Selon le baromètre Cesin OpinionWay datant de juin 2016, « 85% des entreprises françaises stockent [leurs]données dans un Cloud ». En entreprise, les services Cloud tendent à se démocratiser, tant cet outil est pratique et sécurisé : il permet de stocker, d’échanger et facilite le partage de données entre collaborateurs, même à distance. Selon une étude réalisée par CIO, 43% des entreprises françaises utilisent un Cloud privé contre 63% pour un Cloud public.
Le Cloud confère une plus grande valeur aux données : il permet de regrouper une quantité importante de données qui pourront servir à des traitements multiples. Ce recoupage disponible de fait aux personnes ayant accès au Cloud, pose des questions de droits d’accès. L’arrivée du règlement européen sur la protection des données (RGPD) nécessite de la part des directions des entreprises et de leurs prestataires une réflexion sur la façon dont sont protégées les données qu’ils hébergent dans le Cloud. Notons que selon les analystes du cabinet américain Saugatuck Technology, le modèle “On Premise” devrait dominer et atteindre 80% de part de marché contre 18% actuellement. Bien que plébiscité pour les économies réalisées, ce dernier présente de nombreux risques de sécurité comparé au Cloud.
Les services Cloud posent-ils un problème stratégique lié à la sécurité des données ?
L’étude « The Necessity Of Cloud-Delivered Integrated Security Platforms » révèle que même si la plupart des décideurs reconnaissent être responsables de la protection des données confidentielles de leur entreprise, 50% confient le reste des données à des prestataires de services Cloud. Cette approche comporte pourtant des risques : selon Forrester, la moitié des services Cloud n’est pas déployée par les services informatiques. De plus, 44% des services informatiques en entreprise ne contrôlent pas les données stockées dans le Cloud.
Le non-contrôle des informations partagées entre salariés peut mener à une perte des données sensibles et donc financière. Selon IBM, « les entreprises perdent 158 dollars par donnée compromise. Les violations de données dans les industries fortement réglementées étaient encore plus coûteuses, la santé atteignant 355 dollars par donnée – soit 100 dollars de plus qu’en 2013. […] Plus cela prend du temps de détecter et contenir une violation de données, plus sa résolution est coûteuse. Alors que les violations qui ont été identifiées en moins de 100 jours coûtent aux entreprises en moyenne 3,23 millions de dollars, les violations détectées après 100 jours coûtent 1 million de dollars de plus (4,38 millions de dollars). »
Comment garantir la sécurité de ses données dans le Cloud ?
Le Cloud étant vulnérable aux attaques, les entreprises souhaitant utiliser ce service doivent mettre en place des mesures permettant de contrôler l’accès et de protéger les données. La CNIL met néanmoins en garde les entreprises envisageant d’utiliser les services Cloud, car ces derniers restent flous sur leur sécurité et sur la protection des données. L’entreprise souhaitant souscrire à une offre de service Cloud doit impérativement réaliser une analyse de risques et s’assurer que le prestataire respecte ces obligations (loi informatique et libertés). La CNIL recommande à juste titre aux entreprises de suivre les principes suivants :
- Identifier les données, les traitements et services qui seront hébergés dans le Cloud
- Définir ses propres exigences de sécurité technique et juridique
- Établir une analyse des risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
- Identifier le type de service Cloud le plus pertinent selon l’utilisation envisagée
- Choisir un prestataire ayant des garanties suffisantes
Quelles sont les solutions concrètes
Dans l’une des lettres du Cloud, nous trouvons des éléments de réponse : « La protection des données dans le Cloud devrait également pouvoir être administrée de façon centrale au moyen de solutions dédiées regroupées sur une console unique. De telles solutions confèrent une visibilité accrue aux équipes de sécurité sur les conditions d’accès, d’usage et d’application des règles, afin de soulager grandement leurs responsabilités de maintien de la conformité. »
Pour aller plus loin, ESET propose des solutions de chiffrement ainsi que d’authentification forte. En dehors du moment où la donnée est utilisée, et donc déchiffrée, sa protection est assurée contre les accès non autorisés par son chiffrement. L’authentification forte permet d’être sûr que la personne qui se connecte au Cloud est bien celle qu’elle prétend être. On augmente aussi la perception que chaque utilisateur a de sa propre responsabilité vis-à-vis des données.
