Comment renforcer votre sécurité dans le cloud ?

La plupart des entreprises utilisent aujourd’hui le cloud, souvent sans vraiment y penser. “C’est notamment le cas lorsque vous utilisez des applications comme Teams ou Google Drive”, explique Raf Peeters, Cloud & Security Lead chez Proximus. “Le cloud présente trois grands avantages. La flexibilité : vous utilisez exactement ce dont vous avez besoin. Le rapport coût-efficacité : vous payez uniquement ce que vous utilisez. Et la fonctionnalité : les fournisseurs de cloud offrent des possibilités que vous ne pourriez jamais réaliser dans votre propre centre de données. Je pense notamment aux applications d’intelligence artificielle qui nécessitent d’énormes puissances de calcul.”

Responsabilisation

Mais il y a un revers à la médaille. Le cloud exige de prêter davantage attention à la sécurité. Beaucoup d’idées fausses circulent encore, particulièrement en ce qui concerne le cloud public. “Un fournisseur de cloud est chargé de la sécurité de base de son service, mais il ne s’occupe pas de ce que vous y faites ensuite en tant que client”, explique Raf Peeters.

“C’est donc à vous de veiller à la protection de vos données dans le cloud public. Vous devez par exemple vous charger vous-même de la sauvegarde de vos données.” À défaut, vous êtes potentiellement une cible facile pour les cybercriminels.

Les entreprises privilégient pleinement la transformation digitale, ce qui élargit le terrain de jeu des cybercriminels.

Raf Peeters, Cloud & Security Lead chez Proximus

Penser que votre organisation est à l’abri au motif qu’elle ne serait pas intéressante pour les cybercriminels est une illusion. Tout comme il est illusoire de croire que vos collaborateurs savent désormais reconnaître un e-mail de phishing. Ce dernier point est d’ailleurs mis en exergue dans notre enquêteNouvelle fenêtre sur la cybersécurité dans les entreprises du Benelux.

“La cybercriminalité s’est largement professionnalisée et automatisée ces dernières années. Les attaques sont donc souvent très efficaces. Dans le même temps, nous constatons que les entreprises se tournent résolument vers la transformation digitale. Leurs collaborateurs ont par conséquent accès à un plus grand nombre d’applications et de données via le cloud. Cela élargit par la même occasion le terrain de jeu des criminels.”

Zero Trust

En réponse à ce phénomène, les entreprises adoptent de plus en plus souvent un principe très strict : aucune confiance. “Le principe du modèle Zero Trust est simple”, poursuit Raf Peeters. “Vous ne faites confiance à personne, sauf à celles et ceux à qui vous donnez explicitement accès à des applications ou données bien précises. Et cette confiance repose sur des mesures concrètes telles que l’authentification à deux facteurs qui nécessite non seulement l’introduction d’un identifiant et d’un mot de passe, mais aussi d’un deuxième code que vous recevez sur un autre appareil, par exemple votre smartphone.”

Cloud souverain

Les cybercriminels ne sont pas les seuls à tenter d’accéder aux données des entreprises. Les fournisseurs américains de services cloud sont soumis au Cloud Act, une loi qui les oblige à accorder au gouvernement américain l’accès aux données de leurs clients. “Cela ne vous convient pas ? Le cloud souverain offre une solution à ce problème”, selon Raf Peeters. “Vous profitez des avantages du cloud public et toutes les exigences en matière de sécurité des données sont respectées.” Concrètement, Proximus propose deux types de cloud souverain : Microsoft Encrypted Public Cloud et Google Disconnected Cloud.

Résilience

La sécurité exige cependant davantage qu’une série de mesures concrètes. Il est au moins aussi important d’instaurer une culture de sécurité. “Cette culture repose sur la résilience. La directive européenne NIS2 (Network & Information Security) vise à améliorer la cyberrésilience. En cas d’incident, une grande résilience vous permet de réagir rapidement et de manière appropriée, afin de limiter le dommage au maximum et de pouvoir reprendre vos activités au plus vite.”

Raf Peeters, Cloud & Security Lead chez Proximus

Afin d’accroître la résilience de votre organisation, misez sur la sensibilisation et la formation. “Vos collaborateurs doivent connaître les dangers potentiels et savoir comment y faire face. Préparez-vous correctement à un incident potentiel et élaborez des scénarios. En cas d’incident, vous pourrez ainsi éviter la panique et les pertes de temps inutiles, et mettre directement en œuvre votre plan de relance.” Après un incident, pensez aussi à documenter tout votre parcours, de la détection de l’incident à la reprise de vos activités, et à communiquer à ce sujet. “Partagez votre expérience afin que d’autres entreprises puissent également en tirer des leçons.”