Skip to main content
Subscribe
Subscribe to our Newsletter Subscribe
Informatique en nuage

Comment Évaluer la Sécurité d’un Fournisseur de Services Cloud : Guide Complet

Katie Sanders
By
Katie Sanders
Katie Sanders Executive Editor

More about Katie
QUICK SUMMARY

Intimidé par la complexité de la sécurité réseau, les risques liés aux fournisseurs et la sécurité physique des centres de données ? Ce guide complet explore les défis de sécurité courants dans les services cloud et souligne l’importance de mesures de sécurité robustes, en prodiguant des conseils sur les meilleures pratiques pour l’évaluation de la sécurité dans le cloud.

TABLE OF CONTENTS Défis de Sécurité Courants dans les Services Cloud Évaluer la Sécurité d’un Fournisseur de Services Cloud Meilleures Pratiques La Sécurité avant tout pour les CTO
An image showing a magnifying glass positioned in front of a cube, emphasizing the examination of its contents. How to evaluate cloud service provider. A Comprehensive Guide for Tech Leaders Featured Image

Le marché des services cloud a atteint plus de 550 milliards de dollars en 2021, et il devrait dépasser 2,5 trillions de dollars d'ici 2031. L’approche relativement peu interventionniste est plus simple, plus rapide et généralement moins coûteuse. Mieux encore, elle libère beaucoup d'espace physique et de talents en interne pour votre entreprise. Mais travailler dans un environnement cloud présente un inconvénient, car les services gérés retirent de vos mains la maîtrise des pratiques de sécurité.

Je définis les fournisseurs de plateformes cloud comme toute entité fournissant des services informatiques à la demande et de migration de données sans que vous ayez à intervenir. Si vous recherchez un fournisseur de services cloud, parcourons ensemble certains risques de sécurité courants ainsi que les indicateurs que vous devez utiliser pour évaluer la performance de vos prestataires.

Principaux défis de sécurité dans les services cloud

Avant de savoir comment votre fournisseur vous protège, vous devez savoir contre quoi il vous protège. Contrairement aux pannes habituelles, les failles de sécurité ont des personnes talentueuses qui œuvrent à l’autre bout pour les rendre aussi dommageables que possible. Au fil des années, les hackers ont développé des méthodes ingénieuses pour exploiter les failles de sécurité. Voici quelques-unes des manières les plus courantes dont votre sécurité cloud peut être compromise :

  • Fuites de données : La voie directe est la plus courante (et potentiellement destructrice) des failles de sécurité. Les fuites de données surviennent fréquemment sur les services cloud. Elles peuvent se produire pour des raisons apparemment anodines, et lorsqu'elles surviennent, elles peuvent être dévastatrices. L'exemple de Capital One est très parlant. En 2019, une simple vulnérabilité du pare-feu Amazon Web Services (AWS) a entraîné la divulgation des données de 100 millions de clients. La situation était si grave qu’un lien permanent a été placé sur la page d'accueil pour tenir les gens informés de la procédure de recours collectif.
  • Mauvaise gestion des identités et des accès (IAM) : Environ 67 % des services cloud mondiaux sont fournis par seulement quatre entreprises, AWS représentant à elle seule la moitié de ce chiffre. Avec autant de clients, la complexité est inévitable et les politiques de sécurité IAM, essentielles, peuvent facilement être négligées, ce qui mène à des catastrophes. Les grands fournisseurs se sont améliorés sur ce point, mais ils doivent encore redoubler d’efforts pour appliquer une authentification multifacteur solide et le principe du moindre privilège, qui restent pourtant des portes dérobées très utilisées pour de grandes fuites de données.
  • Interfaces et API non sécurisées : Une conception bâclée des interfaces peut permettre au grand public d’accéder à votre service de facturation ou à l’équipe commerciale de consulter des données RH confidentielles. Vous ne serez protégé que si des tests rigoureux sont effectués par un tiers motivé à « casser » votre API pour recevoir une prime.
  • Mauvaise visibilité et contrôles laxistes : En 2020, des hackers ingénieux ont mené une attaque par la chaîne d'approvisionnement afin d’implanter du code malveillant chez un sous-traitant du gouvernement nommé SolarWinds. Le logiciel contaminé, Orion, s’est propagé latéralement chez plusieurs clients, installant des portes dérobées dans leurs systèmes. Personne ne s’est aperçu de la situation pendant environ neuf mois, à cause d’une visibilité défaillante et d’une absence de validation de la sécurité. 
  • Problèmes liés au modèle de sécurité partagé : Le modèle de sécurité partagée concerne davantage les juristes que les ingénieurs. Un fournisseur de services cloud typique prendra la responsabilité de l’infrastructure cloud et des éléments qu’il contrôle, mais tout ce qui concerne la sécurité de vos données et de vos systèmes de chiffrement dépend de vous.
  • Problèmes de conformité et réglementation : Si votre entreprise traite des informations de santé aux États-Unis, vous connaissez la HIPAA. Si vous êtes en Europe, vous connaissez le RGPD. Et en Californie, il s’agit du CCPA. Si votre fournisseur n’est pas dûment certifié pour les standards de confidentialité des données des consommateurs, il y a de fortes chances que certaines amendes vous concernent directement, comme l’amende de 1,2 milliard € infligée par le gouvernement irlandais à Meta en mai 2023 pour violation de la vie privée. Assurez-vous, par exemple, de disposer d’une solide conformité de vos données cloud.
  • Menaces persistantes avancées (APT) et ransomware : En mai 2021, une attaque par ransomware sur le réseau de distribution de carburant du Colonial Pipeline a pratiquement stoppé la livraison d'essence sur la côte Est. Au-delà des images mémorables de gens tentant de remplir des sacs plastiques d’essence, cet événement a profondément inquiété le gouvernement. Une seule cyberattaque sophistiquée a permis à des malfaiteurs de chiffrer les voies de contrôle d’infrastructures cruciales et semé la panique parmi la population de plusieurs États.

