Alors que la construction du schéma EUCS continue de faire débat en Europe, la protection des données dans le cloud est plus que jamais d’actualité. Parmi la masse de services et d’hébergements proposés, comment reconnaître un cloud sécurisé ? Quels sont les critères indispensables ?
Qu’est-ce qu’un cloud sécurisé ?
Avec la digitalisation massive des entreprises et administrations, la sécurité du cloud apparaît comme un enjeu majeur. Pour cause, selon les objectifs de l’UE en matière de numérique, d’ici 2030, 75 % des entreprises européennes devraient utiliser les technologies de l’informatique en nuage pour leurs activités.
Un cloud dit sécurisé répond à des spécificités techniques (authentification, chiffrement, sauvegarde…) et réglementaires (conformité, localisation, disponibilité…) pour assurer la sécurité des données hébergées.
Les principaux critères de sécurité
Chiffrement des données
Le chiffrement consiste à rendre illisible les données hébergées dans le cloud afin d’éviter tout vol, lecture ou compromission.
En janvier 2024, la CNIL a publié un guide sur « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public ». La Commission rappelle ainsi que le chiffrement des données reste « l’une des principales mesures permettant de garantir la confidentialité des données dans un système informatique. ». Pour cela, une bonne gestion des clés ainsi qu’une robustesse des algorithmes de chiffrement sont indispensables pour que la protection des données soit effective.
La CNIL indique ainsi plusieurs niveaux de chiffrement des données selon l’état d’utilisation des données. Par exemple, pour des données au repos (c’est-à-dire simplement stockées), 4 niveaux de chiffrement sont possibles :
- chiffrement de disque ;
- chiffrement au niveau du fichier ;
- chiffrement de base de données ;
- chiffrement au niveau de l’application.
Par ailleurs, le chiffrement de données en transit doit reposer sur « la création d’un tunnel sécurisé entre le client et le serveur cloud, ou entre différentes machines du cloud », dans lequel les données sont chiffrées à l’envoi et déchiffrées à réception.
Gestion des identités et accès
La gestion des identités et des accès dans le cloud consiste d’abord à recenser, dans une base de données, les personnes considérées comme légitimes pour accéder à certaines données. Différentes informations peuvent être listées sur leur identité et leur rôle dans l’entreprise ainsi que sur la typologie d’informations à laquelle ils peuvent accéder.
Les mises à jour de ces bases ainsi que la mise en place en place d’authentification multi-facteur sont indispensables pour contrôler les connexions et éviter des intrusions indésirables. De plus, un suivi précis des accès est recommandé pour évaluer la sécurité et répondre à des audits.
Redondance des données
Au-delà de la haute disponibilité des données, promise par de nombreux fournisseurs cloud, la redondance elle constitue un critère de sécurité important. En effet, alors que la disponibilité correspond au fait de pouvoir accéder aux données à tout moment, la redondance assure que des copies de données soient stockées sur différents serveurs, afin de faciliter l’accès aux données en cas de défaillance ou de panne. Ces mécanismes de redondance doivent être suffisamment robustes afin d’éviter la perte de données. Pour les évaluer, il peut être intéressant de s’attarder sur les pourcentages de durabilité garantis par les fournisseurs cloud, généralement mesurés en 9.
Sauvegarde et récupération après sinistre
Comme pour la redondance, la sauvegarde en cloud permet d’éviter une perte de données, mais aussi d’assurer la continuité d’activité, grâce à l’envoi d’une copie des données sur un serveur secondaire. L’avantage de la sauvegarde en cloud est qu’elle s’exécute automatiquement et en continu, sans nécessiter d’intervention de l’entreprise. Le fournisseur cloud a pour rôle de garantir cette sécurité essentielle.
Surveillance et gestion des incidents
Pour vérifier que les applications cloud fonctionnement normalement et détecter d’éventuels risques de sécurité, la surveillance du cloud est essentielle. Différentes solutions de surveillance existent et analysent les logs de l’application, du serveur ou encore du pare-feu et alertent en cas d’anomalie ou de tentatives d’accès malveillantes.
La gestion des incidents consiste à mettre en place des processus de notification et de résolution en cas d’incidents dans le cloud, afin d’éviter toute perte d’intégrité des données. Pour cela, il est essentiel de bénéficier d’une vue globale sur les ressources allouées ainsi que sur les opérations et les services critiques utilisés.
Conformité aux normes en vigueur
La norme ISO/IEC 27017
La sécurité d’un cloud se mesure également par sa conformité aux normes en vigueur. La norme ISO/IEC 27017, reconnue internationalement, délivre des conseils en matière d’implémentation et de contrôle des services cloud. Elle garantit ainsi la sûreté de l’environnement cloud.
