{"id":39113,"date":"2017-07-27T14:28:48","date_gmt":"2017-07-27T13:28:48","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=39113\/"},"modified":"2023-06-15T15:02:40","modified_gmt":"2023-06-15T14:02:40","slug":"proteger-les-donnees-sensibles-lors-dune-migration-vers-le-cloud","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/proteger-les-donnees-sensibles-lors-dune-migration-vers-le-cloud\/","title":{"rendered":"Prot\u00e9ger les donn\u00e9es sensibles lors d\u2019une migration vers le Cloud"},"content":{"rendered":"

Compte tenu des avantages flagrants du Cloud, il est curieux que les entreprises ne soient pas plus nombreuses \u00e0 adopter ce mod\u00e8le de services informatiques pour leurs collaborateurs. Apr\u00e8s tout, ce mod\u00e8le occasionne moins de d\u00e9penses en \u00e9quipements technologiques, moins de frais en personnel informatique pour les Ressources Humaines, et permet de tirer parti de solutions informatiques dernier cri en termes de performances et d\u2019efficacit\u00e9. Pour autant, dans quantit\u00e9 d\u2019\u00e9tablissements, les craintes li\u00e9es au Cloud persistent.<\/strong><\/p>\n

Un article de Jocelyn Krystlik<\/strong>, publi\u00e9 dans Finance Digest Magazine<\/em><\/a>.<\/p>\n

 <\/p>\n

Se prot\u00e9ger contre les acc\u00e8s non autoris\u00e9s aux donn\u00e9es<\/h2>\n

L\u2019une des difficult\u00e9s majeures pour les banques et les services financiers consiste \u00e0 se prot\u00e9ger contre un acc\u00e8s non autoris\u00e9 aux donn\u00e9es. Et ces acteurs craignent l\u00e9gitimement qu\u2019une migration vers le Cloud ne revoie davantage \u00e0 la baisse, plut\u00f4t qu\u2019\u00e0 la hausse, du nombre de contr\u00f4les de s\u00e9curit\u00e9 draconiens. Ils se demandent constamment comment pr\u00e9server le chiffrement des fichiers transf\u00e9r\u00e9s vers\/depuis le Cloud ou transmis aux clients et partenaires commerciaux via des services Cloud. Leur m\u00e9connaissance de cet environnement<\/a> les am\u00e8ne \u00e9galement \u00e0 s\u2019interroger sur sa conformit\u00e9 avec les r\u00e9glementations g\u00e9n\u00e9rales ou sectorielles sur la protection des donn\u00e9es, sans oublier les probl\u00e9matiques de fuite de donn\u00e9es et d\u2019acc\u00e8s \u00e0 l\u2019information \u00e0 partir d\u2019\u00e9quipements multiples.<\/p>\n

La d\u00e9cision la plus importante, pour une banque ou un \u00e9tablissement financier, consiste \u00e0 s\u00e9lectionner avec soin son prestataire Cloud et \u00e0 veiller \u00e0 ce que la totalit\u00e9 des collaborateurs passent uniquement par cette plate-forme homologu\u00e9e. Le recours \u00e0 des plates-formes multiples a pour effet de fragmenter les sources et de partager les services, limitant le suivi et le contr\u00f4le de la diffusion des donn\u00e9es, et compromettant les protocoles de s\u00e9curit\u00e9. Faute d\u2019acc\u00e8s \u00e0 une plate-forme Cloud valid\u00e9e par l\u2019entreprise, les collaborateurs sont tent\u00e9s d\u2019utiliser des environnements Cloud gratuits et non s\u00e9curis\u00e9s pour s\u2019acquitter tout simplement de leurs missions \u00e0 l\u2019insu du service informatique. Et c\u2019est bien l\u00e0 le danger.<\/p>\n

