Cybersécurité en entreprise et Cloud computing

Le Cloud Computing s’est peu à peu imposé dans l'infrastructure IT des entreprises, offrant flexibilité, scalabilité et réduction des coûts. Pour autant, cette migration vers le Cloud soulève d'importants défis en matière de cybersécurité.

Comment les entreprises peuvent-elles profiter des avantages du Cloud tout en protégeant efficacement leurs données et systèmes contre les cybermenaces croissantes ?

Dans ce chapitre de notre centre de ressources dédié à la cybersécurité des entreprises, nous explorons les enjeux, risques et meilleures pratiques de cybersécurité dans le contexte du Cloud computing.

Notre objectif : vous aider à mettre en place une stratégie de sécurité robuste et adaptée à ce nouvel environnement de Cloud Computing pour votre entreprise.

L'adoption des services Cloud a transformé la manière dont les entreprises gèrent et stockent leurs données, en offrant plus de flexibilité et d’efficacité.

Cependant, comme pour l’impact de l’IA sur la cybersécurité ou des objets connectés sur la sécurité des entreprises, cette transition vers le Cloud s'accompagne de défis significatifs en matière de sécurité.

La complexité et la diversité des environnements Cloud, combinées aux menaces croissantes de cybersécurité, obligent les entreprises à repenser leur approche de la protection des données.

Dans ce chapitre, nous explorons les fondements de la sécurité dans le Cloud, en examinant les rôles et responsabilités partagés entre fournisseurs et utilisateurs, les implications des différents types de services Cloud, et les standards et réglementations essentiels pour garantir une sécurité robuste et conforme.

Comprendre la sécurité dans le Cloud avec le modèle de responsabilité partagée

Dans ce modèle, les responsabilités de sécurité se répartissent entre le fournisseur de services Cloud et le client.

Le fournisseur de services Cloud est généralement responsable de la sécurité de l'infrastructure Cloud, c'est-à-dire du matériel, des réseaux, des installations physiques et des logiciels de base qui gèrent le Cloud.

Le client, quant à lui, est responsable de la sécurité de tout ce qu'il déploie dans le Cloud, incluant les applications, les données et les configurations des serveurs virtuels.

Par exemple, si une entreprise déploie une application web sur la solution Cloud SFR qu’elle a choisie, elle doit s'assurer que les contrôles d'accès, le chiffrement des données et les configurations des pare-feu sont correctement mis en place pour sécuriser cette application.

Ce partage des responsabilités nécessite une compréhension claire des rôles de chaque partie pour éviter des lacunes en matière de cybersécurité.

PaaS (Platform as a Service )

Ce service PaaS ( pour Plateforme en tant que Service) fournit une plateforme permettant aux utilisateurs de développer, de tester et de déployer des applications sans gérer l'infrastructure sous-jacente. Les fournisseurs de PaaS, comme App Engine de Google Cloud ou Microsoft Azure App Service, prennent en charge la gestion de la sécurité de la plateforme.

Cependant, les utilisateurs doivent sécuriser leurs applications et les données qu'elles manipulent, comme la gestion des accès et l'intégration des meilleures pratiques de sécurité dans le développement des applications.

SaaS (Software as a Service *)

Ce service SaaS (pour Logiciel en tant que Service) fournit des applications complètes accessibles via Internet, comme Slack ou Salesforce par exemple. Les fournisseurs de SaaS gèrent la sécurité de l'infrastructure, des plateformes et des applications elles-mêmes. Les utilisateurs doivent se concentrer sur la gestion des accès et la protection des données qu'ils entrent dans ces applications.

Par exemple, les entreprises utilisant le Pack Business de SFR Business (équipement virtuel en SaaS hébergé dans le Cloud) comme solution de téléphonie d’entreprise et d’outils collaboratifs, doivent s'assurer que les politiques de gestion des identités et des accès sont strictement appliquées pour protéger les informations sensibles stockées et partagées via ces services.

Les standards et les réglementations de la sécurité Cloud

Ces standards et ces réglementations servent à garantir que les services Cloud respectent les exigences de sécurité et de confidentialité des données.

