Sommaire
La transformation numérique pousse les entreprises à abandonner le format papier au profit des documents numériques, et ce dans leurs différents processus métiers et de gestion. Pour de nombreuses raisons, le stockage en Cloud des documents dématérialisés est la pratique la plus courante. Elle implique la mise en place de nombreux protocoles et bonnes pratiques pour assurer la protection de ces documents. Découvrons les bonnes pratiques de protection des données dans le Cloud pour une sécurité accrue de la documentation d’entreprise !
Pourquoi stocker les documents dans le Cloud ?
Entre serveurs locaux et serveurs virtuels dans le Cloud, bon nombre d’entreprises choisissent la seconde option. En fait, le stockage des données et des documents en Cloud présente de nombreux avantages, tels que :
- La disponibilité des documents
- L’accès décentralisé
- La facilité du partage et de la collaboration
- L’exploitabilité sur tous genres d’appareils connectés (tablette, smartphone, PC, etc.)
- La traçabilité de l’utilisation et des modifications
- La connectivité avec les logiciels de GED et autres applications professionnelles
- Etc.
Le stockage des documents dématérialisés dans le Cloud permet ainsi de créer un environnement « tout partagé » où la collaboration au sein même de l’entreprise ou avec des acteurs externes est facilitée. Cependant, cet environnement reste exposé à des risques majeurs si l’on ne prend pas les mesures de sécurité nécessaires.
Selon une étude menée par IDG, un éditeur américain de magazines spécialisé dans les technologies Cloud pour les professionnels, 77% des entreprises utilisent au moins une application ou ont une partie de leur infrastructure dans un Cloud.
Qu’est-ce que le Cloud ?
Pour simplifier les choses, on considère le Cloud comme des serveurs, des routeurs, des commutateurs possédés par des entreprises tierces qui en louent l’accès à des entreprises clientes. Pour comprendre le concept de la sécurité du Cloud, il faut commencer par comprendre les infrastructures de ces serveurs. Il en existe 3 :
- IaaS : infrastructure as a service. C’est une architecture permettant à une entreprise de créer son propre centre virtuel de données.
- PaaS : platform as a service. C’est une plateforme permettant aux clients de déployer et de créer des logiciels.
- SaaS : software as a service. C’est une application hébergée en Cloud dont le client ne bénéficie que d’un accès utilisateur encadré par les conditions d’utilisation.
Les principaux types de Cloud
- Le Cloud Public : il est disponible au grand public et tout le monde peut en obtenir l’accès par achat. Exemples : AWS (Amazon Web Services), Microsoft Azure, Google Cloud Platform.
- Le Cloud Privé : il peut être considéré comme un serveur virtuel privé dont le matériel n’est possédé que par une seule entreprise. Ce modèle n’est pas partagé avec d’autres clients.
Quels sont les risques du stockage dans le Cloud ?
Le Cloud se présente aujourd’hui comme une solution de stockage délocalisé qui abolit les frontières. Il permet de favoriser le télétravail, le travail collaboratif des équipes et l’échange des données entre les entreprises. Dans ce contexte hyperconnecté, il est judicieux de s’interroger sur la sécurité des données dans le Cloud.
En effet, la sécurité des accès constitue un des principaux enjeux en matière de protection des données pour l’entreprise. En l’occurrence, deux cas de figure existent :
- Les comptes humains : ils sont détenus par des personnes en vue d’assurer l’administration des services.
- Les comptes applicatifs : il s’agit des comptes de services non humains.
Dans les deux cas, ces comptes peuvent être utilisés partout dans le monde, à condition d’être connectés à internet pour accéder au Cloud. Cela ne fait qu’élargir la surface d’attaque, puisque les réseaux et les environnements connectés ne bénéficient pas systématiquement d’un niveau élevé de sécurité.
Au final, selon McAfee, les attaques liées au Cloud ont progressé d’au moins 24% ces dernières années par rapport aux autres failles de sécurité.
Par où commencer pour protéger ses données en Cloud ?
Avant d’établir tout plan d’action, il est préférable de commencer par réaliser un diagnostic et un état des lieux. Cette démarche permet d’identifier les potentielles vulnérabilités et les contraintes pouvant exister.
Le diagnostic permet également de déterminer les pistes d’amélioration pour optimiser les performances de l’entreprise en termes de cybersécurité.
Envie d’aller plus loin ?
