Sécurité Cloud : vous a-t-on (vraiment) tout dit ?

,

Le Cloud, c’est sur Internet. Et Internet n’est pas synonyme de confiance. Voici résumé en quelques mots les arguments des patrons d’entreprise les plus réticents au Cloud public. L’évolution technologique rapide a laissé de côté la pédagogie, et contribué à entretenir cet état d’esprit. Mais pas de panique, on vous propose de décortiquer le vrai du faux de ce sujet récurrent.

Il nous arrive encore en clientèle de nous voir opposer des objections au Cloud public. Pour les plus farouches – il en reste, mais de moins en moins, il s’agit même d’une fin de non-recevoir, tant qu’ils seront aux manettes de leur PME. Dans la majorité des cas, la crainte de laisser son informatique ouverte à tous les vents constitue le critère numéro un. S’il est illusoire de vouloir convaincre tout le monde, une grande partie de ces craintifs s’appuie sur des arguments infondés. Une sorte de zone grise qu’il est utile de démystifier.

Non, Cloud public ne signifie pas « ouvert au public »

Tout d’abord, mettre son informatique dans le Cloud public ne signifiera jamais la rendre accessible à tous. Lorsque vous connectez des ordinateurs sur votre réseau d’entreprise, vous ne vous demandez jamais s’ils sont accessibles depuis Internet, non ? Et pourtant ils disposent tous d’un accès à la toile… Alors pourquoi en serait-il autrement dans le Cloud ?

Vos différentes machines sont sécurisées de facto sur votre réseau par le routeur ou le firewall (la « box ») qui connectent vos bureaux à Internet. Ce B-A-BA de la protection réseau empêche par défaut toute connexion entrante depuis Internet. Mais laisse les connexions sortantes – celles effectuées depuis vos machines – se faire librement. Les machines dans le Cloud public bénéficient exactement du même mécanisme. Mais à la puissance 10, 100, ou même 1’000.

Car non seulement un serveur Cloud n’accepte pas par défaut de connexion depuis Internet, mais les services de Cloud public bénéficient d’armées d’ingénieurs et de moyens de surveillance hors-norme. Qui assurent que toute tentative d’intrusion sur vos machines sera détectée et annihilée en moins de temps qu’il ne faut pour l’écrire. Amazon Web Services assure détecter et bloquer 99% des tentatives d’attaque en moins de 1s. Qui peut en dire autant chez vous ?

Non, les fournisseurs de Cloud public n’accèdent pas à vos données

Les scandales récents de manipulation et de traitement de données personnelles – Facebook et Cambridge Analytics en l’occurrence – n’ont pas aidé à remonter l’estime du Cloud auprès des plus sceptiques. Toutefois, l’informatique Cloud des entreprises n’a rien à voir avec les applications en ligne. Tout d’abord parce vous avez donné votre consentement aux réseaux sociaux pour l’exploitation de vos données. Et surtout parce que ces applications – Facebook, Twitter, Instagram – ne vous appartiennent pas.

Dans le cas d’une application d’entreprise hébergée sur votre Cloud public, il y a une différence de taille : cette application, et les données qu’elle traite, restent sous votre contrôle. Le fournisseur de Cloud public se limite à mettre à disposition l’infrastructure pour exécuter vos programmes, et en stocker les données.

Mais, s’ils stockent vos fichiers, peuvent-ils tout autant y accéder en contrôlant les disques durs qu’ils vous louent ? Absolument pas : vous avez la possibilité, sans surcoût et pour quelques clics seulement, de les crypter avec vos clés d’encodage personnelles. Le prestataire Cloud, ou même toute entité extérieure – un voleur ou une autorité judiciaire – ne pourrait rien faire de la suite de bits qu’elle trouverait sur ces supports de stockage.

Non, votre informatique « maison » n’est pas plus sûre que le Cloud public

Va pour le cryptage qui rend vos données inexploitables par le commun des mortels, et inutilisables en dehors de votre organisation. Mais tout de même, avoir son serveur sous les yeux est rassurant, pensez-vous. Vous avez la possibilité de l’emmener ailleurs, de l’arrêter en cas de problème. Certes, mais disposer physiquement de ces machines vous expose au vol, au dégât des eaux, au feu, à la panne.

Autant de risques dont le Cloud public vous prémunit. Car leur prévention est traitée à l’échelle industrielle dans le Cloud. L’effet de volume joue son rôle à plein, et vous garantit une protection sans commune mesure avec ce que vous pourriez jamais vous offrir avec votre propre matériel, dans vos locaux.

Résultat ? Des taux de disponibilité proches de 100%. Et une fiabilité dont vous n’auriez pas même osé rêver. On parle de moins d’une chance sur 10 millions de perdre un fichier parmi 10’000. Par an.