• En Europe, le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes aux entreprises pour la protection des données personnelles. Les fournisseurs de services Cloud doivent garantir que leurs services sont conformes au RGPD, via des mesures de sécurité robustes pour protéger les données personnelles contre l'accès non autorisé, les pertes ou les destructions.


• Aux États-Unis, la Health Insurance Portability and Accountability Act (HIPAA) impose des exigences de sécurité spécifiques pour les données de santé. Les fournisseurs de services Cloud qui traitent des informations de santé protégées doivent se conformer aux règles de la HIPAA, incluant des contrôles de sécurité, des audits réguliers et des processus de gestion des incidents.


• D'autres standards internationaux, comme la norme ISO/IEC 27001, fournissent un cadre pour la gestion de la sécurité de l'information, spécifiquement adapté aux services Cloud.

Ces standards aident les entreprises à mettre en place des systèmes de gestion de la sécurité de l'information (SMSI) efficaces pour protéger leurs données dans le Cloud.

En conclusion, pour les entreprises, la sécurité dans le Cloud signifie non seulement choisir des fournisseurs de services Cloud de confiance mais aussi adopter une approche proactive et intégrée de la sécurité pour protéger leurs données et applications dans le Cloud.

2. Les attaques par déni de service (DDoS)

Les attaques DDoS fonctionnent en submergeant les ressources d'un système, le rendant inaccessible aux utilisateurs légitimes. Dans le contexte du Cloud, ces attaques peuvent avoir des conséquences particulièrement graves, affectant potentiellement de nombreux clients partageant la même infrastructure.

3. La compormission des comptes et des accès

Lorsqu’ils réussissent à compromettre des comptes utilisateurs, souvent grâce à des techniques de phishing ou à l'utilisation de mots de passe faibles, les attaquants accèdent alors directement aux ressources Cloud d'une entreprise. Ce type d'attaque peut passer inaperçu pendant longtemps, permettant aux cybercriminels d'exfiltrer des données ou de propager des malwares.

4. Les mauvaises configurations, les erreurs humaines…

Les erreurs de configuration figurent parmi les sources majeures de vulnérabilité dans le Cloud. C’est le plus souvent une mauvaise compréhension des paramètres de sécurité ou simplement une négligence qui en sont à l’origine. Ces erreurs peuvent exposer des données sensibles ou créer des points d'entrée pour les attaquants.

5. … et les menaces internes

Les menaces internes, qu'elles soient intentionnelles ou accidentelles, représentent un risque significatif pour la sécurité des données dans le Cloud. Les employés ou les partenaires ayant un accès légitime peuvent, par négligence ou malveillance, compromettre la sécurité des systèmes.

6. La vulnérabilités des APIs

Les interfaces de programmation d'applications (APIs) sont essentielles pour l'intégration et l'automatisation dans le Cloud, mais elles peuvent aussi être une source de vulnérabilités si elles sont mal sécurisées. Des APIs mal protégées constituent pour les attaquants un moyen d'accéder aux données et aux fonctionnalités critiques d'une application.

Le chiffrement des données (au repos et en transit)

Le chiffrement des données est clé pour protéger les informations sensibles dans le Cloud, que ce soit au repos ou en transit.

pour les données au repos, l'utilisation d'algorithmes de chiffrement robustes comme AES-256 est recommandée.

pour les données en transit, le protocole TLS 1.3 offre une sécurité renforcée.

Une gestion rigoureuse des clés de chiffrement est une des piliers d’une stratégie de cybersécurité efficace. Les entreprises doivent envisager l'utilisation de modules de sécurité matériels (HSM) Cloud pour stocker et gérer ces clés de manière sécurisée.

La gestion des identités et des accès (IAM)

Contrôler qui peut accéder aux ressources Cloud et dans quelles conditions relève d’une bonne gouvernance de la cybersécurité. Pour y parvenir, il faut gérer efficacement les identités et les accès.

• Ainsi, l'adoption de l'authentification multifactorielle (MFA) et du principe du moindre privilège sont des pratiques primordiales.



Microsoft a récemment renforcé ses capacités IAM avec Azure AD Conditional Access, et permet aux entreprises de définir des politiques d'accès basées sur divers facteurs comme la localisation, l'appareil utilisé ou le niveau de risque de la session. Cette approche contextuelle améliore considérablement la sécurité des accès au Cloud.



