4 conseils pour améliorer la sécurité des données dans le cloud

La sécurité des données est un sujet phare du cloud computing. Encore faut-il l’aborder du bon côté et regarder les chances offertes aux gestionnaires de données d’entreprise pour améliorer la sécurité de leur Système d’Information. Pour ce billet, j’ai fait appel à Alban Ondrejeck, Responsable de la Sécurité des Clients Cloud chez Orange Cloud for Business.

La sécurité : pas qu’une affaire d’informatique

La sécurité des données occupe une place de plus en plus centrale dans les entreprises, au fur et à mesure que celles-ci se digitalisent. On a vu ces dernières années le caractère technique de la sécurité (chiffrement des données, installation de firewall, etc.) s’enrichir d’une approche plus humaine, centrée sur le suivi et le conseil.

« Les clients commencent à s’apercevoir que la technologie a ses limites », nous a expliqué Alban Ondrejeck. Il est nécessaire d’avoir une visibilité sur son dispositif de sécurité, une expertise, des conseils : « le besoin de ce que l’on appelle un Business Security Officer se fait ainsi ressentir ».

Cette personne, en quelque sorte RSSI (Responsable de la Sécurité des Systèmes d'Information) dédiée client, est garante de la sécurité du client sur la solution de Cloud retenue. Il est l’interlocuteur de sécurité unique du client au sein du prestataire de Cloud. Le but est de le rassurer en s’assurant de l’implémentation et de l’efficacité des mesures de sécurité, en remontant des indicateurs et en jouant un rôle de conseil sur ses axes stratégiques de sécurité.

Quelle est la valeur de vos données ?

La sécurité des données impose avant tout une réflexion sur leur valeur. L’investissement ne sera pas le même en fonction du niveau de criticité. Pour évaluer celui-ci, au moins 3 critères complémentaires entrent en jeu :

  1. la confidentialité : les ressources sont utilisées par des personnes autorisées, tout accès non autorisé doit être refusé ;
  2. l’intégrité : les données sont complètes, exactes et licites ;
  3. la disponibilité : le système d’information fonctionne correctement avec le moins d’interruptions possibles.

En fonction des objectifs de sécurité, il est possible de définir la valeur des données et le niveau de sécurité nécessaire. Par exemple, un site e-commerce requiert un faible niveau de confidentialité, mais sa disponibilité sera cruciale, en particulier en période de promotions. Ces entreprises de e-commerce ont peu d’attentes quant à la confidentialité des prix (ceux-ci étant publics), mais ont un fort besoin de disponibilité.

A l’inverse, certaines entreprises exigent une grande confidentialité des données, par exemple les banques. En revanche, La disponibilité peut-être, pour ce type de clients, moins prioritaire selon les services. Ici, la localisation de l’hébergeur, la législation en vigueur et la traçabilité des données seront des critères à prendre en compte au premier chef.

4 précautions indispensables pour assurer la sécurité des données

Pour s’assurer au maximum de la sécurité de ses données, 4 points sont à vérifier :

  1. La localisation et la disponibilité : il est indispensable, lorsque l’on confie des données à un tiers, de savoir où celles-ci sont stockées. En effet, les risques juridiques varient selon les pays, et les garanties sur la protection de données diffèrent dans et hors de l’Union Européenne (cf. l’interview de maître Iteanu). En outre, la localisation des données doit être suffisamment proche de l’endroit où elle sera traitée pour minimiser la latence due à l’éloignement dans le réseau en fonction des exigences du système d’information du client.
     
  2. Le lien entre client et fournisseur : la sécurité d’un système d’information est égale à celle de son maillon le plus faible.  Si la protection des liens télécoms, ou l’authentification à l’accès à ces données, n’est pas à la hauteur des exigences du client, tout le dispositif de sécurité est remis en cause. Le chiffrement d’un stockage perdra de son intérêt si le lien n’est pas également chiffré ou si l’accès aux données ne repose pas sur un système d’authentification robuste. De la même façon, si ce lien n’est pas doublé, le client peut être privé de ses données en cas de coupure. Il est donc de la responsabilité du client de savoir qui fournira le lien télécom.
     
  3. Valider la compétence de votre prestataire : il est nécessaire de vérifier des éléments comme la réputation du fournisseur, les normes et labels que celui-ci a obtenus, ou encore les publications de ses experts maison. La norme ISO 27001 valide le fait que l’entreprise a mis en œuvre les mesures nécessaires pour éviter la perte, le vol ou l’altération de ses données. L’ANSSI travaille actuellement à la création de labels, SecnumCloud essentiel et SecNumCloud avancé, qui sur la base d’un référentiel d’exigences certifient qu’une entreprise offre des garanties nécessaires dans la sécurité des données.
     
  4. La confiance : Il faut aussi exiger de son fournisseur des documents contractuels particuliers et investir dans des audits pour vérifier sa fiabilité. Certains organismes d’audit sont qualifiés par l’ANSSI afin de garantir compétence, déontologie et méthodologies.

En suivant ces conseils, vous exonérez la responsabilité de vos équipes en minimisant les risques de votre externalisation dans le cloud.

 

Pour aller plus loin

Protection des données : quand l'entreprise est l'unique responsable
Comment sécuriser un Cloud hybride en 4 étapes ?
Le cloud expliqué à votre DSI

Yann Gourvennec

Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre,  je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.