Résumé rapide :
La sécurité des données dans le cloud, notamment en ce qui concerne le stockage et le partage de data, est devenue un enjeu crucial avec l’adoption massive de ces technologies en Europe. Mais qu’est-ce qui fait qu’un cloud est véritablement sécurisé ? Plusieurs critères essentiels entrent en jeu : le chiffrement (ou cryptage) des données pour protéger les informations sensibles, une gestion rigoureuse des identités et des accès pour empêcher les intrusions non autorisées, la redondance et les sauvegardes pour éviter la perte d’informations, ainsi qu’une surveillance constante pour détecter et gérer les incidents. De plus, l’accessibilité depuis différents appareils et la synchronisation des données sont des aspects importants pour un usage efficace.
Des certifications comme l’ISO/IEC 27017 ou la qualification SecNumCloud attestent de la conformité du service aux normes internationales de sécurité, offrant des garanties supplémentaires de protection. Le schéma européen EUCS, actuellement en discussion, vise à harmoniser la sécurité des infrastructures cloud à travers l’Europe afin de fournir un cadre strict, bien que des débats subsistent sur certaines exigences, notamment l’immunité aux lois extraterritoriales.
Comprendre les distinctions entre un cloud souverain et un cloud de confiance est également primordial, surtout en ce qui concerne la souveraineté des données protégées et l’indépendance vis-à-vis des réglementations étrangères. Des solutions logicielles comme Tixeo illustrent l’importance de choisir des services cloud sécurisés et fiables pour les organisations professionnelles sensibles, en assurant la confidentialité et l’intégrité des données partagées en ligne.
Alors que la construction du schéma EUCS continue de faire débat en Europe, la protection des données dans le cloud, qu’il s’agisse du stockage en ligne ou des services de drive, est plus que jamais d’actualité. Parmi l’offre étendue de services et d’hébergements proposés, comment reconnaître un cloud véritablement sécurisé, simple d’utilisation et accessible ? Quels sont les critères indispensables pour une protection optimale des données ? Pourquoi le chiffrement des données et la gestion des identités et des accès font partie des critères essentiels dans la sécurisation de vos données sensibles ?
Qu’est-ce qu’un cloud sécurisé ?
Avec la digitalisation massive des entreprises et administrations, la sécurité du cloud apparaît comme un enjeu majeur. Pour cause, selon les objectifs de l’UE en matière de numérique, d’ici 2030, 75 % des entreprises européennes devraient utiliser les technologies de l’informatique en nuage pour leurs activités.
Un cloud dit sécurisé répond à des spécificités techniques (authentification, chiffrement, sauvegarde…) et réglementaires (conformité, localisation, disponibilité…) pour assurer la sécurité des données hébergées.
Choisir un cloud sécurisé : pourquoi est-ce important ?
Dans les secteurs d’activités sensibles, le recours à un hébergement cloud sécurisé revêt une importance capitale pour protéger des informations hautement confidentielles. En effet, le cloud sécurisé garantit à la fois la protection des données grâce à différents mécanismes de sécurité (chiffrement, gestion stricte des accès, sauvegarde…), mais assure également une stricte conformité avec des normes internationales. En choisissant un service cloud sécurisé, les organisations limitent les risques d’intrusion, de perte et de vol de données ainsi que les interruptions de service. En cas d’incident, la sécurité du cloud permettra de garantir la récupération des données et la continuité des activités.
Les principaux critères de sécurité
Chiffrement des données
Le chiffrement consiste à rendre illisible les données hébergées dans le cloud afin d’éviter tout vol, lecture ou compromission.
En janvier 2024, la CNIL a publié un guide sur « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public ». La Commission rappelle ainsi que le chiffrement des données reste « l’une des principales mesures permettant de garantir la confidentialité des données dans un système informatique. ». Pour cela, une bonne gestion des clés ainsi qu’une robustesse des algorithmes de chiffrement sont indispensables pour que la protection des données soit effective.
La CNIL indique ainsi plusieurs niveaux de chiffrement des données selon l’état d’utilisation des données. Par exemple, pour des données au repos (c’est-à-dire simplement stockées), 4 niveaux de chiffrement sont possibles :
- chiffrement de disque ;
- chiffrement au niveau du fichier ;
- chiffrement de base de données ;
- chiffrement au niveau de l’application.
Par ailleurs, le chiffrement de données en transit doit reposer sur « la création d’un tunnel sécurisé entre le client et le serveur cloud, ou entre différentes machines du cloud », dans lequel les données sont chiffrées à l’envoi et déchiffrées à réception.