• De même, l'utilisation de l'authentification sans mot de passe gagne en popularité.



Google a étendu son support pour les clés de sécurité FIDO2 à tous les comptes Google en 2023, offrant une alternative plus sûre aux mots de passe traditionnels. Les entreprises devraient envisager d'adopter ces technologies pour renforcer leur posture de sécurité IAM.



• De plus, l'implémentation de la gestion des accès privilégiés (PAM) se révèle cruciale pour surveiller et contrôler les accès aux ressources sensibles.

La segmentation et l’isolation des environnements Cloud

• La segmentation des réseaux Cloud et l'isolation des charges de travail critiques réduisent la surface d'attaque et limitent la propagation potentielle d'une compromission. Les technologies de virtualisation et de conteneurisation jouent un rôle clé dans cette stratégie.



Amazon Web Services (AWS) a introduit en 2023 des améliorations à son service Amazon VPC, permettant une segmentation plus fine et une isolation renforcée des ressources Cloud. Ces fonctionnalités permettent aux entreprises de créer des architectures Cloud plus sécurisées et résilientes.



• L'utilisation de micro segmentation est de plus en plus recommandée pour isoler les workloads critiques.



VMware a récemment amélioré ses capacités de microsegmentation dans VMware NSX, offrant une granularité accrue dans la définition des politiques de sécurité au niveau des applications et des données.



• Pour les environnements multi-Cloud, l'adoption d'une approche de sécurité basée sur le zero trust, comme dans le cas de la solution Sase de SFR Business, devient essentielle.

• 2. L'utilisation de plus en plus importante de l'apprentissage automatique pour la détection des anomalies.



En 2023, Splunk (filiale Cisco) a introduit des fonctionnalités d'apprentissage automatique avancées dans sa plateforme de sécurité, utilisant donc l’IA pour une détection plus précise des menaces inconnues dans les environnements Cloud.



• 3. L'adoption de solutions de détection et de réponse étendues (XDR) devient cruciale pour une vision holistique de la sécurité.

Une gestion rigoureuse des correctifs et des mises à jour

Essentielle pour maintenir un niveau de sécurité optimal dans le Cloud, cette gestion implique de suivre de près les vulnérabilités découvertes et d'appliquer rapidement les correctifs nécessaires.

Ainsi, Microsoft, avec son service Azure Update Management, offre désormais des capacités avancées de planification et de rapport pour les mises à jour de sécurité dans les environnements Azure et hybrides. Cette amélioration permet aux entreprises de mieux gérer et prioriser les mises à jour critiques.

L'utilisation de conteneurs et de technologies 'immutables infrastructure' gagne en popularité pour simplifier la gestion des mises à jour ; à l’instar de Docker, qui a introduit de nouvelles fonctionnalités de sécurité en 2023, permettant une vérification et une mise à jour plus rapides des images de conteneurs vulnérables.

Les plans de réponse aux incidents pour une continuité d’activité

Déployer des plans de réponse aux incidents et de continuité d'activité bien définis participe d’une gouvernance efficace de cybersécurité. Cela permet de minimiser l'impact des incidents de sécurité. Ceci étant, pour qu’ils soient efficaces, ces plans doivent être régulièrement testés et mis à jour pour refléter l'évolution de l'infrastructure Cloud et des menaces.

Plusieurs exemples pratiques :

• La CISA (Cybersecurity and Infrastructure Security Agency) a publié en 2023 un guide actualisé sur la réponse aux incidents dans le Cloud, soulignant l'importance d'adapter les stratégies de réponse aux spécificités des environnements Cloud. Ce guide recommande notamment l'intégration de scénarios spécifiques au Cloud dans les exercices de simulation d'incidents.


• L'utilisation de l'automatisation dans la réponse aux incidents devient de plus en plus importante. IBM a étendu ses capacités de réponse automatisée aux incidents dans sa plateforme IBM Cloud Pak for Security, permettant une réaction plus rapide et cohérente aux menaces dans les environnements Cloud.