Critères clés pour évaluer la sécurité d’un fournisseur de services cloud

  • Certificats spécifiques à l'industrie : Votre secteur possède probablement ses propres normes. Selon la sensibilité de votre activité, cela peut aller d'audits approfondis et de règles strictes de divulgation à une simple vérification pour s'assurer que vous ne trafiquez pas de l'uranium. Dans tous les cas, votre fournisseur de services cloud doit disposer des certificats requis par votre secteur. Dans le domaine de la santé, il s'agit de HITRUST, les prêteurs de cartes de crédit ont la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), etc. Les grands fournisseurs possèdent généralement plusieurs de ces certificats, comme AWS, qui en compte une cinquantaine.
  • Audits de conformité réguliers : Les choses évoluent rapidement dans les services cloud, et la conformité doit être continue. Assurez-vous que votre fournisseur réalise des audits de conformité réguliers, notamment pour la norme SSAE 16 et d'autres examens axés sur la sécurité.
  • Adaptation aux lois en évolution : À mesure que la technologie change, la législation suit avec un léger décalage. Renseignez-vous sur la manière dont votre fournisseur s'adapte à l'évolution des lois. Offre-t-il un accompagnement à ses clients en cas de changement notable quelque part ? En avez-vous besoin ? Le savoir tôt peut vous éviter bien des problèmes par la suite.
  • Circonstances particulières : De nombreux contrats cloud sont standardisés, notamment pour les petites et moyennes entreprises. Si vous êtes un acteur majeur avec des besoins spécifiques, vous aurez peut-être besoin d'un contrat négocié sur mesure ou au moins de quelques avenants.
A WEEKLY 5 MINUTE READ
Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

This field is for validation purposes and should be left unchanged.
By submitting you agree to receive occasional emails and acknowledge our Privacy Policy. You can unsubscribe at anytime.

Assurer une protection robuste des données

  • Chiffrement : Le chiffrement n'est pas négociable. Choisissez les meilleurs du secteur (au détriment d'autres critères, s'il le faut). La norme actuelle est l'AES-256, et les grands fournisseurs comme AWS vous laissent le choix entre gérer vous-même les clés ou leur confier cette tâche. 
  • Sauvegarde et reprise après sinistre : Une solide stratégie de reprise après sinistre est tout aussi incontournable. Les pirates ne sont pas les seuls à pouvoir causer une perte de données : un système mal conçu peut être vulnérable à une perte de serveur, un incendie ou même l'impact d'une météorite. L'un des principaux atouts des services cloud est justement la possibilité de récupérer rapidement des données perdues. Votre fournisseur doit avoir un bon plan, éprouvé, pour garantir la protection de vos données.
  • Gestion du cycle de vie des données de bout en bout : La gestion du cycle de vie des données regroupe des outils pour classifier, stocker, archiver et éliminer correctement les données. Pour une véritable sécurité, votre fournisseur doit avoir des procédures à chaque étape – comme un cabinet médical qui détruit ses anciens dossiers au lieu de simplement les jeter à la poubelle derrière le bâtiment.

