10 conseils de Bitdefender pour sécuriser votre cloud

Les entreprises rejoignent lentement cette tendance avec l'adoption du cloud hybride, mais Gartner estime qu'il faudra tout de même trois à cinq ans avant qu’il devienne majoritaire. Seulement 15% des entreprises l’ont adopté jusqu'à présent, même si la croissance de la demande pour ce type de cloud est de l’ordre de 27% par an, dépassant la croissance globale du marché IT.

Les entreprises qui ont déjà ou qui envisagent d'adopter un cloud hybride devraient envisager de mettre en place quelques pratiques de sécurité pour s’assurer que leurs données et celles de leurs clients soient protégées.

Découvrez ci-dessous quelques lignes directrices pour la protection de votre cloud hybride.

1. Évaluez vos données pour définir où elles doivent être situées : sur site ou dans le cloud. Gérez les risques

« En entreprise, on a besoin de comprendre la psychologie du risque plutôt que les mathématiques du risque. »– Paul Gibbons

Avant le choix de toute solution de cloud hybride, la première chose à faire pour l'entreprise est de réaliser une analyse du type de données qu'elle gère et de les évaluer en fonction de leur sensibilité – à la fois pour l’entreprise et ses clients. Les données critiques, personnelles et privées, relatives à la propriété intellectuelle doivent être stockées sur site, avec un accès limité et disponibles uniquement au personnel autorisé.

2. Faites en sorte que votre cloud reste privé

« Le Cloud Computing est un véritable défi pour la sécurité, mais qui peut être surmonté. » – Whitfield Diffie

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent s’assurer que leur infrastructure de cloud privé reste privée. En particulier, personne à l'extérieur du réseau local ne doit pouvoir être en mesure d'accéder à ces données et seules les personnes autorisées doivent être habilitées à les manipuler. Le cloud privé doit être complètement isolé de l'accès public à Internet pour empêcher les cybercriminels d'accéder à distance aux données suite à l’exploitation de failles de sécurité.

3. Respectez la jurisprudence et des lois concernant la manipulation et le stockage de données

« En droit, on n’est jamais sûr de rien, sauf du montant dépensé. »– Samuel Butler

Lors du choix d’un fournisseur de services de cloud, il est essentiel que son datacenter soit situé physiquement dans une région ou un pays dans lequel la législation sur le traitement et le stockage des données est favorable aux intérêts commerciaux de votre entreprise. Tous les datacenters, quelles que soient les données qu'ils stockent, doivent respecter les lois locales de protection des données et de protection du pays dans lequel ils se trouvent. Par conséquent, il est essentiel que toute entreprise qui envisage d'utiliser un fournisseur de services de cloud possédant des datacenters à l’extérieur de ses frontières se renseigne et respecte les lois de protection des données relatives à ce pays ou cette région. Dans le cas contraire, l'entreprise s’expose à des répercussions judiciaires avec de possibles dommages financiers, ce qui peut nuire à sa réputation.

4. Réalisez un audit préalable sur le fournisseur de services cloud et évaluez sa capacité à faire face aux risques

« Attendre le meilleur, prévoir le pire et se préparer à être surpris », Denis Waitley

Lorsque vous choisissez un fournisseur de service cloud, il est impératif qu’un audit préalable soit effectué afin d’évaluer à la fois la capacité de l'opérateur à répondre à votre besoin et sa capacité à rebondir en cas d'incidents techniques (pannes de courant, corruptions de données, pannes de matériel…) et ou de catastrophes naturelles (tremblements de terre, incendies…). Cela garantit la continuité de l'activité de votre entreprise, aide à préparer et à faire respecter les procédures d'urgence qui doivent être mises en place dès que de tels incidents se produisent.

5. Chiffrez les données au niveau local ET pendant leurs échanges

« On estime toujours que la sécurité est excessive, jusqu'à ce qu'elle ne suffise plus ».– Robbie Sinclair, Chef de la sécurité, Country Energy, NSW Australia

Tout transfert de données entre le client et le fournisseur de services cloud doit être chiffré pour éviter des attaques de type man-in-the-middle qui pourraient permettre d’intercepter et d’accéder aux données diffusées. De plus, toutes les données stockées localement ou dans le cloud doivent également être chiffrées pour faire en sorte que les cybercriminels ne puissent pas les lire, en cas de violation de données ou d'accès non autorisé.

6. Sauvegardez les données dans le cloud

«Les informations sont éternelles, les ordinateurs sont éphémères, la sauvegarde est notre salut. »– William R. Stanek

Pour garantir la continuité de leur activité, les entreprises doivent mettre en place des processus de sauvegarde et de récupération de données (de préférence à des emplacements physiques ou virtuels à distance, différents de ceux fournis par le fournisseur de services cloud), afin de minimiser les dommages causés par des erreurs ou des catastrophes naturelles.

7. Utilisez des systèmes d'authentification sécurisés et multiples

« L'authentification est quelque chose que vous utilisez, que vous connaissez et dans lequel vous êtes pleinement intégré lorsque vous y ajoutez de la biométrie. Je pense qu’aujourd’hui les utilisateurs les voient [les méthodes d'authentification] comme des éléments distincts. La technologie est là, mais l'idée non. » –Charles Kolodgy

Accéder à tout type de données, qu’elles soient stockées dans le cloud privé ou public, doit se faire par l'intermédiaire de plusieurs systèmes d'authentification. Ceux-ci doivent intégrer beaucoup plus d’éléments que les simples noms d'utilisateur et mots de passe traditionnels. Pour accéder à des informations critiques, des authentifications à deux facteurs ou biométriques peuvent être mises en place pour ajouter plus de processus de contrôle et d'autorisation pour le personnel qualifié.

8. Limitez le nombre d'employés pouvant accéder aux données sensibles

« Peu importe le niveau de sécurité d’une cible, c’est l'utilisateur qui constitue toujours le maillon le plus faible. »– Jim Guckin

Seul le personnel autorisé doit être en mesure d'accéder aux données critiques et sensibles, uniquement en adhérant à des protocoles de sécurité stricts et des systèmes d'authentification avancés.

9. Gérez les attaques DDoS

« On a vu des manifestations qui pouvaient complètement bloquer le trafic d’une ville, ce qui se passe en ligne n’est pas tellement différent. »– Howard Schmidt

Les attaques de type DDoS (par déni de service distribué) peuvent limiter voire perturber les services de cloud computing. En conséquence, les entreprises doivent mettre en œuvre des systèmes capables de gérer et traiter les attaques DDoS pour assurer la continuité des activités, même sous le feu de ces attaques. Une surveillance constante du trafic réseau pour identifier les anomalies et les incohérences est également considérée comme une bonne pratique.

10. Créez, définissez et mettez en place des procédures d'intervention de sécurité rapides

« Revoyez régulièrement votre plan de réponse aux incidents et mettez-le à jour fréquemment. »– Koen Van Impe

Les entreprises doivent définir un ensemble de procédures et de règles pour gérer les incidents de sécurité, auxquelles toutes les personnes concernées doivent obéir. Ces règles doivent couvrir les techniques et méthodes pour identifier, isoler et réparer les failles de sécurité. Après tout incident de sécurité, il est obligatoire d'évaluer l'impact que ce dernier a eu sur l'entreprise et son infrastructure, ainsi que d'appliquer les nouveaux mécanismes de sécurité nécessaires pour bloquer ces types de violations ou vulnérabilités à venir.