{"id":37442,"date":"2020-03-10T01:14:56","date_gmt":"2020-03-10T08:14:56","guid":{"rendered":"https:\/\/kinsta.com\/?p=66330"},"modified":"2024-10-04T12:36:43","modified_gmt":"2024-10-04T11:36:43","slug":"securite-cloud","status":"publish","type":"post","link":"https:\/\/kinsta.com\/fr\/blog\/securite-cloud\/","title":{"rendered":"Un guide complet sur la s\u00e9curit\u00e9 du Cloud en 2026 (risques, meilleures pratiques, certifications)"},"content":{"rendered":"

La s\u00e9curit\u00e9 du Cloud englobe les technologies, les contr\u00f4les, les processus et les politiques qui se combinent pour prot\u00e9ger vos syst\u00e8mes, donn\u00e9es et infrastructures bas\u00e9s sur le Cloud. Il s’agit d’un sous-domaine de la s\u00e9curit\u00e9 informatique et, plus largement, de la s\u00e9curit\u00e9 de l’information.<\/p>\n

Il s’agit d’une responsabilit\u00e9 partag\u00e9e entre vous et votre fournisseur de services de Cloud. Vous mettez en \u0153uvre une strat\u00e9gie de s\u00e9curit\u00e9 dans le Cloud pour prot\u00e9ger vos donn\u00e9es, respecter la conformit\u00e9 r\u00e9glementaire et prot\u00e9ger la vie priv\u00e9e de vos clients<\/a>. Celle-ci vous prot\u00e8ge \u00e0 son tour contre les cons\u00e9quences financi\u00e8res, juridiques et sur la r\u00e9putation des violations et des pertes de donn\u00e9es.<\/p>\n

\"Mod\u00e8le<\/a>
Mod\u00e8le de responsabilit\u00e9 partag\u00e9e pour la s\u00e9curit\u00e9 du Cloud (Source de l’image : Synopsys)<\/figcaption><\/figure>\n

La s\u00e9curit\u00e9 dans le Cloud est une exigence essentielle pour toutes les organisations. Surtout avec les derni\u00e8res \u00e9tudes de l’ISC2<\/a> indiquant que 93 % des organisations sont mod\u00e9r\u00e9ment ou extr\u00eamement pr\u00e9occup\u00e9es par la s\u00e9curit\u00e9 dans le Cloud, et qu’une organisation sur quatre a confirm\u00e9 un incident de s\u00e9curit\u00e9 dans le Cloud au cours des 12 derniers mois.<\/p>\n

Dans cet article, nous allons cr\u00e9er un guide complet sur la s\u00e9curit\u00e9 dans le Cloud. Vous explorerez les risques de s\u00e9curit\u00e9 li\u00e9s au passage au Cloud, comprendrez pourquoi la s\u00e9curit\u00e9 du Cloud est n\u00e9cessaire et d\u00e9couvrirez les meilleures pratiques en mati\u00e8re de s\u00e9curit\u00e9 du Cloud. Nous aborderons \u00e9galement des sujets tels que la mani\u00e8re d’\u00e9valuer la s\u00e9curit\u00e9 d’un fournisseur de services dans le Cloud et d’identifier les certifications et la formation n\u00e9cessaires pour am\u00e9liorer votre s\u00e9curit\u00e9 dans le Cloud.<\/p>\n

Commen\u00e7ons.<\/p>\n\n

<\/div><\/kinsta-auto-toc>\n

Comment fonctionne la s\u00e9curit\u00e9 dans le Cloud ?<\/h2>\n

La s\u00e9curit\u00e9 dans le Cloud est une interaction complexe de technologies, de contr\u00f4les, de processus et de politiques. Une pratique qui est hautement personnalis\u00e9e en fonction des exigences uniques de votre organisation.<\/p>\n

Il n’existe donc pas d’explication unique qui englobe le \u00ab\u00a0fonctionnement\u00a0\u00bb de la s\u00e9curit\u00e9 dans le Cloud.<\/p>\n

\"A<\/a>
A Model for Securing Cloud Workloads (Image source: HyTrust)<\/figcaption><\/figure>\n

Heureusement, il existe un ensemble de strat\u00e9gies et d’outils largement \u00e9tablis que vous pouvez utiliser pour mettre en place une solide s\u00e9curit\u00e9 dans le Cloud, notamment<\/p>\n