Le schéma de certification européen EUCS
À l’échelle européenne, les services cloud pourront bientôt être certifiés par le premier schéma de certification européen du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS).
Son objectif est d’homogénéiser la sécurité du cloud en Europe en créant un cadre commun et en favorisant la souveraineté européenne. Mais sur ce dernier thème, les avis divergent. Récemment, « l’imperméabilité aux lois extraterritoriales » du service cloud, un des critères d’exigence les plus stricts de la certification, a été supprimé. La France et plusieurs pays s’y opposent depuis plusieurs mois et les discussions sont toujours en cours. Récemment, la Commission Supérieure du Numérique et des Postes et la CNIL ont confirmé que cette suppression représentait un danger pour la souveraineté des données sensibles.
La qualification SecNumCloud
En France, la qualification SecNumCloud a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing. Pour en bénéficier, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel, comprenant plus de 350 points d’exigence. Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
À noter que la qualification SecNumCloud est le référentiel de sécurité le plus exigeant en matière de protection des données cloud et de souveraineté numérique. Son prochain remplacement par le schéma commun EUCS pose ainsi d’autant plus question, si la suppression de l’exigence d’immunité extraterritoriale dans l’EUCS venait à être confirmée. En plus de représenter un danger pour la sécurité des données, cela pourrait diminuer de facto le niveau de sécurité global du cloud français et européen.
En savoir plus sur la qualification SecNumCloud
15 critères de confiance publiés par le Clusif
En juin 2024, le Clusif (association de référence de la cybersécurité en France) a publié « 15 critères pour évaluer la confiance numérique d’une solution d’hébergement ».
Les voici ci-dessous :
- Localisation physique des Datacenters
- Localisation des données (transit, repos, utilisation)
- Localisation des services et applications tierces
- Localisation des équipes d’admin / exploitation
- Localisation des sous-traitants
- Localisation si chaîne de sous-traitance
- Localisation des personnes à accès à privilèges
- Localisation des supervisions / sauvegardes
- Localisation du siège de la société
- Nationalité des services ou produits utilisés
- Nationalité du ou des hébergeurs
- Nationalité des personnels à accès techniques
- Nationalité des fonds de capitaux
- Montage juridique de la société / entité
- Certifications pour l’hébergeur
L’ensemble de ces critères permettent « d’objectiver le niveau de confiance numérique d’une solution d’hébergement », notamment pour les entreprises évoluant dans des secteurs critiques.
Tixeo, solution de visioconférence sécurisée dans le cloud souverain
Au sein de secteurs stratégiques et sensibles, comme l’Industrie, la Justice ou les administrations publiques, la digitalisation des informations et de la collaboration se poursuit. Dans ces environnements contraints, la protection de des données hébergées dans le cloud est essentielle, d’autant plus lorsque les cybermenaces se multiplient.
Les outils de collaboration et de visioconférence dans le cloud doivent ainsi garantir la plus haute sécurité aux données contre les tentatives d’intrusion et les lois extraterritoriales, permissives en matière d’accès aux données.
Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
En savoir plus TixeoPrivateCloud
FAQ :
La sécurité du cloud englobe l’ensemble des technologies, politiques et contrôles destinés à protéger les données, applications et infrastructures hébergées dans le cloud contre les menaces potentielles. Elle est cruciale pour prévenir les violations de données, assurer la conformité aux réglementations et maintenir la confiance des utilisateurs envers les services cloud.
Les risques majeurs incluent les violations de données, les menaces internes, les API non sécurisées, le détournement de comptes et les cyberattaques. Ces menaces peuvent compromettre la confidentialité, l’intégrité et la disponibilité des données stockées dans le cloud, entraînant des conséquences financières et réputationnelles pour les organisations.
Pour évaluer la fiabilité d’un fournisseur de cloud sécurisé, vérifiez ses certifications de sécurité reconnues (comme ISO 27001), sa conformité aux réglementations telles que le RGPD, et consultez les audits de sécurité indépendants. Considérez également sa réputation, les avis clients et les protocoles de protection des données qu’il utilise.
Un cloud sécurisé doit inclure le chiffrement des données en transit et au repos, l’authentification multifacteur, des pare-feux avancés, des systèmes de détection et de prévention des intrusions, ainsi que des protocoles pour la détection et la prévention des cybermenaces.
Le chiffrement des données est le processus de conversion des informations en un code illisible sans la clé de déchiffrement appropriée. Cela protège les informations sensibles lors du stockage et de la transmission, garantissant que même en cas d’accès non autorisé, les données restent inexploitables pour les individus malveillants.