• Enfin, la mise en place de stratégies de sauvegarde et de récupération spécifiques au Cloud est essentielle. En 2023, Veeam a introduit de nouvelles fonctionnalités de sauvegarde et de récupération pour les environnements multi-Cloud, offrant une plus grande flexibilité et résilience en cas d'incident majeur.

Les Cloud Access Security Brokers (CASB)

Les CASB sont des solutions de sécurité qui se positionnent entre les utilisateurs de l'entreprise et les applications Cloud.

Ils servent à renforcer la visibilité, la conformité, la protection des données et la gestion des menaces pour les applications Cloud utilisées par l'entreprise. Ils permettent la détection des erreurs d’autorisation et de comportements anormaux (Office 365, Saleforce, Google Apps, Dropbox…). Ils font partie des solutions de protection du Cloud SFR Business.

Comment ça marche ?
Les CASB s'intègrent à l'infrastructure existante et appliquent des politiques de sécurité uniformes à travers différentes applications Cloud. Ils peuvent fonctionner en mode proxy ou via des API.

Les plateformes de protection des charges de travail Cloud (CWPP)

Les CWPP sont des solutions de sécurité conçues pour protéger les charges de travail (workloads) dans les environnements Cloud.

Elles servent à sécuriser les serveurs, les conteneurs, et les fonctions serverless en offrant des capacités de protection, de détection et de réponse aux menaces.

Comment ça marche ?
Les CWPP utilisent diverses technologies comme l'analyse des vulnérabilités, la détection des malwares, et la surveillance de l'intégrité des fichiers pour protéger les charges de travail Cloud.

La gestion de la posture de sécurité Cloud (CSPM)

Les CSPM sont des outils qui aident les entreprises à identifier et à corriger les erreurs de configuration et les risques de conformité dans leurs environnements Cloud. Ils servent à maintenir une posture de sécurité cohérente, à assurer la conformité aux réglementations et à réduire les risques liés aux mauvaises configurations.

Comment ça marche ?
Les CSPM scannent continuellement l'infrastructure Cloud, comparent les configurations actuelles aux meilleures pratiques et aux politiques définies, et alertent ou corrigent automatiquement les écarts.

Les solutions de Data Loss Prevention (DLP) pour le Cloud

Les solutions DLP pour le Cloud sont des outils conçus pour prévenir la fuite ou la perte de données sensibles dans les environnements Cloud. Elles servent à identifier, surveiller et protéger les données sensibles, qu'elles soient au repos, en mouvement ou en cours d'utilisation dans le Cloud.

Comment ça marche ?
Les DLP utilisent des techniques comme l'analyse de contenu, le fingerprinting de données et des politiques basées sur le contexte pour détecter et prévenir les transferts non autorisés de données sensibles.

Ces technologies et outils représentent l'évolution de la sécurité pour répondre aux défis spécifiques du Cloud. Leur adoption et leur intégration efficace sont essentielles pour construire une stratégie de sécurité Cloud robuste et complète.

Les 8 critères pour trouver le fournisseur Cloud le plus adapté aux besoins de votre entreprise

Pour trouver le fournisseur Cloud le mieux adapté aux besoins de votre entreprise, vérifiez que les critères suivants sont réunis.

1. Certifications de sécurité : Recherchez des fournisseurs disposant de certifications reconnues telles que ISO 27001, SOC 2, ou PCI DSS.
2. Conformité réglementaire : Assurez-vous que le fournisseur respecte les réglementations spécifiques à votre secteur (RGPD, HIPAA, etc.).
3. Mesures de sécurité : Évaluez les contrôles de sécurité mis en place, comme le chiffrement des données, la gestion des accès, et la protection contre les DDoS.
4. Transparence : Le fournisseur doit être ouvert sur ses pratiques de sécurité et communiquer régulièrement sur les incidents.
5. Support et disponibilité : Vérifiez les SLAs proposés et la qualité du support technique.
6. Flexibilité et évolutivité : Le fournisseur doit pouvoir s'adapter à vos besoins croissants.
7. Localisation des données : Assurez-vous que le stockage des données respecte vos exigences géographiques et légales.
8. Réputation et stabilité financière : Optez pour des fournisseurs établis et financièrement stables.

Sachez que SFR Business répond à tous ces critères.