Gestion des identités et accès
La gestion des identités et des accès dans le cloud consiste d’abord à recenser, dans une base de données, les personnes considérées comme légitimes pour accéder à certaines données. Différentes informations peuvent être listées sur leur identité et leur rôle dans l’entreprise ainsi que sur la typologie d’informations à laquelle ils peuvent accéder.
Les mises à jour de ces bases ainsi que la mise en place en place d’authentification multi-facteur sont indispensables pour contrôler les connexions et éviter des intrusions indésirables. De plus, un suivi précis des accès est recommandé pour évaluer la sécurité et répondre à des audits.
Redondance des données
Au-delà de la haute disponibilité des données, promise par de nombreux fournisseurs cloud, la redondance elle constitue un critère de sécurité important. En effet, alors que la disponibilité correspond au fait de pouvoir accéder aux données à tout moment, la redondance assure que des copies de données soient stockées sur différents serveurs, afin de faciliter l’accès aux données en cas de défaillance ou de panne. Ces mécanismes de redondance doivent être suffisamment robustes afin d’éviter la perte de données. Pour les évaluer, il peut être intéressant de s’attarder sur les pourcentages de durabilité garantis par les fournisseurs cloud, généralement mesurés en 9.
Sauvegarde et récupération après sinistre
Comme pour la redondance, la sauvegarde en cloud permet d’éviter une perte de données, mais aussi d’assurer la continuité d’activité, grâce à l’envoi d’une copie des données sur un serveur secondaire. L’avantage de la sauvegarde en cloud est qu’elle s’exécute automatiquement et en continu, sans nécessiter d’intervention de l’entreprise. Le fournisseur cloud a pour rôle de garantir cette sécurité essentielle.
Surveillance et gestion des incidents
Pour vérifier que les applications cloud fonctionnement normalement et détecter d’éventuels risques de sécurité, la surveillance du cloud est essentielle. Différentes solutions de surveillance existent et analysent les logs de l’application, du serveur ou encore du pare-feu et alertent en cas d’anomalie ou de tentatives d’accès malveillantes.
La gestion des incidents consiste à mettre en place des processus de notification et de résolution en cas d’incidents dans le cloud, afin d’éviter toute perte d’intégrité des données. Pour cela, il est essentiel de bénéficier d’une vue globale sur les ressources allouées ainsi que sur les opérations et les services critiques utilisés.
Conformité aux normes en vigueur
La norme ISO/IEC 27017
La sécurité d’un cloud se mesure également par sa conformité aux normes en vigueur. La norme ISO/IEC 27017, reconnue internationalement, délivre des conseils en matière d’implémentation et de contrôle des services cloud. Elle garantit ainsi la sûreté de l’environnement cloud.
Le schéma de certification européen EUCS
À l’échelle européenne, les services cloud pourront bientôt être certifiés par le premier schéma de certification européen du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS).
Son objectif est d’homogénéiser la sécurité du cloud en Europe en créant un cadre commun et en favorisant la souveraineté européenne. Mais sur ce dernier thème, les avis divergent. Récemment, « l’imperméabilité aux lois extraterritoriales » du service cloud, un des critères d’exigence les plus stricts de la certification, a été supprimé. La France et plusieurs pays s’y opposent depuis plusieurs mois et les discussions sont toujours en cours. Récemment, la Commission Supérieure du Numérique et des Postes et la CNIL ont confirmé que cette suppression représentait un danger pour la souveraineté des données sensibles.
La qualification SecNumCloud
En France, la qualification SecNumCloud a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing. Pour en bénéficier, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel, comprenant plus de 350 points d’exigence. Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
À noter que la qualification SecNumCloud est le référentiel de sécurité le plus exigeant en matière de protection des données cloud et de souveraineté numérique. Son prochain remplacement par le schéma commun EUCS pose ainsi d’autant plus question, si la suppression de l’exigence d’immunité extraterritoriale dans l’EUCS venait à être confirmée. En plus de représenter un danger pour la sécurité des données, cela pourrait diminuer de facto le niveau de sécurité global du cloud français et européen.
En savoir plus sur la qualification SecNumCloud
15 critères de confiance publiés par le Clusif
En juin 2024, le Clusif (association de référence de la cybersécurité en France) a publié « 15 critères pour évaluer la confiance numérique d’une solution d’hébergement ».