Les bonnes pratiques de la protection des données dans le Cloud
Définir des niveaux d’accès différents
L’une des principales recommandations pour améliorer la sécurité des données de l’entreprise en Cloud est de définir des niveaux d’accès différents en fonction des profils. En effet, c’est à l’entreprise utilisatrice de définir sa stratégie en matière de priorités et de responsabilités. La création de plusieurs niveaux d’accès permet de limiter l’accès aux données sensibles et de réduire considérablement la surface d’attaque. Il peut s’agir de :
- Comptes pour l’ajout des documents, leur consultation et leur modification
- Comptes pour la modification et la consultation des documents
- Comptes pour la simple consultation de documents
Il s’agit ici de créer un système cloisonné ne permettant l’accès qu’aux bonnes personnes pour réaliser certaines tâches. De cette manière, on évite de donner des accès potentiellement dangereux à des personnes qui n’en auraient pas besoin.
Cette pratique est d’autant plus importante lorsqu’il s’agit de partager des accès avec des prestataires externes ou des partenaires.
La gestion des comptes à privilèges
Les comptes à privilèges sont ceux qui disposent des plus hautes permissions pour modifier la configuration même des systèmes. Il peut s’agir d’administrateurs qui peuvent réaliser n’importe quelle action.
Les privilèges associés à ces comptes constituent la cible préférée des hackers, car ceux-ci leur permettent d’avoir un contrôle total sur le système. Pour cette raison, ce type de compte doit bénéficier d’une sécurité renforcée.
Tester pour identifier les vulnérabilités
Quel que soit le type de solution Cloud choisie, il est primordial de réaliser des tests de vulnérabilité pour identifier les éventuelles failles du système. On appelle ces opérations « tests d’intrusion » ou « pen tests ». Lors de ceux-ci, on essaye de s’introduire dans le système informatique de l’entreprise en simulant le comportement d’une personne tierce ou d’un robot informatique.
Cette démarche permet d’identifier les failles par lesquelles des personnes ou des logiciels malveillants peuvent s’introduire dans le système informatique de l’entreprise pour crypter ou voler les données. Ces tests peuvent être réalisés par des spécialistes en sécurité informatique, connus sous l’appellation de hackers white-hat.
Une fois les vulnérabilités détectées, l’entreprise met en place les corrections nécessaires et peut recommencer les tests.
Améliorer le niveau de sécurité des mots de passe pour assurer la protection des données dans le Cloud
Les mots de passe des collaborateurs sont souvent la première source d’insécurité du système informatique de l’entreprise et de son Cloud. Ils doivent être renforcés pour ajouter une couche de sécurité. On vous recommande ces pratiques :
- Une longueur de plus de 10 caractères,
- Ajouter des caractères spéciaux,
- Ajouter des lettres en majuscule,
- Éviter les mots de passe lisibles ou logiques (nom, numéro de téléphone, date de naissance, etc.),
- Les mettre régulièrement à jour,
- Utiliser des mots de passe uniques qui n’ont pas été utilisés pour d’autres applications.
Protection des données dans le Cloud : choisir le Cloud privé
Les solutions Cloud les plus connues sont des solutions dites « grand public », comme Google Drive, Dropbox, etc. Bien qu’elles présentent d’innombrables avantages pour les particuliers, on ne les recommande pas toujours pour les entreprises. Ici, des solutions privées seront préférables puisqu’elles apportent une couche supplémentaire de sécurité et de traçabilité.
Le Cloud privé est ainsi la solution qui s’adapte le mieux aux besoins des entreprises puisqu’il permet de favoriser le travail collaboratif tout en ayant un contrôle total sur les accès et l’utilisation.
Installer des antivirus
Cela peut sembler évident, mais l’installation d’antivirus sur les postes des collaborateurs de l’entreprise est d’une extrême importance. En effet, l’une des raisons de le faire est qu’un fichier infecté par un virus situé sur la machine d’un collaborateur peut infiltrer le Cloud, l’infecter, puis en faire de même avec toutes les machines connectées.
Installer des antivirus et activer les pare-feu sur tous les ordinateurs connectés au réseau de l’entreprise est donc une pratique essentielle pour assurer la sécurité des données.
Se faire accompagner par des professionnels de la sécurité informatique pour une meilleure protection des données dans le Cloud
Bien que la majorité de ces recommandations soient simples à appliquer, il est important de se faire accompagner par des professionnels de la sécurité. Ceux-ci mettent en place des protocoles et instaurent de bonnes pratiques de sécurité. De plus, ils sont capables de former les collaborateurs sur les recommandations de sécurité.
Enfin, ces derniers peuvent réaliser des audits de sécurité pour s’assurer de l’efficacité des pratiques mises en place.
Numexo : votre partenaire de numérisation et de sécurité
Nous sommes spécialisés dans la numérisation et la mise en place des systèmes de gestion des documents numériques. Nos experts en sécurité vous proposent des solutions de stockage sécurisé pour protéger vos données. Vous avez envie d’en savoir plus ? Contactez-nous !