Autre \u00e9l\u00e9ment \u00e0 prendre en consid\u00e9ration : l\u2019absence de contr\u00f4le physique. Pour d\u00e9rober des donn\u00e9es stock\u00e9es dans un centre de donn\u00e9es sur site, il faut p\u00e9n\u00e9trer physiquement dans le b\u00e2timent afin d\u2019avoir acc\u00e8s aux syst\u00e8mes abritant les documents sensibles. Avec le Cloud, en cas de vol d\u2019authentifiants, il est difficile pour des entreprises de restreindre r\u00e9trospectivement l\u2019acc\u00e8s aux documents. Sur site, les donn\u00e9es n\u00e9vralgiques sont la priorit\u00e9 de l\u2019entreprise. Celle des prestataires Cloud consiste \u00e0 donner acc\u00e8s \u00e0 leurs plates-formes 24 heures sur 24, 7 jours sur 7, m\u00eame s\u2019ils prennent la s\u00e9curit\u00e9 tr\u00e8s \u00e0 c\u0153ur.<\/p>\n

Cas typique - Banques<\/h3>\n

Les banques et cabinets de conseil financier doivent se pr\u00e9munir contre les pertes de capitaux, et veiller \u00e0 ce que des utilisateurs non autoris\u00e9s n\u2019aient aucun moyen d\u2019acc\u00e9der \u00e0 des donn\u00e9es susceptibles de les amener \u00e0 r\u00e9aliser des d\u00e9tournements de fonds. Toute la difficult\u00e9 consiste \u00e0 mettre les donn\u00e9es appropri\u00e9es \u00e0 disposition des utilisateurs autoris\u00e9s, de telle sorte que les actifs financiers puissent \u00eatre g\u00e9r\u00e9s comme s\u2019ils r\u00e9sidaient dans l\u2019enceinte du centre de donn\u00e9es de l\u2019\u00e9tablissement et n\u2019\u00eatre accessibles que par des intervenants dignes de confiance.<\/p>\n

Cas typique - Assurances<\/h3>\n

Quantit\u00e9 d\u2019interactions avec les clients s\u2019op\u00e9rant sur le terrain, les compagnies d\u2019assurance ont tout \u00e0 gagner d\u2019une collaboration en mode Cloud. Mais dans le m\u00eame temps, ces \u00e9tablissements doivent faire obstacle aux activit\u00e9s frauduleuses d\u2019utilisateurs non autoris\u00e9s qui s\u2019efforcent de modifier des d\u00e9clarations de sinistres et de d\u00e9tourner les indemnisations correspondantes. Bien entendu, les informations nominatives des clients doivent \u00e9galement \u00eatre prot\u00e9g\u00e9es contre les acc\u00e8s non autoris\u00e9s.<\/p>\n

 <\/p>\n

Les enjeux de s\u00e9curit\u00e9 dans le Cloud<\/h2>\n

Ces acteurs doivent veiller \u00e0 prot\u00e9ger le mieux possible les fichiers \u00e9chang\u00e9s au quotidien (documents comptables, relev\u00e9s de comptes et polices d\u2019assurance), qu\u2019ils soient stock\u00e9s ou en circulation. Leur t\u00e2che est compliqu\u00e9e par les probl\u00e9matiques de s\u00e9curit\u00e9 inh\u00e9rentes \u00e0 la rapidit\u00e9 des progr\u00e8s technologiques, comme la mobilit\u00e9 et l\u2019Internet des objets (IoT), qui tous deux ciblent l\u2019acc\u00e8s aux services et aux donn\u00e9es s\u2019ex\u00e9cutant dans le Cloud.<\/p>\n

Avec la multiplication des appareils associ\u00e9s au Cloud, les entreprises s\u2019exposent \u00e9galement \u00e0 davantage de menaces internes puisque des superadministrateurs peuvent se faire passer pour d\u2019autres utilisateurs afin d\u2019acc\u00e9der \u00e0 leurs donn\u00e9es. Et ce, sans que les utilisateurs en question (y compris de hauts responsables) se rendent compte que l\u2019administrateur consulte leurs fichiers.<\/p>\n

Les \u00e9tablissements financiers doivent \u00e9galement s\u2019assurer que leurs collaborateurs ne tirent pas parti du Cloud \u2014 sciemment ou involontairement \u2014 pour partager leurs documents \u00e0 l\u2019exc\u00e8s. Soucieux de faire davantage de chiffre, ceux-ci courent en effet le risque de r\u00e9v\u00e9ler \u00e0 leurs clients ou partenaires commerciaux des \u00e9l\u00e9ments d\u2019information dont ils ne devraient pas avoir connaissance. Ce partage de donn\u00e9es risque, en outre, de s\u2019inscrire bien au-del\u00e0 de l\u2019accord de partenariat initial, \u00e9largissant ainsi le cercle des utilisateurs externes susceptibles d\u2019avoir ill\u00e9gitimement acc\u00e8s \u00e0 certaines informations.<\/p>\n