Les voici ci-dessous :
- Localisation physique des Datacenters
- Localisation des données (transit, repos, utilisation)
- Localisation des services et applications tierces
- Localisation des équipes d’admin / exploitation
- Localisation des sous-traitants
- Localisation si chaîne de sous-traitance
- Localisation des personnes à accès à privilèges
- Localisation des supervisions / sauvegardes
- Localisation du siège de la société
- Nationalité des services ou produits utilisés
- Nationalité du ou des hébergeurs
- Nationalité des personnels à accès techniques
- Nationalité des fonds de capitaux
- Montage juridique de la société / entité
- Certifications pour l’hébergeur
L’ensemble de ces critères permettent « d’objectiver le niveau de confiance numérique d’une solution d’hébergement » cloud, notamment pour les entreprises évoluant dans des secteurs critiques.
Cloud souverain et cloud de confiance : quelles différences ?
Parfois confondues, les notions de “cloud souverain” et de “cloud de confiance” affichent une certaine complémentarité. Dans le document du Clusif précédemment cité, leurs liens font l’objet d’une explication détaillée.
Pour résumer, on parle de cloud de confiance lorsque le service permet de “garantir la préservation des intérêts des organisations et des utilisateurs en matière de protection des données”.
Cependant, dans certains secteurs stratégiques, l’approche de la sécurité va plus loin et englobe un besoin de souveraineté numérique. Ainsi, le cloud souverain assure la protection des “intérêts fondamentaux d’un Etat ainsi que ceux de ses organisations nationales et de ses utilisateurs” grâce à un contrôle total des données et une indépendance vis-à-vis des réglementations étrangères. Les critères de localisation des données et des services deviennent ainsi primordiaux et doivent garantir une immunité aux lois extra-territoriales, plus souples que le cadre européen en matière de protection des données. Tout en évitant toute “fuite de valeur économique”.
Cette complémentarité permet d’associer sécurité technique des données avec garanties d’indépendance, afin d’offrir aux organisations une protection complète de leurs donnes dans le cloud et une autonomie stratégique.
Tixeo, solution de visioconférence sécurisée dans le cloud souverain
Au sein de secteurs stratégiques et sensibles, comme l’Industrie, la Justice ou les administrations publiques, la digitalisation des informations et de la collaboration se poursuit. Dans ces environnements contraints, la protection de des données hébergées dans le cloud est essentielle, d’autant plus lorsque les cybermenaces se multiplient.
Les outils de collaboration et de visioconférence dans le cloud doivent ainsi garantir la plus haute sécurité aux données contre les tentatives d’intrusion et les lois extraterritoriales, permissives en matière d’accès aux données.
Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
En savoir plus TixeoPrivateCloud
FAQ :
La sécurité du cloud englobe l’ensemble des technologies, politiques et contrôles destinés à protéger les données stockées, les applications logicielles et les infrastructures hébergées dans le cloud contre les menaces potentielles. Elle est cruciale pour prévenir les violations de données, assurer la conformité aux réglementations et maintenir la confiance des utilisateurs envers les services cloud, notamment en facilitant le partage sécurisé des informations.
Les risques majeurs incluent les violations de données, les menaces internes, les API non sécurisées, le détournement de comptes et les cyberattaques. Ces menaces peuvent compromettre la confidentialité, l’intégrité et la disponibilité des données stockées dans le cloud, entraînant des conséquences financières et réputationnelles pour les organisations. Une infrastructure sécurisée est donc une priorité élevée pour protéger le matériel et les logiciels utilisés.
Pour évaluer la fiabilité d’un fournisseur de cloud sécurisé, vérifiez ses certifications de sécurité reconnues (comme ISO 27001), sa conformité aux réglementations telles que le RGPD et consultez les audits de sécurité indépendants. Considérez également sa réputation, les avis clients et les protocoles de protection des données qu’il utilise. Assurez-vous que ses services offrent un espace de stockage conforme à vos exigences et des paramètres de sécurité personnalisables.
Un cloud sécurisé doit inclure le chiffrement des données en transit et au repos, l’authentification multifacteur, des pare-feux avancés, des systèmes de détection et de prévention des intrusions, ainsi que des protocoles pour la détection et la prévention des cybermenaces. Il doit également proposer des logiciels fiables pour faciliter le partage et le classement des données.
Le chiffrement des données est le processus de conversion des informations en un code illisible sans la clé de déchiffrement appropriée. Cela protège les informations sensibles lors du stockage et de la transmission, garantissant que même en cas d’accès non autorisé, les données restent inexploitables pour les individus malveillants. Chiffrer vos données est donc essentiel pour retrouver une confidentialité optimale.