Et oui, vous pouvez savoir où se trouvent vos données

La question n’est pas ici de connaître avec précision l’emplacement de l’équipement qui stocke vos fichiers. Vous ne pourrez de toute façon jamais y accéder physiquement, les datacenters de Cloud public étant aussi hermétiques que Fort Knox. Non, l’enjeu est plutôt de savoir sur quel territoire se trouvent vos ressources informatiques Cloud. Et par conséquent de quelle juridiction vous dépendez. Au cas où une autorité judiciaire soit saisie et que l’extraction de vos données soit ordonnée.

Depuis que le Cloud public existe, ou presque, vous avez la possibilité de choisir le pays dans lequel vos données se trouveront effectivement. Vous connaissez ainsi le niveau d’exposition en fonction des conditions réglementaires de cet état. Les fournisseurs Cloud s’engagent pour leur part à ne pas procéder à des copies en dehors du territoire de votre choix.

Et le meilleur des deux mondes est à portée de clic désormais, puisque Microsoft ouvrira deux régions d’hébergement de son Cloud Azure dès 2019. De quoi rassurer les plus frileux tout en bénéficiant des services de ce géant.

Envi de creuser le sujet de la sécurité Cloud ?

Je suis sûr que certaines de ces objections vous ont déjà traversé l’esprit. Mais avez-vous réellement pris le temps de vous pencher sur la question ? Avez-vous déjà (réellement) approfondi le sujet sans vous fier aux « on dit » ?  En un clic, vous pouvez bénéficier de notre expertise des Cloud publics, suisses et européens, pour vous guider vers la meilleure solution en accord avec vos besoins, et vos exigences en termes de sécurité et de prix. Abstraction faite des préjugés.

emmanuel dardaine expert cloud

Emmanuel Dardaine

 

Sécurité informatique : démarrer l’année du bon pied

,

Les premiers jours de l’année sont souvent ceux des nouveaux départs et des bonnes résolutions. Cependant, si l’on est sincère dans le choix de celles-ci, elles ne durent le plus souvent que quelques semaines et sont vite abandonnées au profit de nos bonnes vieilles habitudes… Pourtant celles qui touchent à la sécurité de votre entreprise sont essentielles.

Alors en ce début d’année, nous avons décidé de vous aider en vous proposant 8 bonnes pratiques pour garder votre informatique « en bonne santé » et vous prémunir des failles de sécurité qui pourraient s’avérer catastrophiques.

1. Choisir et gérer ses mots de passe

A en croire le classement des mots de passe les plus utilisés en 2018, il y a beaucoup à faire dans ce domaine. En suivant ces quelques règles vous devriez vous éviter des problèmes :

  • imposez-vous des règles de longueur et de complexité de mots de passe, ou forcez-les dans votre système d’authentification
  • vous manquez d’imagination ? remplacez quelques caractères par un caractères spécial ressemblant (par exemple : « a » devient « @ », « t » devient « ! » ou « 1 » , « e » devient « 8 »)
  • remplacez les mots de passe par défaut sur vos nouveaux équipements et services (routeur, compte de messagerie, etc.)
  • bannissez les fichiers Excel ou PostIt ; imposez à vos collaborateurs un gestionnaire de mots de passe comme Lastpass, une solution fiable et efficace que nous conseillons à nos clients

2. Définir les utilisateurs et gérer les droits d’accès

Le maître mot est de pouvoir dans tous les cas identifier la provenance d’une action sur votre informatique et gérer au plus juste l’attribution et la suppression des droits :

  • utilisez un compte « utilisateur » et non « administrateur » pour vos usages quotidiens
  • limitiez les accès « administrateur » aux seules personnes en charge de la gestion de votre informatique
  • identifiez précisément les différents utilisateurs et bannissez les comptes génériques : stagiaire, contact, poste1, etc. ; chaque employé doit être identifié nommément afin de pouvoir relier une action à un utilisateur individuel
  • adoptez des procédures d’arrivée et de départ du personnel strictes pour octroyer les droits informatiques au plus juste et les révoquer en temps et en heure

3. Se méfier de votre messagerie

80% des piratages débutent par un e-mail. La liste de recommandations ci-dessous devrait vous permettre de déceler les principales menaces :

  • identifiez l’expéditeur de l’e-mail et vérifiez la cohérence entre l’adresse, le contenu et l’expéditeur présumé ; en cas de doute n’hésitez pas à contacter directement l’expéditeur
  • n’ouvrez pas les pièces jointes provenant d’un expéditeur inconnu ou dont le titre ou le format vous semblent incohérents
  • Si un lien se trouve dans votre e-mail, avant de cliquer, survolez-le avec votre souris et vérifiez la cohérence du lien dans l’info bulle qui apparaît à l’écran
  • ne répondez jamais aux demandes d’information personnelles et ne relayez pas les messages de type « chaines de solidarité » et « alertes virales » ; vérifiez au préalable les contenus sur « hoaxbuster » pour vous assurer de leur véracité

4. Effectuer les mises à jour

Que ce soit vos serveurs, vos postes de travail, vos équipements réseaux, vos smartphones ou vos applications, de nombreuses mises à jour sont publiées régulièrement. Pour corriger les failles de sécurité, vous devez impérativement les appliquer et demander à vos employés de faire de même. Là encore, vous avez la possibilité d’automatiser ces tâches pour ne pas vous reposer sur les bonnes volontés individuelles.