Gestion des identit\u00e9s et des acc\u00e8s<\/h3>\n

Toutes les entreprises doivent disposer d’un syst\u00e8me de gestion des identit\u00e9s et des acc\u00e8s (IAM)<\/a> pour contr\u00f4ler l’acc\u00e8s aux informations. Votre fournisseur de cloud computing s’int\u00e9grera directement \u00e0 votre IAM ou proposera son propre syst\u00e8me int\u00e9gr\u00e9. Un IAM combine des politiques d’authentification et d’acc\u00e8s des utilisateurs \u00e0 plusieurs facteurs, vous aidant \u00e0 contr\u00f4ler qui a acc\u00e8s \u00e0 vos applications et \u00e0 vos donn\u00e9es, ce \u00e0 quoi ils peuvent acc\u00e9der et ce qu’ils peuvent faire \u00e0 vos donn\u00e9es.<\/p>\n

S\u00e9curit\u00e9 physique<\/h3>\n

La s\u00e9curit\u00e9 physique<\/a> est un autre pilier de la s\u00e9curit\u00e9 dans le Cloud. Il s’agit d’une combinaison de mesures visant \u00e0 emp\u00eacher l’acc\u00e8s direct et la perturbation du mat\u00e9riel h\u00e9berg\u00e9 dans le centre de donn\u00e9es de votre fournisseur de cloud computing. La s\u00e9curit\u00e9 physique comprend le contr\u00f4le de l’acc\u00e8s direct par des portes de s\u00e9curit\u00e9, une alimentation \u00e9lectrique ininterrompue, la vid\u00e9o en circuit ferm\u00e9, des alarmes, le filtrage de l’air et des particules, la protection contre les incendies, etc.<\/p>\n

Renseignement, surveillance et pr\u00e9vention des menaces<\/h3>\n

Le renseignement sur les menaces<\/a>, les syst\u00e8mes de d\u00e9tection d’intrusion (IDS)<\/a>, et les syst\u00e8mes de pr\u00e9vention des intrusions (IPS)<\/a> constituent l’\u00e9pine dorsale de la s\u00e9curit\u00e9 dans le Cloud. Les outils de renseignement sur les menaces et les IDS offrent des fonctionnalit\u00e9s pour identifier les attaquants<\/a> qui ciblent actuellement vos syst\u00e8mes ou qui constitueront une menace future. Les outils IPS mettent en \u0153uvre des fonctionnalit\u00e9s permettant d’att\u00e9nuer une attaque et de vous avertir de sa survenance afin que vous puissiez \u00e9galement y r\u00e9pondre.<\/p>\n

Cryptage<\/h3>\n

En utilisant la technologie du Cloud, vous envoyez des donn\u00e9es vers et depuis la plateforme du fournisseur de Cloud, souvent en les stockant dans leur infrastructure. Le cryptage<\/a> est une autre couche de la s\u00e9curit\u00e9 dans le Cloud pour prot\u00e9ger vos donn\u00e9es<\/a>, en les encodant lorsqu’elles sont au repos et en transit. Cela garantit que les donn\u00e9es sont quasiment impossibles \u00e0 d\u00e9chiffrer sans une cl\u00e9 de d\u00e9cryptage \u00e0 laquelle vous seul avez acc\u00e8s.<\/p>\n

Test de vuln\u00e9rabilit\u00e9 et de p\u00e9n\u00e9tration du Cloud<\/h3>\n

Une autre pratique pour maintenir et am\u00e9liorer la s\u00e9curit\u00e9 dans le Cloud est des tests de vuln\u00e9rabilit\u00e9 et de p\u00e9n\u00e9tration<\/a>. Ces pratiques impliquent que vous – ou votre fournisseur – attaquiez votre propre infrastructure de Cloud afin d’identifier toute faiblesse ou exploitation potentielle<\/a>. Vous pouvez ensuite mettre en \u0153uvre des solutions pour corriger ces vuln\u00e9rabilit\u00e9s et am\u00e9liorer votre position en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n

Micro-Segmentation<\/h3>\n

La micro-segmentation<\/a> est de plus en plus courante dans la mise en \u0153uvre de la s\u00e9curit\u00e9 dans le Cloud. Il s’agit de la pratique consistant \u00e0 diviser votre d\u00e9ploiement dans le Cloud en segments de s\u00e9curit\u00e9 distincts, jusqu’au niveau de la charge de travail individuelle.<\/p>\n

En isolant les charges de travail individuelles, vous pouvez appliquer des politiques de s\u00e9curit\u00e9 flexibles pour minimiser les dommages qu’un attaquant pourrait causer, s’il y avait acc\u00e8s.<\/p>\n

