Cloud computing et entreprise/Protection des données des entreprises
Introduction
modifierQuelle entreprise pourrait fonctionner sans ses données ? Contacts clients, suivi des commandes, des ventes ou des stocks, gestion de la production ou des services, R&D, e-commerce : la plupart des informations nécessaires à ces activités sont désormais stockées sous forme immatérielle, constituant l’un des actifs les plus précieux, mais aussi les plus sensibles de l’entreprise. Les risques mettant en jeu la pérennité et l’intégrité de ces données sont nombreux, aussi celles-ci sont généralement sauvegardées dans des datacenters. À ces menaces s’ajoutent pour l’entreprise les conséquences d’une indisponibilité pouvant aller jusqu’à entraîner une interruption majeure de service, faisant des centres de données un point névralgique dans les plans de continuité d’activité.
.
Conséquence d'une mauvaise protection
modifierUne mauvaise protection des données facilite l'accès à celles-ci et peut avoir des répercussions à plusieurs niveaux; dévalorisation de l'image de l'entreprise, perte de confiance fournisseurs et clients, arrêt de l'activité, amendes pécuniaires...
Quelques exemples:
Dans le secteur médical: Fuite de dossier médicaux.
Dans le secteur bancaire: Utilisation de coordonnées bancaire.
Dans le secteur de haute technologie: Espionnage industriel.
Dans le secteur artistique: Diffusion illégale de film et série sur internet.
Recommandation pour sécuriser les données
modifierRecommandation N°1
Déterminer les données qui pourront être dans les clouds et celles à protéger en priorité
- Les données à caractère personnel.
- Les données sensibles.
- Les données stratégiques pour l’entreprise (exemple : propriété intellectuelle)
- Les données utilisées dans les applications métiers (au quotidien dans le métier).
Certaines catégories de données peuvent être soumises à une réglementation spécifique. Par conséquent, il est important de vérifier si ces données peuvent être transférées dans le Cloud et sous quelles conditions. Exemple: « les données de santé ne peuvent être stockées que par un hébergeur de données de santé agréé par le Ministère de la santé ». Cette étape est importante pour la suite de la démarche car elle va permettre de choisir le Cloud adapté.
Critères pour déterminer les données à protéger en priorité | |
---|---|
distinction | rechercher les données les plus sensibles |
stockage | De quelle manière les stocker (sur les réseaux, périphérique.) |
conformité | L’entreprise doit être aux normes et respecter les différentes juridictions |
Accès | Accessible par qui, quand et comment? |
Recommandation n°2
Spécifier ses exigences de sécurité technique et juridique
L'utilisateur doit définir ses exigences et sélectionner les fournisseurs lui offrant des services correspondants au maximum à ses besoins.
L'un des problèmes majeures du cloud est d’ordre juridique. Le cadre juridique n’est pas le même partout. Des inégalités législatives existent et perdurent au sein des différents continents.
Europe: En Europe la législation est bien encadré. Une directive européenne sur la protection des données (95/46/EC) impose à tous les pays du continent des règles et des mesures communes de sécurité et de confidentialité des données.
Asie: Le cadre juridique est incomplet sur le plan de la protection des données personnelles. Cela frein l'essor et l’émergence du cloud.
Amérique du Nord: Malgré les différents accords Safe Harbor qui assure la protection des données venant des pays de l'union européenne, des incertitudes existent et subsistent quant à la confidentialité des données. Effectivement les autorités s'autorisent un droit de regard dans le cadre de la lutte anti-terroriste. Des dérives et abus peuvent donc survenir.
Recommandation n°3
Faire une analyse de risque
Des menaces internes ou externe peuvent surgir et ainsi détruire et déstabiliser le système de l’entreprise. Pour contrôler ces menaces celle-ci doit procéder a une analyse de risques. Cette analyse lui permettra de mettre en place des mesures préventives et correctrices de sécurité afin de fiabiliser le système.
Recommandation n°4
Choix du prestataire
Les clients de services de Cloud computing doivent choisir des prestataires garantissant la pérennité et la sécurité de leurs données tout en respectant leurs exigences en matière de sécurité et de leurs contraintes techniques. Exemple: politique de sécurité, confidentialité des données, taille du parc informatique, transfert de données à l'étranger.
