L’utilisation du Cloud computing par les entreprises ne cesse de croître. Que ce soit pour leurs infrastructures ou leurs applications, toutes les entreprises, quelle que soit leur taille, ont aujourd’hui recours à des services Cloud publics, privés ou Cloud hybride. 

Évolutif et facile d’utilisation, le Cloud leur permet d’accéder en ligne à des données et des applications depuis n’importe où et sur tout type de support. Mais confier son informatique à un prestataire Cloud et l’ouvrir aux utilisateurs, partenaires, et clients n’est pas sans risque pour la sécurité informatique de l’entreprise. 

Selon une étude de PwC de 2024, les cyberattaques liées aux Cloud constituent la première menace pour les entreprises. Par ailleurs, 45% des entreprises françaises ne sont pas préparées pour faire face à ce type d’attaques. 

Dans un tel contexte et face à la multiplication et sophistication des actes cybercriminels, quelques bonnes pratiques s’imposent pour la sécurité des données dans le Cloud. 

Si tous les opérateurs de services Cloud affichent les plus hautes certifications en matière de cybersécurité, et que leurs datacenters disposent de systèmes de protection physique de pointe, les responsables sécurité et consultants cyber se sont toujours montrés extrêmement prudents vis-à-vis de ces annonces. 

En outre, l’existence de réglementations extraterritoriales dans certains pays, comme les Patriot Act et Cloud Act américains, pose une réelle question quant à la confidentialité des données stockées chez des acteurs qui sont soumis à ces réglementations.

Le proverbe « prudence est mère de sûreté » s’applique particulièrement bien au monde cyber. 

Le scandale PRISM qui a éclaté en 2013 l’a clairement démontré. Le Washington Post révélait que la NSA avait placé des moyens d’écoutes chez 9 des plus gros acteurs d’Internet de l’époque… La conclusion d’une telle affaire est simple : toute donnée envoyée et stockée chez un acteur du Cloud doit être protégée tant vis-à-vis des accès externes que du personnel interne et des serveurs du prestataire. 

Il faut appliquer le principe fondamental de la cybersécurité moderne, soit ne faire confiance à rien ni personne et adopter le « Zéro Trust ».

Protéger les serveurs de fichiers et les bases de données derrière un WAF (Web Application Firewall) permet d’analyser le trafic entrant et sortant en temps réel et de bloquer les requêtes malveillantes avant qu’elles n’atteignent l’application. Ces WAF peuvent être installés sur le réseau, intégrés à l’application web ou encore intégrés et gérés dans le cloud par le fournisseur.

Autre solution : le CASB ou Cloud Access Security Broker. Intermédiaire de sécurité entre les utilisateurs et les fournisseurs des services cloud, le CASB permet de : 

Troisième protection : le PAM ou Privileged Access Management.  Cette solution fait un focus sur les données critiques en permettant de surveiller, contrôler et sécuriser en temps réel tous les accès aux comptes privilégiés des organisations. 

Bien qu’indispensables, toutes ces mesures sont toutefois insuffisantes pour assurer une sécurité maximale des données stockées dans le Cloud.  

Et pour cause : rien n’empêche de lire la donnée. En effet, tout administrateur d’un fournisseur Cloud mal intentionné peut lire les disques où sont stockées les données des entreprises et en extraire les informations critiques. 

Même risque avec un cybercriminel ayant extorqué les comptes administrateurs d’un fournisseur Cloud. 

Pour exemple : en mai 2022, des pirates du groupe Lapsus$ ont démontré, captures d’écran à l’appui, qu’ils avaient réussi à s’emparer des identifiants des comptes administrateurs de l’éditeur Okta. Grâce à cette usurpation et à la réinitialisation des mots de passe des clients de l’éditeur, ils pouvaient alors s’emparer des comptes utilisateurs de tous les clients d’Okta et tenter ainsi de leur réclamer une rançon. Heureusement, seul un faible nombre de clients a été visé.

Le chiffrement est indispensable pour protéger les données dans le Cloud. Dès lors que la donnée est chiffrée de bout en bout (End-to-End Data Encryption ou E2EE), c’est-à-dire du serveur à l’utilisateur qui la consulte et vice versa, aucun administrateur malveillant ou pirate accédant à la donnée protégée, ne peut l’exploiter. 

De même, toutes les données stockées doivent être chiffrées. Ce chiffrement assure la protection de la donnée même si le pirate s’introduit physiquement dans le datacenter pour démonter le disque et l’analyser. Il est donc conseillé d’appliquer cette technique de chiffrement de type « on-rest » tant sur les fichiers que sur les bases de données.

Enfin, pour les données les plus critiques, il est possible de maintenir les données chiffrées jusqu’à l’intérieur même du microprocesseur. Les puces AMD et Intel les plus sophistiquées disposent d’enclaves ultra sécurisées dédiées à cet usage. Cette nouvelle approche fait partie de ce que l’on appelle l’informatique confidentielle (Confidential Computing), une discipline qui englobe aussi les algorithmes homomorphiques qui permettent de traiter les données sans devoir les déchiffrer, ou encore les plateformes de calcul multipartite sécurisées (Secure Multiparty Computing). 

L’informatique confidentielle devient une composante essentielle à la sécurité des données critiques des entreprises. C’est pourquoi, à l’instar des géants de l’internet (AWS, Google, Microsoft ou IBM), de nombreux fournisseurs Cloud adoptent aujourd’hui le chiffrement des données tout au long de leurs cycles de vie dans le Cloud. 

S’il est acquis que sur le cloud le chiffrement est obligatoire, il est important d’être vigilant sur le lieu de stockage des clés de chiffrement. En effet, faire le choix de la solution du fournisseur Cloud expose l’entreprise au risque de voir ses clés utilisées par un administrateur interne malveillant. 

La clé d’accès aux données chiffrées doit donc rester dans les mains de l’utilisateur et être inaccessible aux administrateurs de l’hébergeur. Dans ce cadre l’entreprise peut protéger ses clés selon deux modes : soit disposer d’une solution de type HSM (Hardware Security Module) chez leur fournisseur Cloud, soit héberger une solution HSM au sein même de l’organisation. Dans les deux cas, la solution repose sur une enceinte matérielle blindée abritant la puce où l’entreprise stocke ses clés. Dans le cas où cette solution est hébergée dans l’entreprise, le prestataire doit s’interfacer avec l’équipement pour effectuer le chiffrement sur ses propres serveurs. Il lui est alors impossible d’accéder aux données sans que l’entreprise ne le sache.

Si traiter et stocker des données dans le Cloud présente de nombreux avantages pour les entreprises, ces dispositifs augmentent considérablement les risques d’exposition aux cyberattaques. Pour s’en prémunir, il existe toute une panoplie de solutions techniques. Mais au-delà de ces solutions de détection et de blocage, rendre l’information illisible via le chiffrement des données de bout-en-bout, permanent et au sein même des microprocesseurs est la meilleure des parades.  Pratiquer le « Zéro Trust » vis-à-vis de son prestataire Cloud et opter pour un fournisseur certifié SecNumCloud de l’ANSSI augmentent aussi considérablement le niveau de sécurité.