Comprendre les offres de sécurité natives des grands fournisseurs internationaux

Amazon Web Services (AWS)

Principales offres : AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), AWS Shield (protection DDoS) et AWS WAF (Web Application Firewall).
Objet : Ces services visent à sécuriser l'accès aux ressources, gérer le chiffrement, protéger contre les attaques DDoS et sécuriser les applications web.
Coûts : Les coûts varient selon l'utilisation. Certains services comme IAM sont gratuits, tandis que d'autres comme Shield Advanced peuvent coûter plusieurs milliers de dollars par mois.

Microsoft Azure

Principales offres : Azure Active Directory, Azure Security Center, Azure Sentinel (SIEM) et Azure DDoS Protection.
Objet : Ces services couvrent la gestion des identités, la sécurité globale, l'analyse des menaces et la protection contre les DDoS.
Coûts : Les prix varient considérablement. Azure Active Directory a une version gratuite et des versions payantes, tandis que Security Center peut coûter environ 15$ par ressource par mois.

Google Cloud Platform (GCP)

Principales offres : Cloud Identity, Security Command Center, Cloud Armor (WAF et protection DDoS) et VPC Service Controls.
Objet : Ces services gèrent les identités, la visibilité sur la sécurité, la protection des applications et l'isolation des ressources.
Coûts : Comme pour les autres fournisseurs, les coûts varient. Certains services ont des niveaux gratuits, d'autres sont facturés à l'usage.

L'offre de sécurité native de SFR

Au niveau national, SFR Business propose une offre de Cloud sécurisé pour les entreprises. Voici quelques éléments de la offre de sécurité native :

SFR Cloud Sécurisé : Une solution de Cloud privé hébergée en France, répondant aux exigences de sécurité et de souveraineté des données.
Pare-feu as a Service : Un service de sécurité réseau géré, protégeant les infrastructures Cloud contre les menaces.
Backup as a Service : Une solution de sauvegarde et de restauration des données, essentielle pour la continuité d'activité.
Security Operation Center (SOC) : Un service de surveillance et de réponse aux incidents de sécurité 24/7.
Conformité RGPD : SFR garantit la conformité de ses services Cloud aux exigences du Règlement Général sur la Protection des Données.

L'avantage principal de l'offre SFR réside dans l'hébergement des données en France, ce qui peut être crucial pour certaines entreprises soumises à des réglementations strictes en matière de localisation des données.

La sécurisation des environnements multi-Cloud et hybrides

La complexité croissante des infrastructures informatiques, combinant souvent plusieurs fournisseurs de Cloud et des systèmes sur site, pose de nouveaux défis en matière de cyber sécurité. Les entreprises doivent adopter une approche holistique pour sécuriser ces environnements hétérogènes.

Ainsi, Gartner prévoit que d'ici 2025, plus de 75% des entreprises utiliseront des architectures multi-Cloud ou hybrides.

Cette tendance nécessite des solutions de sécurité capables d'offrir une visibilité et un contrôle unifiés sur l'ensemble de l'infrastructure. La standardisation des politiques de sécurité à travers différents environnements Cloud devient cruciale.

Des outils comme Prisma Cloud de Palo Alto Networks offrent désormais des capacités de gestion de la posture de sécurité Cloud (CSPM) multi-Cloud, permettant d'appliquer des politiques cohérentes sur AWS, Azure, et Google Cloud.

L'impact de l'IA et du machine learning sur la sécurité Cloud

L'intelligence artificielle (IA) et le machine learning (ML) transforment rapidement le paysage de la sécurité Cloud, offrant de nouvelles opportunités mais introduisant également de nouveaux risques.

• Du côté défensif, l'IA améliore considérablement la détection des menaces et la réponse aux incidents.



Google Cloud a introduit en 2023 des capacités d'IA avancées dans son service Chronicle Security Operations, permettant une détection plus rapide et plus précise des menaces complexes.



• Pour autant, l'IA est également utilisée par les cyber attaquants pour créer des menaces plus sophistiquées. Les deepfakes et les attaques par empoisonnement de modèles d'IA deviennent des préoccupations majeures.
  Pour contrer ces menaces, de nouvelles approches de sécurité basées sur l'IA émergent.