Le chiffrement de bout en bout assure que vos données sont chiffrées dès leur création sur votre appareil et ne sont déchiffrées que par le destinataire autorisé. Même le fournisseur de services ne peut pas accéder à vos données, car il n’a pas les clés de déchiffrement. Cela garantit que vos informations restent confidentielles et protégées contre toute intrusion.
Le chiffrement “zero-knowledge” signifie que le fournisseur de services cloud ne détient aucune connaissance des clés de chiffrement de vos données. Seul l’utilisateur possède ces clés, garantissant que même le prestataire ne peut accéder à vos informations. Cette approche maximise la confidentialité et protège vos données contre tout accès non autorisé.
L’authentification et les contrôles d’accès sont essentiels pour garantir que seules les personnes autorisées peuvent accéder aux données et aux services dans le cloud. Des mécanismes tels que l’authentification à deux facteurs ajoutent une couche supplémentaire de sécurité, réduisant le risque d’accès non autorisé et de compromission des comptes.
Vous pouvez renforcer la sécurité en utilisant des mots de passe forts et uniques, en activant l’authentification à deux facteurs, en gérant soigneusement les permissions de partage, en surveillant les activités suspectes et en restant vigilant face aux tentatives de phishing. Il est également conseillé de maintenir vos logiciels à jour.
La localisation des centres de données influence la juridiction légale et les lois de protection des données applicables. Stocker vos données dans des pays avec des lois strictes sur la protection de la vie privée, comme ceux de l’Union européenne, peut offrir une protection juridique accrue et limiter les risques d’accès non autorisé par des tiers ou des gouvernements étrangers.
Le Règlement Général sur la Protection des Données (RGPD) impose des normes strictes pour la protection des données personnelles dans l’UE. Un fournisseur conforme au RGPD garantit que vos données sont traitées légalement et en toute transparence, réduisant ainsi les risques de non-conformité et de sanctions associées. Il est important que votre fournisseur de cloud soit conforme à ces régulations pour éviter des sanctions légales.
La sécurité des données concerne la protection contre les accès non autorisés, les violations et les pertes de données. La confidentialité des données se concentre sur la protection des informations sensibles afin qu’elles ne soient pas divulguées à des tiers non autorisés.
Un SLA définit les engagements du fournisseur en termes de disponibilité, de performance et de support. Il offre une garantie contractuelle sur la qualité du service et précise les recours en cas de non-respect, assurant ainsi une certaine résilience et fiabilité du service
Il propose des solutions de sauvegarde régulières et automatisées, ainsi que des plans de reprise après sinistre pour restaurer rapidement les données en cas de perte, de suppression accidentelle ou de cyberattaque. Des fonctionnalités de versionnage des fichiers peuvent également être disponibles.
La résilience fait référence à la capacité du système cloud à continuer de fonctionner malgré les pannes ou les attaques. Une haute résilience assure une disponibilité constante de vos données et services, minimisant ainsi les interruptions d’activité.
Ils utilisent des protocoles de sécurité avancés, comme le chiffrement SSL/TLS pour les transferts de données, des pare-feux robustes et des systèmes de détection et de prévention des intrusions. De plus, ils effectuent régulièrement des audits de sécurité et des mises à jour pour contrer les nouvelles menaces.
Dans les services avec chiffrement de bout en bout ou “zero-knowledge”, perdre votre mot de passe peut signifier perdre définitivement l’accès à vos données, car le fournisseur ne peut pas récupérer ou réinitialiser votre mot de passe. Il est crucial de conserver vos informations de connexion en lieu sûr ou d’utiliser des solutions de récupération sécurisées proposées par le service.
Oui, la plupart des services sécurisés offrent des options de gestion des permissions, vous permettant de définir qui peut voir ou modifier vos fichiers. Vous pouvez généralement partager des liens avec des niveaux d’accès spécifiques ou restreindre complètement l’accès.
Les fournisseurs de stockage cloud les plus sécurisés offrent des fonctionnalités telles que le chiffrement “zero-knowledge”, le chiffrement de bout en bout, une conformité rigoureuse aux normes de sécurité internationales, l’authentification à deux facteurs et des centres de données situés dans des juridictions respectueuses de la vie privée. Ils disposent également de protocoles solides pour la détection et la prévention des cybermenaces.
Évaluez les fonctionnalités de sécurité offertes, telles que le chiffrement de bout en bout, l’authentification à deux facteurs et la politique de confidentialité. Vérifiez les certifications de sécurité, la conformité aux réglementations comme le RGPD et la localisation des centres de données. Considérez également la réputation du fournisseur et les avis d’experts en cybersécurité.