La sécurité des services cloud
En France, l’ANSSI a noté en 2020 une augmentation de 255% des signalement d’attaques par rançongiciels qui ciblent notamment le secteur de la santé et les entreprises de service du numérique. Ces chiffres ne font état que de la partie émergée de l’iceberg. En effet, un rapport récent du Sénat fait froid dans le dos en ce qui concerne l’augmentation du risque et des coûts associés à une cyberattaque. En 2020, une entreprise sur deux aurait subi une cyberattaque, et le coût mondial atteindrait 6000 milliards de dollars par an à partir de 2021, deux fois et demi le PIB de la France…
Les entreprises sont, pour une part, réticentes à faire appel à des prestataires cloud car elle ne contrôlent pas totalement les accès réalisés par l’hébergeur ni par les utilisateurs. Plus de la moitié des entreprises considère comme sérieux le risque d’espionnage industriel, sans parler de leur responsabilité en cas de violation de données à caractère personnel.
Quelle confiance devez-vous avoir dans la cybersécurité d’un service numérique sur le cloud, et si vous êtes vous-même développeur de solutions, comment bien les concevoir dès le départ ? Dans la conception ou l’utilisation de tels services, il vaut mieux anticiper.
Découvrez les conseils Ventio pour améliorer la sécurité de vos services cloud, et tournez-vous vers un expert si vous pensez que votre entreprise est sur la ligne rouge.
Les bonnes pratiques en matière de sécurité informatique pour un service cloud doivent notamment couvrir les aspects ci-dessous.
Mettre en place une politique d’accès
- Évaluer la criticité des données traitées et le risque en cas de violation.
- Limiter les accès en fonction des besoins : les droits d’accès accordés doivent être spécifiques à chaque utilisateur, restreints au minimum et ne permettre l’accès qu’aux ressources nécessaires à l’activité ou au traitement courant.
- Journaliser les accès : il est important de garder une trace des différents accès ou tentatives d’accès aux ressources et données. Cela peut s’avérer très utile pour localiser la source de problèmes éventuels.
Mettre en place une procédure d’authentification
- Définir une procédure d’authentification afin de vérifier l’identité et le droit d’accès des personnes souhaitant accéder aux ressources.
- Renforcer les moyens d’authentifications (double facteur, authentification biométrique…)
- Limiter l’authentification (bannissement sur échec, limitation des tentatives …) afin de vous protéger d’éventuelles attaques en force.
- Utiliser des mots de passe et codes de déverrouillage forts et prévoir des échéances de renouvellement, surtout en cas de suspicion de compromission.
- Définir une politique de mot de passe ou d’authentification, regroupant les différentes mesures mises en place et en informer les collaborateurs.
Mettre en place des mesures assurant la confidentialité de vos données
- Mettre en place le chiffrement au repos de vos données lorsque c’est possible. Cela permet de restreindre l’accès par des tiers, y compris d’éventuels hébergeurs cloud.
- Mettre en place le chiffrement des communications (le protocole https pour les services web, et SSH pour les accès et communications réseau aux serveurs).
- En fonction de la criticité des données, évaluer la pertinence de chiffrer tout ou partie des serveurs distants.
- Ne pas stocker au même endroit les données chiffrées et les clés de déchiffrement.
Vérifier l’intégrité de vos données
- Utiliser des signatures électroniques (lors de l’installation de logiciels tiers par exemple)
- Créer et vérifier les sommes de contrôle (checksums) de vos fichiers.
- Mettre en place et garder à jour une traçabilité des accès et modifications des données.
Assurer la disponibilité de vos données
- Mettre en place une sauvegarde automatique et régulière des données sur un stockage distant isolé du réseau principal.
- Mettre en place un système d’archivage des données en fin de traitement, sur un volume autre que celui des autres sauvegardes.
Que ce soit dans l’utilisation ou dans le développement d’un service cloud, les questions de sécurité doivent être posées en amont pour ne pas avoir de mauvaise surprise après avoir réalisé des investissements importants. Dans la conception ou l’utilisation de tels services, mieux vaut prévenir que guérir, en particulier dans le traitement de données sensibles de santé.
Si vous avez pour projet d’utiliser ou de développer de tels services, vous pouvez nous contacter afin d’obtenir un accompagnement. Ventio est agréé au titre du crédit impôt innovation et peut vous orienter dans vos choix de conception et de service, tout en répondant à vos interrogations sur la sécurité qui entoure vos données.