Sécuriser les données cloud de son entreprise

Décembre 2016

Le cloud, ou cloud computing, offre de nouvelles possibilités de développement aux professionnels : mobilité, synchronisation et sauvegarde des données, coûts réduits...

Mais le déploiement d'un cloud, qu'il soit public ou privé, s'accompagne nécessairement de mesures de sécurité. Elles sont essentielles pour éviter tout risque lié à la perte ou au piratage de données sensibles.
Quels sont les enjeux pour l'entreprise ? Comment sécuriser les solutions de cloud ?


Le cloud computing, nouvelle donne pour l'entreprise

Le stockage et la synchronisation des données en ligne, ou cloud computing, consiste à héberger les données sur un serveur externe. Cette pratique permet de les rendre accessibles pour plusieurs utilisateurs, depuis leur ordinateur de bureau, leur ordinateur portable ou un support mobile (tablette, smartphone...).

Le cloud computing présente plusieurs avantages pour l'entreprise ou le professionnel :
Dématérialisation des données,
Accès facilité en ligne pour les salariés,
Sauvegarde et synchronisation en temps réel,
Partage de documents,
Accès aux documents de l'entreprise en situation de mobilité,
Réduction de coûts administratifs...

Le cloud computing peut faire appel à des solutions « cloud public », souvent peu coûteuses pour l'entreprise. Des solutions de type « cloud privé », c'est-à-dire créées sur mesure, peuvent également être mises en place.

Quels enjeux pour la sécurité des données ?

Dans le cas d'une solution publique comme pour le « cloud privé », il est nécessaire pour l'entreprise de mettre en place une sécurité renforcée. Des données stratégiques ou sensibles, ou des données nécessaires au bon fonctionnement au quotidien de l'entreprise sont susceptibles de transiter par le cloud.

Les risques d'une brèche dans la sécurité des données peuvent donc être nombreux :
- Perte des données dématérialisées,
- Utilisation par un tiers de données sensibles,
- Utilisation par un concurrent des données de l'entreprises,
- Perte de confiance de clients de l'entreprise,
- Perte des droits d'accès aux données...

Comment sécuriser les accès cloud de l'entreprise

Sécuriser un cloud public

Le cloud public est un service proposé par un fournisseur tiers, accessible aux particuliers comme aux professionnels. Google Drive, Dropbox ou encore iCloud par exemple proposent ce type de service.

Les données sont accessibles au créateur du compte, et aux autres utilisateurs avec qui il a choisi de les partager. Le maintien et la sécurisation des données hébergées sont de la responsabilité du fournisseur du service. Néanmoins, au contraire du cloud privé séparé du réseau public, le cloud public utilise l'Internet public. Cela peut présenter une faille.

Plusieurs points permettent de mieux sécuriser l'usage du cloud public en entreprise :
  • Opter pour une solution qui offre de bonnes garanties de sécurité et de confidentialité (chiffrement des données, détection des intrusions, pare-feux...),
  • S'assurer que l'accès puisse être supprimé à distance pour un utilisateur ou un support,
  • Vérifier les paramètres de partage et de suppression des données pour tout utilisateur,
  • S'assurer de la fiabilité de la solution choisie et des assurances de restitution des données en cas de fin de service,
  • Mise en place de bonnes pratiques pour réduire le risque humain (accès laissé par erreur à d'autres utilisateurs, mot de passe non sécurisé, suppression des données suite à une mauvaise manipulation....).

Sécuriser un cloud privé

Le cloud privé consiste en un réseau informatique propriétaire (c'est-à-dire interne à l'entreprise) ou un centre de données fournissant un hébergement pour un nombre restreint d'utilisateurs. On parle dans ce deuxième cas de cloud privatif.

Lorsque le budget de l'entreprise le permet, cette solution est plébiscitée par les décideurs informatiques : elle offre notamment de meilleures garanties de sécurité (chiffrement des données, pas de partage des ressources, accès extérieur très limité).

Le déploiement d'un cloud privé passe par plusieurs étapes :
Vérification des processus de sécurité proposés par le prestataire (cloud privatif) ou le service informatique (cloud interne) en cas de brèche de sécurité,
Mise en place d'une protection chiffrée des données,
Mesure de la confiance accordée au prestataire du service (cloud privatif),
Vérification des conditions proposées par le prestataire : localisation géographique des serveurs, conditions de restitution et de non conservation des données, clause de non-concurrence...

Comme pour le cloud public, la mise en place de ce type de solution nécessite l'observation de bonnes pratiques : le facteur humain peut souvent être source de brèche !

Ces bonnes pratiques passent par la limitation des risques de suppression des données par un utilisateur, l'automatisation des sauvegardes des données, la surveillance et la limitation des accès aux supports (ordinateurs, smartphones ou tablettes) qui ne sont pas agréés par le service informatique de l'entreprise et s'assurer de leur sécurisation (voir ci-dessous).

Comment intégrer l'usage des terminaux mobiles en toute sécurité

L'usage des terminaux mobiles des salariés en entreprise, et leur accès au cloud, suppose la mise en place d'une sécurité renforcée.

Les risques pour l'entreprise sont sensiblement les mêmes que pour tout accès au cloud : perte de données, piratage d'informations sensibles, accès à des données sensibles après la perte ou le vol d'un terminal mobile...

Une meilleure sécurité peut passer par l'adoption de bonnes pratiques recommandées aux salariés.
La perte de données est bien sûr l'un des principaux risques auxquels s'exposent les professionnels mobiles utilisant leurs smartphones personnels (ex : BlackBerry, iPhone, Android) au travail.
  • Demander aux salariés de protéger leur terminal mobile par mot de passe, afin de limiter l'accès en cas de perte ou de vol,
  • Recommander des systèmes de verrouillage à distance, afin d'agir rapidement en cas de vol. Ces applications peuvent également aider à géolocaliser un appareil mobile, ou d'en effacer les données,
  • Mettre en place une synchronisation automatique des données de l'appareil vers le cloud, pour sauvegarder toute mise à jour de données importantes,
  • Conseiller aux salariés de ne pas télécharger des applications inconnues et de se connecter en mode sécurisé sur les points d'accès wifi, afin d'éviter toute intrusion.

Pour aller plus loin

Les solutions cloud : accéder à ses données partout
Comprendre le cloud privé dans l'entreprise
Les enjeux du BYOD : les terminaux mobiles personnels dans l'entreprise

Image © Fotolia.com

A voir également :

Ce document intitulé «  Sécuriser les données cloud de son entreprise  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.