Autre enjeu, les attaques de l\u2019intercepteur, de type \u00ab Man-in-the-Middle<\/em> \u00bb (MITM), lors desquelles des pirates retransmettent secr\u00e8tement, voire falsifient, les \u00e9changes entre deux interlocuteurs en se faisant passer pour l\u2019un d\u2019eux.<\/p>\n

Nombre de ces probl\u00e8mes trouvent leur origine dans le ph\u00e9nom\u00e8ne du \u00ab shadow IT<\/em> \u00bb<\/a> que la mise \u00e0 disposition de services Cloud ne fait qu\u2019amplifier. Concr\u00e8tement, \u00e0 moins d\u2019\u00eatre cantonn\u00e9s \u00e0 un Cloud d\u2019entreprise, les collaborateurs sont enclins \u00e0 explorer divers modes de collaboration et d\u2019\u00e9change de fichiers entre eux, mais aussi avec les sous-traitants, prestataires de services et partenaires en qui ils ont confiance. Des r\u00e8gles d\u2019usage clairement d\u00e9finies et comprises se doivent d\u2019\u00eatre appliqu\u00e9es.<\/p>\n

 <\/p>\n

Gare aux lacunes<\/h2>\n

Le chiffrement de l\u2019\u00e9quipement, autrement dit celui du disque dur et du disque amovible, permet de prot\u00e9ger les donn\u00e9es stock\u00e9es sur l\u2019appareil. Cette technique se r\u00e9v\u00e8le efficace si cet \u00e9quipement (ordinateur portable ou cl\u00e9 USB<\/a>) est \u00e9gar\u00e9 ou d\u00e9rob\u00e9. Le probl\u00e8me se corse si un utilisateur est connect\u00e9 \u00e0 l'\u00e9quipement et que les donn\u00e9es sont d\u00e9chiffr\u00e9es alors qu\u2019il travaille sur un document. Sans autre protection, les donn\u00e9es en question peuvent alors \u00eatre exploit\u00e9es (d\u00e9chiffr\u00e9es) dans d\u2019autres applications ex\u00e9cut\u00e9es sur l'\u00e9quipement, et parfois m\u00eame \u00eatre d\u00e9tourn\u00e9es de ce dernier via le r\u00e9seau. Rien ne les emp\u00eache ensuite d\u2019\u00eatre transf\u00e9r\u00e9es, sans aucune protection, vers un autre \u00e9quipement via une plate-forme Cloud ou par un simple e-mail.<\/p>\n

Pour combler les lacunes li\u00e9es au chiffrement de l\u2019\u00e9quipement et du disque, les donn\u00e9es peuvent \u00eatre cat\u00e9goris\u00e9es au moyen d\u2019une technique dite DLP (Data Loss Prevention<\/em>). Ce faisant, elles ne peuvent quitter ni l'\u00e9quipement, ni le r\u00e9seau, en raison des r\u00e8gles et strat\u00e9gies sur lesquelles elles s\u2019appuient. Toutefois, cette classification des donn\u00e9es soul\u00e8ve \u00e9galement plusieurs probl\u00e8mes, s\u2019agissant notamment du choix des fichiers de donn\u00e9es \u00e0 chiffrer, de la configuration des strat\u00e9gies et r\u00e8gles de d\u00e9chiffrement et de leur mise en \u0153uvre \u00e0 bon escient.<\/p>\n

\u00c0 noter que certaines strat\u00e9gies peuvent devenir obsol\u00e8tes avant m\u00eame leur entr\u00e9e en vigueur. Supposons, par exemple, qu\u2019une strat\u00e9gie ait pour objet de bloquer le partage d\u2019informations nominatives avec l\u2019ext\u00e9rieur. Elle risque donc fort de bloquer un fichier contenant le num\u00e9ro de permis de conduire de son titulaire et une adresse, par exemple, ce qui am\u00e8ne \u00e0 se poser certaines questions\u00a0:<\/p>\n