Renforcer la gestion des identités et des accès

  • Authentification complète des utilisateurs : Aucune des mesures de sécurité d’un fournisseur cloud n’est efficace si n'importe qui peut se connecter avec votre mot de passe. Votre fournisseur propose-t-il l’authentification multifactorielle ? Des contrôles biométriques ? Des questions pièges sur votre lycée ? C'est contraignant, mais plus ces mesures sont présentes, plus vos points d'accès sont sûrs.
  • Contrôles d'accès : Les utilisateurs ne devraient avoir accès qu’aux ressources nécessaires à leur mission. Dans le domaine du renseignement, on parle du principe du besoin d’en connaître ; en informatique, c'est le principe du moindre privilège. Vérifiez si les utilisateurs sont limités au strict nécessaire ou si le fournisseur leur permet d'accéder à des bases de données confidentielles sans autorisation.
  • Pistes d’audit et rapports IAM : Votre fournisseur doit disposer de journaux d’audit transparents et complets, assortis de nombreux rapports détaillés sur toutes les actions des utilisateurs dans chaque environnement. Évitez les prestataires qui aiment garder des secrets ou laisser des zones d’ombre dans les rapports, véritables terrains propices à la dissimulation de menaces. 

Sécurité du réseau et de l’infrastructure

  • Protection pare-feu moderne : La protection pare-feu que vous recevez doit aller bien au-delà du simple filtrage de paquets que vous pourriez effectuer vous-même. Cherchez un fournisseur de services cloud (CSP) qui propose une protection pare-feu de nouvelle génération (NGFW). Celle-ci peut détecter et bloquer des tentatives sophistiquées visant votre réseau, bien au-delà des options standard du secteur.
  • Systèmes de détection et de prévention d'intrusion (IDPS) : Vous vous souvenez du piratage SolarWinds Orion que j'ai mentionné plus tôt ? Cette catastrophe a commencé par des attaques exploratoires fin 2019 et s'est étendue jusqu'à ce que le correctif final soit déployé en novembre 2020. Votre CSP doit être capable de repérer les logiciels malveillants dès leur apparition et d'appliquer un correctif au plus vite.
  • APIs sécurisées : L'interface est un point faible dans tout système. Assurez-vous de disposer d'une API sécurisée utilisant une solution robuste comme QAuth ou Google Cloud Endpoints avec la validation appropriée afin de maintenir la solidité de votre interface vulnérable.
  • Précautions contre les attaques DDoS : Les menaces de type déni de service distribué (DDoS) existent depuis l’apparition du ver Morris. Il est extrêmement simple pour une personne malintentionnée de saturer votre réseau avec un flot d’appels, épuisant ainsi toute votre bande passante. Cloudflare est le leader du secteur dans ce domaine, avec de solides antécédents pour avoir géré certaines des plus importantes attaques DDoS jamais enregistrées, jusqu’à des millions de requêtes par seconde.
  • Mises à jour et correctifs : Votre CSP gère-t-il activement votre écosystème de sécurité de l’information avec des correctifs réguliers et des mises à jour pour contrer les menaces les plus récentes ? De nouvelles vulnérabilités apparaissent en continu, et tout service cloud doit être prêt à y faire face dès qu'elles sont découvertes.
  • Ségrégation appropriée : Tout comme les paquebots possèdent des compartiments sous le pont au cas où ils heurteraient un iceberg, les données sensibles nécessitent une ségrégation et leurs propres suites de sécurité. Vous pouvez aller encore plus loin avec la micro-ségrégation, qui applique des protocoles de sécurité spécifiques à chaque cheminement au sein des processus.

