaque ou du vol de données (intentionnel ou non) d'un employé.

Pour les Public Cloud, c'est l'utilisateur finale qui va décider dans quelle région du monde seront sauvées les données.

Il est évidemment important de savoir où se trouvent les données d'un client, cependant le plus important est de s'assurer que les données sont encryptées lorsqu'elles sont à un endroit X et quand elles voyagent d'un point X vers un point Y. Encore une fois, ceci va dépendre de la capacité du client finale à pouvoir sécuriser une infrastructure.

Risques

Je pense qu'il est très important de savoir pourquoi un client veut migrer des services vers un Cloud. Il ne faut pas vouloir aller vers le Cloud car c'est à la mode. Il n'existe pas de protection de sécurité parfaite. Il est nécessaire d'accepter un certain risque pour tirer parti des services dans les Public Cloud, mais il peut être dangereux de ne pas tenir compte de ces risques.

Lorsqu'elles élaborent une stratégie de migration vers le Cloud, les organisations doivent prendre des décisions calculées sur ce qu'elles feront et ne feront pas pour atténuer les risques en fonction du budget et du goût du risque.

Migrer vers le Cloud ?

Pour savoir si un client doit migrer un service vers le Cloud, il doit avant tout évaluer les avantages ainsi que les risques. On ne choisira de migrer vers le Cloud que si le risque est faible et l'avantage élevé.

Voici les domaines à prendre en compte pour calculer le risque :

  • Agilité : la capacité de l'entreprise à répondre à des besoins futurs imprévus
  • Disponibilité : Interruptions de service et perte de données
  • Sécurité : Confidentialité et contrôle des données
  • Fournisseur : Changements possible du business modèle du Cloud Provider
  • Conformité : Exigences réglementaires et autres exigences légales

Chez iStorm nous avons l'expertise pour accompagner les clients dans la sécurisation et dans la mise en conformité de leur Private/Public infrastructure.

Pour arriver à ce but nous proposons le déploiement de solution pour :
  • Vérifier si leur infrastructure est vulnérable
  • Réduire le périmètres d'attaque possible
  • Identifier qui et quel type de traffic est autorisé à transiter sur leur infrastructure
  • Empêcher l'exfiltration de données sensibles.
  • Mettre en place des solutions de monitoring pour détecter, prévenir et répondre aux cyber attacks