Le chiffrement “zero-knowledge” signifie que le fournisseur de services cloud ne détient aucune connaissance des clés de chiffrement de vos données. Seul l’utilisateur possède ces clés, garantissant que même le prestataire ne peut accéder à vos informations. Cette approche maximise la confidentialité et protège vos données stockées contre tout accès non autorisé, même au niveau du matériel ou de l’infrastructure du fournisseur.
L’authentification et les contrôles d’accès sont essentiels pour garantir que seules les personnes autorisées peuvent accéder aux données et aux services dans le cloud. Des mécanismes tels que l’authentification multifacteur ajoutent une couche supplémentaire de sécurité, réduisant le risque d’accès non autorisé et de compromission des comptes. Les paramètres de sécurité permettent de partager des fichiers en toute confiance et de retrouver facilement qui y a accès.
Vous pouvez renforcer la sécurité en utilisant des mots de passe forts et uniques, en activant l’authentification multifacteur, en gérant soigneusement les accès, en surveillant les activités suspectes et en mettant en place des mesures de sauvegarde régulière. Il est également conseillé de maintenir vos logiciels à jour, de classer vos documents dans des dossiers sécurisés et de chiffrer vos données sensibles.
La localisation des centres de données influence la juridiction légale et les lois de protection des données applicables. Stocker vos données dans des pays avec des lois strictes sur la protection de la vie privée, comme ceux de l’Union européenne, peut offrir une protection juridique accrue et limiter les risques d’accès non autorisé par des tiers ou des gouvernements étrangers. Cela garantit également que l’infrastructure matérielle respecte des normes de sécurité élevées.
Le Règlement Général sur la Protection des Données (RGPD) impose des normes strictes pour la protection des données personnelles dans l’UE. Un fournisseur cloud conforme au RGPD garantit que vos données sont traitées légalement et en toute transparence, réduisant ainsi les risques de non-conformité et de sanctions associées. Il est important que votre fournisseur de cloud soit conforme à ces réglementations pour éviter des sanctions légales et assurer un espace de travail sécurisé.
La sécurité des données concerne la protection contre les accès non autorisés, les violations et les pertes de données. La confidentialité des données se concentre sur la protection des informations sensibles afin qu’elles ne soient pas divulguées à des tiers non autorisés. Les deux aspects sont cruciaux pour garantir que vos données, qu’elles soient stockées ou partagées, restent protégées.
Un SLA définit les engagements du fournisseur en termes de disponibilité, de performance et de support. Il offre une garantie contractuelle sur la qualité du service et précise les recours en cas de non-respect, assurant ainsi une certaine résilience et fiabilité du service. Cela vous permet de retrouver rapidement l’accès à vos données et applications en cas de problème, garantissant une continuité d’activité élevée.
Il propose des solutions de sauvegarde régulières et automatisées, ainsi que des plans de reprise après sinistre pour restaurer rapidement les données en cas de perte, de suppression accidentelle ou de cyberattaque. Des fonctionnalités de versionnage des fichiers peuvent également être disponibles, facilitant le classement et la récupération de vos documents dans vos drives ou logiciels de gestion.
La résilience fait référence à la capacité du système cloud à continuer de fonctionner malgré les pannes ou les attaques. Une haute résilience assure une disponibilité constante de vos données et services, minimisant ainsi les interruptions d’activité et permettant un retour à la normale rapide. Cela est essentiel pour les infrastructures critiques et les applications bureautiques utilisées quotidiennement.
Oui, la plupart des services sécurisés offrent des options de gestion des permissions, vous permettant de définir qui peut voir ou modifier vos fichiers. Vous pouvez généralement partager des liens avec des niveaux d’accès spécifiques ou restreindre complètement l’accès. Ces paramètres vous aident à partager vos documents de manière sécurisée et à retrouver facilement qui détient les permissions.
Les fournisseurs de stockage cloud les plus sécurisés offrent des fonctionnalités telles que le chiffrement “zero-knowledge”, le chiffrement de bout en bout, une conformité rigoureuse aux normes de sécurité internationales, l’authentification multifacteur et une conformité à des juridictions favorables à la protection stricte des données et de la vie privée. Ils disposent également d’infrastructures matérielles robustes et de logiciels performants pour détecter et prévenir les cybermenaces.
Évaluez les fonctionnalités de sécurité offertes, telles que le chiffrement des données, l’authentification multifacteur et la politique de confidentialité. Vérifiez les certifications de sécurité, la conformité aux réglementations comme le RGPD et la localisation des centres de données. Considérez également la réputation du fournisseur, les avis d’experts en cybersécurité, et si le service permet de stocker, retrouver et partager vos fichiers facilement grâce à des logiciels ou drives intuitifs.