Gestion des risques liés aux fournisseurs et aux tiers

  • Sécurité des fournisseurs pour les tiers : La plupart font appel à des tiers pour certaines applications et le stockage de données, et ils doivent tous être fiables. Assurez-vous que votre CSP vérifie les certificats de sécurité de tous ses sous-traitants, effectue régulièrement des audits de sécurité, et prenne en compte au moins leurs antécédents en matière de gestion d’incidents. Pensez également à la politique du fournisseur quant au chiffrement, à l’accès aux données et à la notification en cas de violation.
  • Sécurité de la chaîne logistique : Chaque application et chaque réseau constitue une chaîne de produits et de services, et une vulnérabilité n’importe où dans cette chaîne représente un risque pour l’utilisateur final, c'est-à-dire vous. Votre CSP doit vérifier l’ensemble de la chaîne et valider les certificats de sécurité à tous les niveaux.
  • Planification et réponse aux incidents : Des événements indésirables peuvent survenir même aux meilleurs réseaux : votre fournisseur doit disposer d’un plan de réponse aux incidents bien défini afin de faire face rapidement aux problèmes émergents. Cela peut être un piratage, une attaque DDoS, la détection de logiciels malveillants, la protection contre les ransomwares, ou tout autre incident.

Sécurité physique et environnementale

  • Contrôles d'accès physiques : On pense à la sécurité des données en termes de chiffrement et de protocoles d’accès, mais le centre de données est aussi un lieu physique qui nécessite des serrures et des agents de sécurité. Les CTO devraient visiter les centres de données des CSP pour vérifier qu’ils disposent du niveau de sécurité physique requis.
  • Contrôles environnementaux : Les centres de données peuvent aussi être compromis par un incendie ou une inondation. Vérifiez que le centre dispose d’un système adéquat d’extinction d’incendie au halon ainsi que de systèmes fiables de gestion de la température et de l'humidité. 
  • Redondance et sauvegardes : Même si un centre de données est très bien conçu, des incidents peuvent toujours survenir. Votre CSP doit disposer de plusieurs systèmes redondants ainsi que d’un plan de sauvegarde pour restaurer les serveurs endommagés et les données perdues. Les alimentations sans interruption (UPS) sont la norme, et un certain niveau de protection RAID personnalisable est idéal.
  • Temps de réponse et de récupération : Les fournisseurs communiquent généralement sur leurs plans de gestion des incidents ainsi que leur calendrier de tests et de mises à jour. Vérifiez qu’ils disposent d’un plan de reprise d’activité pouvant être déclenché rapidement. Analysez la performance historique du fournisseur, notamment au niveau des interruptions et du temps d'indisponibilité.
  • Support client : Vérifiez le type de support client offert par votre CSP. Beaucoup trop de fournisseurs affichent des délais de réponse lents ou inexistants. Assurez-vous que le vôtre propose plusieurs moyens de communication, comme le téléphone, le chat, l'e-mail et même les SMS.
  • Documentation complète : Les services pour lesquels vous payez sont complexes, et une documentation claire est essentielle pour bien comprendre à quoi vous souscrivez. Lisez attentivement les guides d’utilisation, les manuels et les protocoles publiés par le fournisseur.
  • Propriété et portabilité des données : Les données sont un atout. Avant de signer le contrat, assurez-vous de bien savoir à qui appartiennent les données hébergées et dans quelle mesure elles sont portables. Autrement, vous pourriez vous retrouver avec ce que vous considérez comme vos propres données bloquées sur des serveurs distants, sans possibilité de déplacement.
  • Transparence dans la gestion des données et les mesures de sécurité : Vous devez avoir une vision claire de la façon dont vos données sont gérées, et votre fournisseur de sécurité cloud doit placer la transparence parmi ses priorités principales. Essayez de déterminer à l’avance comment les données sont stockées et transférées, quelles mesures de sécurité sont en place, et comment ces systèmes sont maintenus.
  • Support juridique après coup : Si vos données sont compromises, il pourrait y avoir des conséquences juridiques. Sur quel niveau de soutien pouvez-vous compter de la part de votre CSP ? Feindra-t-il de ne pas vous connaître, ou aurez-vous accès à leur équipe juridique ? Prendront-ils une part de responsabilité ou serez-vous seul ? Renseignez-vous et prévoyez en conséquence.

