Gartner prévoyait fin 2022 une augmentation de 20% des dépenses mondiales dans le cloud public pour cette année 2023. Une croissance qui interroge, lorsque de plus en plus de voix remettent en cause publiquement la philosophie du “tout cloud”. Car, oui, les sujets de gouvernance des données, de conformité et plus généralement de sécurité des données soulèvent toujours autant d’interrogations face à des cyber risques croissants. Des risques entre chimère et réalité ?
Une étude de 451 Research, datée de fin 2022, avançait même le chiffre de 54% des répondants qui auraient retiré leurs données du cloud public dans l’année écoulée. Mais ces risques sont-ils fondés ? Faut-il envisager de repasser au modèle traditionnel de l’on premise ? Une sécurisation plus efficace du cloud peut-elle être la clé ? Explications et réponses.
Les dangers du cloud
Qu’il soit question d’infrastructure, de logiciel ou encore de plateforme, le monde du as-a-service est devenu incontournable pour de nombreuses entreprises et institutions. Ses avantages sont indéniables tels que la flexibilité, la scalabilité, la haute disponibilité, l’accessibilité des données ou encore le paiement à la consommation. Mais lorsqu'il est question de cloud, se mélangent les notions de cloud public et de cloud privé, mais aussi de SaaS (Software-as-a-Service), d'IaaS (Infrastructure-as-a-Service) et de PaaS (Platform-as-a-Service). Autant de clouds différents en matière d’économie mais aussi de risques.
Malgré ce caractère incontournable, les préoccupations autour de la sécurité des données dans le cloud se font davantage entendre. Une certaine sensation de perte de contrôle associe cloud et fragilité des données. D’un côté, certaines inquiétudes concernent la confidentialité des données stockées via des plateformes américaines, suite à l’adoption du Cloud Act par les États-Unis en 2018. De l’autre, les risques d’erreurs humaines font peur, puisqu’une mauvaise configuration des paramètres de sécurité peut occasionner une fuite massive de données.
Deuxième crainte répandue : les coûts cachés du cloud. Souvent présenté comme une solution moins coûteuse que les infrastructures informatiques on premise, le cloud connaît une réalité plus nuancée. Lors d’un événement, le PDG de Computacenter, Mike Norris, avançait une position tranchée : « le contrôle des coûts est le plus grand défi (avec le modèle) du cloud computing parce que ce n'est pas un logiciel en tant que service, c'est un logiciel en tant qu'otage ». Plusieurs raisons à un dépassement de budget : augmentation du prix du stockage, frais d’exploitation et de suppression des données plus élevés ou encore les frais de sortie récemment épinglés par l'Autorité de la concurrence en France… En parallèle, la crise du prix de l’énergie ont également permis de (r)ouvrir les yeux sur la consommation énergétique d’un datacenter.
Dernière crainte derrière l’utilisation du cloud : la vulnérabilité des données qui y sont stockées, cibles de choix pour les cyber-criminels. Car pour atteindre ces données, les cyber-criminels peuvent attaquer différents éléments du cloud, que ce soient les services informatiques, les services de stockage ou encore les applications. En 2021, une étude annonçait par exemple que 90% des buckets S3 de la plateforme Amazon Web Services étaient vulnérables aux ransomwares. La même année, Cognite, Facebook ou encore Kaseya étaient toutes victimes de cyberattaques sur des bases de données cloud. En décembre 2022, Rackspace Technology, l’un des plus grands fournisseurs d’hébergement cloud aux USA, subissait également une cyberattaque entraînant des pannes de son service hébergé Microsoft Exchange. Ces quelques exemples d’attaques (parmi tant d’autres) participent au sentiment d’insécurité que les entreprises ont vis-à-vis du cloud. Car même des solutions de cybersécurité se font attaquer dans le cloud – les moteurs de recherche regorgent par exemple d’articles sur les attaques contre l’entreprise LastPass et ses services de stockage sécurisé de mots de passe. Car même si la cybersécurité n’est pas un frein pour l’adoption du cloud, elle reste une préoccupation majeure pour 95% des entreprises, selon l’étude d’un autre éditeur.
Et la situation est même encore plus complexe, car en plus de les attaquer, les cyber-criminels utilisent les environnements clouds pour certaines de leurs attaques. En effet, les malwares sont de plus en plus diffusés via des services clouds : dans sa dernière étude Cloud and Threat Report, l’éditeur Netskope relevait que les applications cloud diffusant des malwares auraient… triplé en 2022.
Faut-il sortir du cloud ?
