Qu’est-ce que le cloud ? Les données des entreprises y sont-elles en sécurité ?
On entend souvent dire que les données sont en sécurité dans le cloud. Mais qu’est-ce que le cloud et les données des entreprises y sont-elles vraiment en sécurité ?
Le cloud est simplement un réseau constitué de serveurs informatiques hébergés dans un centre de données. Au lieu de conserver vos données sur votre ordinateur portable ou sur votre ordinateur de bureau, ou encore sur un serveur dans vos bureaux, vous les transférez via internet vers un centre de données exploité et géré par un tiers. Le cloud, comme c’est souvent le cas avec la technologie, existe sous plusieurs formes. Un cloud privé est totalement dédié à une organisation, tandis qu’un cloud public est partagé entre plusieurs entreprises.
Le SaaS (« Software as a Service ») permet aux fournisseurs de logiciels de développer des applications grâce au cloud et de les rendre disponibles pour les clients via internet. Le cloud est la clé de voute de nombreuses applications utilisées par les entreprises pour la conservation des documents, le traitement de la comptabilité ou de la paie, ou encore pour les outils de gestion de la relation client : la liste semble infinie.
Si vous faites preuve de diligence raisonnable pour choisir le prestataire et si vous effectuez des contrôles de sécurité élémentaires, le cloud offre à votre entreprise de nombreux avantages, parmi lesquels on compte entre autres des économies d’échelle considérables qui rendent les services informatiques plus économiques, ou le travail collaboratif à distance, ou encore une grande diversité de services capables de répondre aux contraintes de toute organisation, indépendamment de sa taille, de son secteur d’activité ou de la vitesse d’accès.
Le cloud est-il vraiment sûr ?
Quand une entreprise envisage d’utiliser le cloud pour ses activités, une question revient souvent : « est-ce vraiment sûr ? » En fait…cela dépend.
Les fournisseurs de services cloud comme Microsoft, Amazon Web Services (AWS) et de nombreux autres dépensent des millions de dollars pour garantir la sécurité de leurs systèmes.
D’autres entreprises s’appuient sur les centres de données fournis par ces géants technologiques pour héberger et activer leurs services. Pour plus d’informations, consultez les sites Web de vos fournisseurs de services cloud et lisez les clauses (généralement situées dans le bas de l’écran) pour découvrir comment vos données seront sécurisées. Les entreprises qui ont investi dans des certifications telles que ISO 27001, ISO 27017, ISO 27018 et SOC2 prennent la sécurité très au sérieux. Elles font l’objet d’un audit indépendant annuel pour vérifier qu’elles répondent bien à des normes strictes en matière de contrôle.
Cependant, même si les fournisseurs de services cloud prennent les mesures nécessaires pour protéger les données qui leur sont confiées, il revient à chacun, utilisateur comme abonné, de veiller à ce que ces données soient conservées en sécurité.
Cela vous semble compliqué ? Imaginez que votre bureau ou votre domicile soit comparable à un environnement cloud. Vous avez peut-être installé un système d’alarme très coûteux, ainsi que des verrous aux fenêtres ou des serrures encastrées, et il est même possible que des agents de sécurité fassent des rondes pour s’assurer que tout est en ordre. Et vous découvrez qu’un membre de votre maisonnée a caché une clé sous un pot de fleur, ou que votre femme de ménage a donné le code de l’alarme à l’une de ses connaissance, ou qu’une fenêtre est restée ouverte, etc. Vous avez eu beau investir massivement pour garantir la sécurité, celle-ci a été compromise par l’action d’une personne.
Que faire pour garantir la sécurité ?
Pour prévenir les atteintes à la sécurité des données dans le cloud, l’utilisateur doit prendre quelques mesures simples. Par exemple :
Le mot de passe que vous utilisez pour vous connecter au système est-il assez fort ?
Une authentification multifacteur (MFA) a-t-elle été mise en place ? Ce type d’authentification nécessite que l’utilisateur dispose de deux informations pour accéder au système, de sorte que si l’une est compromise (par exemple, le mot de passe a été corrompu), une deuxième étape est nécessaire (par exemple, un code envoyé à un téléphone mobile ou à une adresse e-mail, ou la reconnaissance biométrique) avant que l’accès ne soit accordé.
Ne vous contentez pas de vérifier l’accès au système, passez en revue les habilitations au sein du système.
Qui a besoin d’un accès et pour quoi faire ? Chez vous, vous conservez vos passeports ou vos objets précieux dans un coffre ? Faites de même dans votre entreprise et restreignez l’accès aux « joyaux de la couronne » ( crown jewels)
Passez régulièrement en revue les niveaux d’autorisation. Existe-t-il une procédure pour gérer les accès des utilisateurs, supprimer l’accès des personnes quittant l’entreprise, ou encore le modifier si un collaborateur change de poste ?
Que vous soyez déjà utilisateur de services cloud ou non, il est crucial d’évaluer le niveau de sécurité proposé par les prestataires de services cloud potentiels/existants. En tant qu’assureur d’entreprises de premier plan, nous avons établi une liste simple des facteurs à prendre en compte et de ce que vous devriez attendre des fournisseurs de services cloud. Vous pouvez adapter cette liste à vos besoins spécifiques. Vous pouvez la télécharger ici.
Répondre à une longue liste d’exigences peut sembler fastidieux, mais les fournisseurs crédibles le feront rapidement et exhaustivement ; il est même possible que ces informations soient déjà disponibles sur leur site web. Ne vous laissez pas décourager et persévérez ; si vous ne recevez pas les réponse souhaitées, tournez-vous vers un autre fournisseur.
Enfin, si vous décidez de mettre fin à la prestation de votre fournisseur, n’oubliez pas de lui demander de vous confirmer l’effacement des données.
Services de gestion du risque pour les clients QBE
QBE aide les entreprises à accroître leur résilience en s’appuyant sur la gestion des risques et l’assurance.
En fonction de l’importance et de la complexité de leurs besoins, les clients QBE ont accès à un grand choix de services de gestion des risques, de questionnaires d’auto-évaluation et de guides de gestion des risques. Ces outils s’intéressent surtout aux principales causes de sinistres et au développement de plans d’action apportant une réelle amélioration, telle qu’une meilleure protection des employés, ou la réduction des risques et de la probabilité de sinistre. Vous trouverez ici plus d’informations sur la manière dont QBE accompagne les entreprises dans la gestion des risques.Et sur ce site, vous trouverez notre offre cyber.