Le cloud, à la différence d’une application internalisée, permet de déléguer une partie de la gestion de la sécurité à un tiers. Cette sécurité est réalisée avec des outils mis à disposition par l’hébergeur, les services sont mutualisés et les données sont hébergées dans un endroit plus ou moins connu. 94% des entreprises avaient déjà adopté le cloud en 2019, selon hostingpill.com. Mais avec quel niveau de sécurité pour nos données?
Les données dans le cloud : Avant tout un problème réglementaire
Les données personnelles européennes sont soumises depuis quelques année au RGPD et impose à celles-ci d’être hébergées en Europe. Or les principaux services cloud (GAFAM) sont américains et sont soumis au Cloud Act. Celui-ci permet aux autorités américaines de réquisitionner les données d’un clients à l’intérieur ou à l’extérieur des Etats-Unis si les données sont hébergées par une société d’origine américaine. Ce Cloud Act laisse donc la porte ouverte à l’espionnage. Afin de s’en prémunir, il est donc fortement conseillé de chiffrer les données personnelles dans le cloud et de garder les clés de chiffrement hors du cloud. Or, seulement 49% des données sensibles sont chiffrées dans le cloud, selon hostingpill.com
Une sécurité difficile à mettre en œuvre
Durant les 12 derniers mois, toutes les entreprises interrogées avaient subi au moins 1 incident de sécurité dans leur environnement cloud public selon Vectra AI. en Aout 2021. Cela montre bien que la sécurisation des environnements cloud laisse à désirer. De plus, 67% des sociétés sont préoccupées par une erreur ou une mauvaise pratique en matière de configuration des plateformes Cloud, selon le rapport 2021 Cloud Security publié par Fortinet. Cette préoccupation est confirmée par le MISC qui avait démontré que les composants sécurité étaient bien présents sur AWS, selon leur analyse dans un article d’Aout 2019, mais que leur compréhension et leur configuration étaient complexes à mettre en œuvre.
Sans qualification sur ces environnements en constante évolution et le recul nécessaire, nous pouvons considérer que le paramétrage sécurité sur ces ces plateformes cloud est lacunaire. Une mauvaise configuration pourraient pourrait être exploiter par une attaquant ou une personne malveillante pour accéder aux données disponibles dans le cloud. AWS tente tout de même de nous rassurer en mettant à disposition de nouveaux outils, comme le composant d’audit sécurité.
Avec peu de personnel qualifié
la migration d’une partie de l’infrastructure ou des données dans le cloud apporte de nouvelles contraintes sécurité et un partage de responsabilité entre le client et le prestataire pour leur sécurisation. Cette nouvelle organisation doit être accompagnée par des personnes compétentes. A l’heure actuelle, il existe quelques certifications reconnues qui permettent de valider cette expertise de sécurité dans le cloud, dont le CCSP. Or, pour nommer que celle-ci, seulement une centaine de personnes ont obtenu cette certification en France.
93% des organisations sont préoccupées par la sécurité dans le cloud en 2020 selon ISC², et ils ont bien raison de l’être!