Recommandation n°5
Impliquer tous les salariés de l'entreprise
Il faut impliquer tous les salariés de l’entreprise en les sensibilisant par des formations et des conférences. Plus particulièrement lorsqu’ils ont accès à des informations sensibles. Le personnel doit avoir conscience de ce qui est confidentiel, ainsi que des précautions à prendre dans les contacts extérieurs afin d’éviter toute divulgation accidentelle.
Cloud et sécurité
modifierProtection des périphériques
modifierAvec le cloud computing (ou infonuagique) l'utilisateur peut se connecter à distance via différent terminaux: (ordinateur portable, tablette, smartphone..)
Pour s’assurer que les données sont protégées dans un Cloud, il faut en amont sécuriser les supports qui permettent d’y accéder à savoir l’ordinateur et la connexion. Plusieurs options s’offrent à vous :
- Utiliser un antivirus : il détecte les logiciels malveillants et les neutralise. Il faut s’assurer que la date de validité de ce dernier ne soit jamais dépassée car un antivirus périmé ne protège plus des dangers présents sur internet.
- Utiliser un anti-malware : cet outil vient compléter l’antivirus. Il permet de bloquer des programmes malveillants qui n’ont pas été détectés par ce dernier.
- Utiliser un pare-feu : en cas d’intrusion d’un logiciel malveillant dans les systèmes informatiques, ce dernier permet d’éviter qu’il communique avec l'extérieur.
Pour renforcer la sécurité il convient de :
- Mettre à jours vos logiciels de protection,
- Ne pas cliquer sur des liens suspects ou sur des messages inhabituels,
- Ne pas télécharger des éléments provenant de sources incertaines
- Vérifier la notation des sites ou des liens grâce au « Web Of Trust (WOT) c’est-à-dire « l’internet de confiance » qui a pour but de signaler, grâce à des symboles de couleur, les sites douteux, dangereux ou frauduleux.
Protéger le contenu
modifierCertaines entreprises stockent différents fichiers dans un Cloud car elles sont séduites par l’idée de pouvoir y accéder à partir de n’importe quel appareil et ceux à n’importe quel moment. Il suffit d’avoir une connexion internet. Toutefois, il est préférable de ne pas divulguer tout et n’importe quoi sur un Cloud.
L'accès doit être protégé. Il y a plusieurs façons de le faire :
- Utiliser un mot de passe efficace : Il est important d’utiliser un mot de passe qui ne soit pas évident pour une tierce personne afin d’éviter de vous faire pirater vos données. Pour être bien protégé, il est recommandé de changer son mot de passe assez régulièrement.
- Le chiffrement ou "cryptage" : Grâce à un logiciel spécifique, un individu peut « crypter » ses propres documents. Ainsi, leur accès est limité dans la mesure où il faut la clé de déchiffrement pour pouvoir les lire. Par conséquent, la personne qui détient la clé est la seule à pouvoir avoir accès aux documents.
- Renforcement de blocage des proxies anonymes: Los d'une recherche sur le web, les administrateurs de serveur proxies peuvent accéder aux données.
- Définir une politique: En définissant une politique de sécurité, les employés ne pourront par exemple pas enregistrer de fichier sur des périphériques non identifiés et non cryptés, ou utiliser certain navigateur jugé dangereux par l'entreprise.
Par ailleurs, dans certains cas, les fichiers stockés peuvent être perdus et non récupérables. C’est pourquoi, il est vivement recommandé d’avoir une double sauvegarde (sur un disque physique par exemple) des données les plus sensibles au cas où cette situation se produit. Ainsi, la personne a toujours accès à ses données.
Politique de sécurité
modifierIl s'agit de trouver le bon équilibre entre d'un côté, contrôler et protéger efficacement les données personnelles et, de l'autre, répondre aux besoins des employés d'utiliser ces données dans le cadre de leur travail.
Quelques questions utiles avant d’élaborer une politique de sécurité:
-Quelles sont les réglementations en vigueur?
-Quelles sont les faiblesses actuelles du système?
-Quelles sont les données transférables (interne/externe) ?
-Par quels moyens les données sont-elles accessibles et par qui?
Dans l'élaboration d'une stratégie de sécurité, il est également important de tenir compte des différents statuts de données.
- Données en cours d'utilisation. Ce sont les données utilisées par les salariés au quotidien pour leur travail.
-Données au repos. Ce sont les données stockées sur différents supports (disque dur, serveur, tablette...)
-Données en mouvement. Ce sont les données qui circulent sur les réseaux.