Meilleures pratiques pour l’évaluation de la sécurité cloud

Réaliser des évaluations approfondies des risques

  • Identifier et classifier les actifs : Sachez exactement ce que vous migrez vers le cloud, nommez chaque élément, puis classez-les en fonction de leur importance. Cela vous donne un ordre de priorité pour renforcer la sécurité là où elle est la plus critique.
  • Évaluer les vulnérabilités et les menaces : Aucun fournisseur de sécurité cloud n’est infaillible, et se protéger d’une menace peut vous rendre vulnérable à une autre. Connaissez vos propres failles mieux que les pirates, et surveillez en continu les menaces spécifiques présentes à tout moment.
  • Évaluer l’impact par rapport à la probabilité : Les incidents mineurs sont fréquents, mais les menaces majeures sont rares. À l’inverse, une erreur mineure est souvent anodine alors qu’une faille importante peut fermer votre activité. Pesez la probabilité d’une menace face à sa gravité et élaborez vos plans en conséquence.
  • Définir les contrôles : Sélectionnez votre ensemble d’outils de sécurité en fonction de votre analyse des risques. Vous aurez probablement besoin d’une combinaison saine de contrôles d’accès, d’outils de surveillance et de chiffrement sur le cloud comme en interne.
  • Maintenir une analyse des risques continue : L’environnement de menace évolue parfois quotidiennement, et vous devez rester à jour. Gardez une vision actualisée de ce contre quoi vous vous protégez et soyez toujours prêt à adapter vos mesures.

Analyser les accords de niveau de service

  • Connaître les obligations de votre CSP : Le fournisseur s’engage à vous proposer un service, il est donc essentiel de savoir en détail ce que cela implique. Définissez dès le départ à quels engagements il consent en matière de disponibilité, de performance et de traitement des tickets de support.
  • Connaître les recours et pénalités disponibles : Si le CSP n’honore pas ses engagements et que vous devez obtenir réparation, disposez-vous d’un ensemble de recours bien définis à l’avance ? En général, cela se traduit par des pénalités financières ou des remises sur de futurs services.
  • Préciser la scalabilité et la flexibilité : Vous allez sûrement croître après la migration, alors assurez-vous que votre nouvel environnement d’informatique en nuage puisse accompagner cette évolution. Le service peut-il évoluer rapidement à la hausse ou à la baisse ? Que se passe-t-il si votre croissance est très rapide ? Pouvez-vous passer facilement à une offre supérieure, ou êtes-vous enfermé dans un contrat figé ?
  • Prévoir plusieurs stratégies de sortie : Anticipez dès le départ comment rompre la relation si nécessaire. Si vous devez quitter votre fournisseur, élaborez un plan de migration des données à partir de ses serveurs vers un espace sûr, même s’il ne s’agit que d’un autre prestataire SaaS. 

Utilisez les outils à votre disposition pour évaluer la sécurité cloud

  • Cadres de l'industriea0: Il existe de9je0 certains outils e0 l'e9chelle de l'industrie pour e9valuer les proble8mes de se9curite9 chez un CSP, tels que la Cloud Controls Matrix (CCM) de la CSA et le Cybersecurity Framework du NIST. Utilisez-les comme partie de votre liste de contrf4le avant la migration.
  • Outils automatise9sa0: Il existe e9galement des outils avance9s que vous pouvez essayer et qui automatisent le processus de recherche des vulne9rabilite9s et des exigences de conformite9 re9glementaire. N'he9sitez pas e0 les utiliser car ils valent ge9ne9ralement leur prix.
  • Gestion de la posture de se9curite9 cloud (CSPM) : Le CSPM peut analyser les risques que vous n'avez pas encore de9tecte9s et prendre des mesures actives pour vous prote9ger avant qu'ils n'arrivent aux portes de vos serveurs. Ajoutez-le e0 votre posture ge9ne9rale de gestion des menaces.

Se9curite9 avant tout pour les CTO

Comme vous pouvez le constater, une migration cloud se9curise9e ne9cessite la prise en compte de nombreux aspects. Beaucoup de grands fournisseurs, notamment Microsoft Azure, ge8rent une partie de ces questions pour vous, mais il vous appartient de ve9rifier que tout est bien en place.

J'ai partage9 mes meilleures pratiques pour e9valuer la se9curite9 des fournisseurs de services cloud, mais il existe encore plus de ressources sur la se9curite9 cloud disponibles. Vous pouvez aussi vous abonner e0 notre newsletter pour recevoir les dernie8res analyses de la part de CTO.

You may also like