DIGITAL SOLUTIONS
Cloud et entreprises : les risques sans garde rapprochée
Que se cache-t-il vraiment derrière le cloud ? Ses risques sont-ils connus et maitrisés ? Quels sont les moyens d’assurer la conformité avec le cadre réglementaire luxembourgeois et européen ?
May 30, 2016
Le cloud est considéré comme une tendance technologique. Au-delà des apparences le cloud permet d’accéder et de partager de l’information à tout moment et n’importe où, au bureau, en voyage ou à la maison. Le temps où il fallait installer un logiciel sur chaque ordinateur est dépassé. Les applications sont désormais disponibles en mode SaaS (« Software as a Service »), depuis son poste de travail ou à l’extérieur du moment que l’on est connecté à Internet. D’une manière générale, le cloud permet à chaque utilisateur de profiter d’une grande puissance de calcul et de stockage de données sans devoir, en apparence, se soucier de ce qui se cache derrière…
Par Vincent Villers, associé et Cybersecurity Leader chez PwC Luxembourg et Vivien Bilquez, manager chez PwC Luxembourg
Grâce à cette délocalisation en libre-service, les entreprises sont les premières à percevoir les intérêts économiques et pratiques : la technologie cloud fait disparaitre les problématiques de coûts liés à la gestion et à la maintenance d’un centre de données. De plus, les entreprises peuvent investir selon l’usage qu’elles déterminent, que ce soit un ensemble de serveurs ou plus modestement des applications dont elles ont besoin. Cependant la question du cloud fait naître des inquiétudes légitimes. Que se cache-t-il vraiment derrière le cloud ? Ses risques sont-ils connus et maitrisés ? Quels sont les moyens d’assurer la conformité avec le cadre réglementaire luxembourgeois et européen ?
Êtes-vous prêt pour le cloud ?
Selon la dernière enquête menée par Cloud Security Alliance (parue dans « Cloud Adoption Practices & Priorities Survey Report »), les principales préoccupations évoquées par les entreprises à propos de l’utilisation du cloud sont la sécurité des données, la perte de contrôle sur les services informatiques, la conformité réglementaire et plus pratiquement le manque d’expérience ou de retour d’expériences. Il est donc recommandé d’être accompagné, afin d’être certain de se poser les bonnes questions et de connaitre les risques que le Cloud fait pleuvoir.
Quatre catégories de risques se détachent
La première concerne celui sur la gouvernance et la contractualisation. Que se passe-t-il si le fournisseur de solutions cloud fait faillite ? Comment récupérer les données et comment changer de fournisseur si celui choisi utilisait des technologies propriétaires et non portables ni interopérables ? Et que faire avec la conformité si nous ne pouvons pas évaluer objectivement le prestataire de l’intérieur ou obtenir des certifications ?
Une autre catégorie concerne les risques techniques. Une des caractéristiques du cloud est de pouvoir fournir un même service pour plusieurs clients avec une infrastructure commune, bénéficiant des mêmes ressources. Un client peut-il s’introduire dans l’environnement d’un autre ? Les fournisseurs de solutions cloud possèdent de nombreux clients, augmentant considérablement leur vulnérabilité. Comment s’assurer qu’une attaque informatique sur l’infrastructure cloud, de type « Déni de Service distribué » par exemple, n’aura pas d’impact sur l’entreprise ? Par ailleurs, comment s’assurer des moyens d’authentification, d’autorisation et de traçabilité mis en place ?
La troisième catégorie regroupe les risques légaux, beaucoup moins connus mais tout aussi dangereux. Prenons l’exemple d’un utilisateur d’un service cloud faisant l’objet d’une assignation en justice : les données d’un autre utilisateur pourront également être saisies en impactant leur confidentialité et leur disponibilité. S’assurer des risques juridiques encourus pour des données stockées à de multiples endroits sans en avoir connaissance apparait également très prudent.
Enfin, la dernière catégorie de risques représente ceux encourus au quotidien et qui ne sont pas spécifiques au cloud. Comme par exemple les problèmes réseaux, les attaques de type « social engineering » ou bien encore les pertes ou les compromissions de fichiers de journalisation.