Le plan de récupération de données en cas d’urgence, essentiel à la protection des données
modifierLa difficulté est de savoir où les données sont stockées, ce qui peut entraîner des problèmes de protection. Les données peuvent être en danger notamment lorsque le prestataire effectue la maintenance de ces serveurs (lors du téléchargement des dernières signatures des antivirus par exemple). Elles peuvent aussi l'être lors de coupures de courant, de surtension ou encore suites aux attaques malveillantes (hackers, virus).
Selon une étude de Kroll Ontrack menée auprès de professionnels de l’informatique, 62% utilisent un Cloud Computing alors que seulement un tiers d’entre eux ont préparé un plan de récupération de données comprenant des directives en cas d’urgence. Or, il s’agit du moyen de protection le plus sûr puisque les systèmes de sauvegarde ne sont jamais fiables à 100%. La récupération de données à partir du Cloud computing est souvent un succès et parfois, même plus que la récupération à partir de disques physiques. Il existe des spécialistes de la récupération de données dans le processus de planification d’urgence qui agissent rapidement. Il s’agit d’un processus très complexe puisque les données sont logées à des endroits différents et constamment transférées d’une couche de stockage à une autre afin de rendre l’accès rapide.
Trouver le spécialiste adéquat de la récupération de données
Le spécialiste doit pouvoir :
- Récupérer les données à partir d’environnements de Cloud computing, virtuels, SAN et RAID complexes
- Réparer et restaurer les données des fichiers endommagés (messages électroniques inclus)
- Avoir les outils nécessaires pour récupérer les données cryptées
- Restituer les données sous une forme cryptée après la récupération
Si le prestataire remplit toutes ces conditions, vous pouvez faire appel à lui. Il faut aussi mettre en place des systèmes de sauvegarde virtuels pour pallier au fait que la plupart des prestataires de Cloud Computing standards ne sont pas responsables en cas de fichiers perdus, détruits, supprimés ou endommagés (les contrats de niveau de service SLA sont la seule exception).
Analyser les risques pour choisir son type de sécurité
modifierL'inventaire des menaces et une analyse de risques sont préalables à tout projet informatique. Cela permet de mieux appréhender le contexte d'utilisation du système d'information mis en œuvre. Il est donc primordial de mener une analyse rigoureuse et complète des risques. Cela permettra de choisir la sécurité appropriée aux besoins de l’entreprise. L’analyse des risques peut faire appel à de nombreux moyens et s’avérer coûteuse. On identifie quatre catégories de risques:
- les risques spécifiques liés aux aspects organisationnels, techniques et juridiques du Cloud
- les autres risques qui ne sont pas spécifiques au Cloud mais qui se retrouvent dans tout projet informatique
Parmi ces catégories neuf principaux risques sont identifiés: la perte de maitrise/gouvernance, déficiences au niveau des interfaces, localisation des données, perte et destruction des données, malveillance dans l'utilisation, récupération des données, ségrégation et isolement des environnements et des données, localisation des données, maintien de la conformité.
Voici quelques pistes de réflexion utiles pour faire son choix :
Questions techniques
modifier- Le fournisseur est-il préparé en cas de coupures de courant ou de surtensions pouvant engendrer une perte ou une altération des données ?
- Quel type de stockage des données le fournisseur utilise-t-il (RAID redondant ou SAN par exemple) ?
- Les protocoles et le système de sauvegarde de votre fournisseur correspondent-ils à vos propres règlements internes de protection de données ?
Questions sur la sécurité des données
modifier- Quelles mesures le prestataire prend-il pour protéger vos données ?
- Le prestataire vous propose-t-il un plan de récupération de données avec un spécialiste ? Est-il en contact avec ce genre de spécialistes ?
- Quels sont les contrats de niveau de service s’appliquant à la récupération de données et la responsabilité en cas de perte par exemple ?
- Si vous résiliez votre contrat, sous quel format pouvez-vous récupérer vos données ?
- Le fournisseur vous garantit-il expressément la suppression des copies de vos données ?
- Êtes-vous le propriétaire légitime lorsque vos données sont stockées dans le cloud computing (ou infonuagique) ?
Questions juridiques
modifier- Comment le prestataire garantit-il sa conformité aux accords en matière de protection des données ?
- Pouvez-vous (ou votre spécialiste externe de la récupération de données) accéder aux données afin de les extraire ou de les sécuriser, en cas de litige ou d’enquête ?
- Où se trouvent les serveurs dans lesquels vos données sont stockées ?