Si l’application des mises à jour vous prend trop de temps ou risque de générer des effets de bord sur votre informatique, nous vous conseillons de missionner votre informaticien ou d’opter pour des services externalisés. Vérifiez au préalable qu’ils bénéficient bien d’un support illimité en temps et qu’ils incluent l’application régulière des mises à jour.

5. Sécuriser votre WiFi

Le responsable d’un acte malveillant depuis une connexion Internet est par défaut le souscripteur de cette connexion. Qu’elle soit exploitée illicitement par un hacker ou l’un de vos employés, votre responsabilité de dirigeant est mise en jeu.

Assurez-vous alors que votre WiFi soit sécurisé et que le protocole de chiffrement soit le bon (WPA2 ou WAP-AES). Les clés WEP sont désormais à bannir, car trop faibles : elle peuvent être déchiffrées en quelques minutes rendant ainsi votre accès Internet accessible à n’importe qui.

Les accès WiFi public/visiteur devront eux être réalisés avec des antennes professionnelles (ex : Cisco Meraki) qui permettent grâce à une surveillance Cloud centralisée d’être alerté en cas de comportement anormal mais aussi de séparer logiquement les réseaux.

6. Effectuer des backups réguliers

Qu’on se le dise, les sauvegardes, ça devrait être comme l’assurance pour les voitures :  obligatoire ! Mais il y a sauvegarde et sauvegarde. Alors les quelques conseils ci-dessous devraient vous guider vers la bonne voie :

  • optez pour une solution de sauvegarde automatique et non manuelle
  • choisissez un support fiable et avec une durée de vie suffisante (ex : les clé USB ne sont pas fiables et ne doivent pas être utilisées pour des sauvegardes de longue durée)
  • externalisez vos sauvegardes : les solutions de backup Cloud sont fiables et bon marché (ex : 1To avec contrôle journalier vous coûteront CHF 85.- /mois).
  • optez pour des solutions de sauvegarde cryptées pour garantir la confidentialité de vos données
  • conservez au minimum un historique de 7 jours, pour vous prémunir des ransomwares

7. Redoubler de prudence avec vos smartphones et tablettes

De nombreuse entreprise mettent à disposition de leurs employés des smartphones sans pour autant les sécuriser ou du moins restreindre leur accès au réseau d’entreprise. Gardez à l’esprit qu’à ce jour les smartphones ne sont que très peu protégés. Les conseils suivants vous permettront de minimiser les risques pour votre entreprise :

  • installez uniquement les applications nécessaires et vérifiez avant de les télécharger à quelles données elles accèdent ; bannissez par défaut les applications trop curieuses
  • sauvegardez régulièrement le contenu de vos smartphones/tablettes sur un support externe ou Cloud
  • utilisez une solution de MDM (Mobile Device Management) pour surveiller les appareils qui se connectent au réseau d’entreprise ; par exemple, Cisco Meraki propose des solutions efficaces et abordables

8. Protéger vos appareils lors des déplacements

Lors des déplacements, les risques de vol, de perte, de casse ou encore d’intrusion sont décuplés. Si vous êtes amené à vous déplacer régulièrement, l’utilisation d’un poste de travail virtuel sera à coup sûr la meilleure solution. Votre ordinateur effectuera uniquement de l’affichage et s’apparentera à une coquille vide pour la personne malveillante qui souhaiterait y accéder. Vos données resteront, elles, bien au chaud dans le Cloud.

En complément, l’ajout d’une solution de MDM vous permettra de localiser votre smartphone ou votre ordinateur en cas de perdu ou de vol et d’en effacer le contenu à distance le cas échéant.

En conclusion

L’application de ces quelques recommandations vous permettra à coup sûr de renforcer considérablement votre sécurité informatique. Mais en aucun cas, elles ne pourront vous dispenser de surveiller et de faire évoluer votre informatique pour gagner en sécurité et en simplicité.

Si vous prenez en ce début d’année la décision de renforcer votre sécurité informatique, ou d’analyser votre parc existant, nous mettons à votre disposition notre expertise et nous vous accompagnons dans cette démarche avec plaisir. Pour cela, il vous suffit de cliquer ci-dessous.