Les principaux risques liés au cloud ont été identifiés par l’ENISA (European Union Agency for Network and Information Security) et les contrôles peuvent être évalués grâce à un outil appelé Cloud Control Matrix. Ainsi, dans le cadre d’une migration de données vers le cloud, le traitement de ces risques peuvent être anticipés, en vérifiant notamment avec minutie les contrats de service avec les fournisseurs de solutions cloud. Mais que faire si le cloud est déjà utilisé en entreprise sans le savoir et que son usage n’est pas contrôlé ? C’est ce que l’on appelle le « Shadow IT ».
Le « Shadow IT » : un nouveau risque à évaluer
Le « Shadow IT » est le terme utilisé pour décrire les systèmes et solutions informatiques utilisées au sein d’une entreprise sans approbation ni contrôle de son service informatique. C’est le cas de l’utilisation des services de cloud public comme par exemple DropBox, Gmail ou Windows Live Messenger que les employés utilisent librement et sans l’accord de leurs CIOs. Bloquer les ports USB de matériels informatiques pour éviter la fuite de documents apparait être une faible solution s’il est aisé de transférer des documents vers un cloud public.
Les dernières conclusions de Gartner prévoient que d’ici 2020, près de 95% des problèmes de sécurité liés au cloud proviendront de l’utilisateur (que ce soit en entreprise ou dans le cadre privé). Toujours selon Gartner, les entreprises ont depuis longtemps évité les solutions de cloud public pour des raisons de sécurité. Mais la préoccupation principalement traitée devrait être celle portant sur les procédures internes couvrant les problèmes de conformité et les risques liés au « Shadow IT ».
Les équipements de sécurité actuels tels que les proxys, les firewalls ou les Web Application Firewalls ne permettent pas de couvrir ces risques. Il existe de nouvelles solutions techniques permettant de dévoiler l’usage du Shadow IT en entreprise, de le contrôler et de le contenir. Ce sont les CASB (prononcer KAS-bee) ou Cloud Access Security Brokers. En découvrant l’usage du cloud, ces outils permettent d’évaluer l’exposition d’une entreprise à de nouveaux risques et de créer des règles plus agiles en matière de contrôle. Il sera par exemple possible d’autoriser la fonctionnalité de téléchargement depuis un service cloud DropBox tout en interdisant un chargement de fichier.
Dans le même registre, il sera possible de contrôler l’utilisation d’Office 365 en détectant des comptes compromis, tout en contrôlant l’accès aux données et ainsi éviter la perte ou le vol de données au repos ou en transit. Ce dernier point peut prendre la forme d’un contrôle DLP (prévention de fuite de données) au niveau du poste client (vérification de la localisation ou du chiffrement du disque dur) voire du contenu d’un fichier envoyé. Enfin, il existe la possibilité d’utiliser certains connecteurs vers des cloud publics pour s’assurer du chiffrement ou de l’anonymisation (en anglais la tokenization) des données stockés. Il est d’ailleurs intéressant de noter que l’anonymisation gagne en popularité face au chiffrement. En effet, les données chiffrées utilisent souvent la même clé. Si cette dernière est compromise, toutes les données sont potentiellement impactées. À l’inverse, une anonymisation permet de masquer chaque donnée de manière différente en utilisant un référentiel local.
Les contraintes légales et réglementaires liées aux données
L’utilisation de solutions cloud nécessite une connaissance essentielle du type de données concernées. Pour celles à caractère personnel, la loi luxembourgeoise du 2 août 2002 et le règlement général sur la protection des données (GDPR), le nouveau texte de référence au niveau européen, font autorité en la matière. Par ailleurs, une récente norme ISO/CEI 27018:2014 spécifie les bonnes pratiques en matière de protection des données à caractère personnel concernant la technologie cloud. Pour les données professionnelles, tout dépendra des contraintes réglementaires de l’utilisateur. Pour les professionnels du secteur financier la Commission de Surveillance du Secteur Financier (CSSF) semble prête à engager des discussions avec les organismes régulés sur les questions relatives au cloud. Cela concernerait pour le moment les services de gestion de relation client, les ressources humaines ou la comptabilité. Actuellement, aucune communication officielle n’a été faite sur la migration vers le cloud des données relatives aux systèmes bancaires.
Qu’il s’agisse des risques liés à l’usage du cloud, des menaces relatives au « Shadow IT », ou de conformité avec la législation et les réglementations voire de définition d’une stratégie cloud, la bonne question à se poser demeure : votre intégration en nuage est-elle assez préparée ?