La remise en question du cloud se pose depuis plusieurs années. Une action publique pour certaines entreprises : parmi elles, France Télévisions Publicité a rebasculé ses sauvegardes cloud sur des infrastructures on-premise dès 2020. Plus récemment, début 2023, 37signals, éditeur des plateformes collaboratives Hey et Basecamp, a annoncé une économie de 7 millions de dollars en se retirant du cloud d’Amazon.
Mais sortir du cloud n'est pas une décision qui se prend à la légère et implique d’effectuer préalablement une étude d'impact. Car les questions à se poser et les ressources nécessaires sont toutes les deux à anticiper. Migration de l’infrastructure, migration des données et des utilisateurs, adaptation des règles de sécurité, accompagnement aux changements… autant de problématiques qui peuvent bloquer les entreprises dans leur souhait de partir du cloud. En externalisant les ressources au travers du cloud computing, les entreprises se sont coupées des compétences humaines et matérielles que l’on-premise requiert. Un investissement autant sur le plan matériel qu’humain serait donc à prévoir. Pour autant, sortir du cloud ne signifie pas nécessairement un retour exclusif aux infrastructures on-premise. Des solutions intermédiaires existent avec la location d’espaces (housing de baie ou d’une salle entière) dans des datacenters privés ou via la souscription à un contrat d’infogérance auprès d’un prestataire. Ces deux solutions permettent à l’entreprise de s’appuyer sur des infrastructures existantes (peering, sécurité des locaux, infrastructure électrique, climatisation) et de certifications de redondance (Tier I - II - III - IV) dans le but d’éviter des investissements colossaux.
Conjuguer cloud et cybersécurité
Reste une autre optique : conjuguer cloud et cybersécurité. Une approche d’autant plus importante que la sécurité du cloud est souvent en réalité la sécurité des clouds. Les briques de sécurité propres aux différentes market places doivent ainsi être renforcées ou remplacées par les capacités des pure-players de cybersécurité (segmentation interne, filtrage entre les différentes ressources, systèmes de détection d’intrusion, outils de gestion des identités et des accès, liens VPN de confiance…). Dans cette optique d'un multi-cloud, le choix d’une marque de firewall pure-player à déployer dans chaque cloud prend tout son sens en matière d'expertise, de visibilité et de gestion, en comparaison à l'administration des différentes configurations de chacun des firewalls natifs de chaque cloud.
Et comment faire son choix dans les différentes plateformes cloud ? Autrement dit : comment faire appel à un cloud sécurisé ? Pour tenter de répondre à cette question, le référentiel français SecNumCloud permet la qualification de prestataires de services cloud. « Afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques, l’identification des services cloud de confiance est indispensable », précisait à l'époque Guillaume Poupard, ex-directeur général de l’ANSSI. Un label qui vient attester de la confiance de l’État français, en répondant à des exigences cyber fortes établies par l’ANSSI. Conformité au plus haut niveau de sécurité pour la protection des données, convention de service précise ou encore localisation des données garantie : les clouds qualifiés sont ainsi plus protecteurs face aux lois extra-européennes.
Mais tout ceci ne doit pas faire oublier l’importance de sécuriser ses échanges dans le cloud. Car les cyber-criminels tenteront surtout d’exploiter une faille sur une instance client pour tenter ensuite de pénétrer le système global, plutôt que de s’y attaquer de front. À l'heure où les outils collaboratifs dans le cloud (type Google Workspace et Microsoft 365) prennent de plus en plus de place dans les organisations, l’information est donc exposée aux risques d'interception, de fuite et de vol de données. Chiffrer ses fichiers permet ainsi d’échanger ses données sensibles de manière sécurisée : les données sensibles sont chiffrées et déchiffrées automatiquement pour les personnes autorisées. Mais pour être efficace, l’action de sécuriser les données sensibles doit se conjuguer avec la simplicité d'usage apportée par les plateformes. Encore un autre sujet…
Les craintes autour de la fragilité des données dans le cloud permettent donc de se poser les bonnes questions autour de cet environnement si particulier. Elles mettent en lumière les failles du cloud et les besoins associés en matière de sécurité. Une sécurité dans le cloud qui ne doit pas être pensée seule : l’entreprise doit également sensibiliser ses collaborateurs sur le périmètre plus global des menaces cyber. La seule manière d’élever le niveau de sécurité de ses actifs dans le cloud mais également de l’entièreté de son périmètre. Car dans le cloud, la sécurité se joue bien à tous les étages.