Pare-feu de nouvelle g\u00e9n\u00e9ration<\/h3>\n

Les pare-feu de nouvelle g\u00e9n\u00e9ration<\/a> sont une autre pi\u00e8ce du puzzle de la s\u00e9curit\u00e9 dans le Cloud. Ils prot\u00e8gent vos charges de travail en utilisant les fonctionnalit\u00e9s traditionnelles des pare-feux<\/a> et des fonctionnalit\u00e9s avanc\u00e9es plus r\u00e9centes. La protection traditionnelle du pare-feu comprend le filtrage de paquets, l’inspection d’\u00e9tat, le proxy, le blocage d’IP, le blocage de noms de domaine<\/a> et le blocage de ports.<\/p>\n

Les pare-feu de nouvelle g\u00e9n\u00e9ration ajoutent un syst\u00e8me de pr\u00e9vention des intrusions, une inspection approfondie des paquets, un contr\u00f4le des applications et une analyse du trafic crypt\u00e9 pour assurer une d\u00e9tection et une pr\u00e9vention compl\u00e8tes des menaces.<\/p>\n

\"Architecture
Architecture d’h\u00e9bergement de Kinsta<\/figcaption><\/figure>\n

Ici, chez Kinsta, nous s\u00e9curisons tous les sites derri\u00e8re le pare-feu de la plateforme Google Cloud (GCP)<\/a>. Offrant une protection de pointe et la possibilit\u00e9 de s’int\u00e9grer plus \u00e9troitement aux autres solutions de s\u00e9curit\u00e9 GCP.<\/p>\n\n

7 Risques de s\u00e9curit\u00e9 du cloud computing<\/h2>\n

Que vous op\u00e9riez ou non dans le Cloud, la s\u00e9curit\u00e9 est une pr\u00e9occupation<\/a> pour toutes les entreprises. Vous serez confront\u00e9 \u00e0 des risques tels que le d\u00e9ni de service<\/a>, les logiciels malveillants<\/a>, L’injection SQL<\/a>, les violations de donn\u00e9es et les pertes de donn\u00e9es. Tous ces \u00e9l\u00e9ments peuvent avoir un impact significatif sur la r\u00e9putation et les r\u00e9sultats de votre entreprise.<\/p>\n

Lorsque vous passez au Cloud, vous introduisez un nouvel ensemble de risques et changez la nature des autres. Cela ne signifie pas que le cloud computing n’est pas s\u00e9curis\u00e9e<\/strong>. En fait, de nombreux fournisseurs de cloud computing offrent un acc\u00e8s \u00e0 des outils et des ressources de s\u00e9curit\u00e9 tr\u00e8s sophistiqu\u00e9s auxquels vous ne pourriez pas acc\u00e9der autrement.<\/p>\n

Cela signifie simplement que vous devez \u00eatre conscient de l’\u00e9volution des risques afin de les att\u00e9nuer. Examinons donc les risques de s\u00e9curit\u00e9 propres au cloud computing.<\/p>\n

<\/div><\/kinsta-auto-toc>\n

1. Perte de visibilit\u00e9<\/h3>\n

La plupart des entreprises acc\u00e8dent \u00e0 une gamme de services de Cloud par l’interm\u00e9diaire de plusieurs appareils, services et g\u00e9ographies<\/a>. Ce type de complexit\u00e9 dans une installation de cloud computing – sans les outils appropri\u00e9s en place – peut vous faire perdre la visibilit\u00e9 de l’acc\u00e8s \u00e0 votre infrastructure.<\/p>\n

Sans les processus appropri\u00e9s en place, vous pouvez perdre de vue qui utilise vos services en ligne. Y compris les donn\u00e9es auxquelles ils acc\u00e8dent, qu’ils t\u00e9l\u00e9versent et t\u00e9l\u00e9chargent.<\/p>\n

Si vous ne pouvez pas le voir, vous ne pouvez pas le prot\u00e9ger. Ce qui augmente le risque de violation et de perte de donn\u00e9es.<\/p>\n

2. Violations de conformit\u00e9<\/h3>\n

Avec l’augmentation du contr\u00f4le r\u00e9glementaire, vous devrez probablement respecter une s\u00e9rie d’exigences de conformit\u00e9 strictes<\/a>. En passant au Cloud, vous introduisez le risque des violations de conformit\u00e9<\/a> si vous ne faites pas attention.<\/p>\n

Nombre de ces r\u00e9glementations exigent que votre entreprise sache o\u00f9 se trouvent vos donn\u00e9es, qui y a acc\u00e8s, comment elles sont trait\u00e9es et comment elles sont prot\u00e9g\u00e9es. D’autres r\u00e9glementations exigent que votre fournisseur de services de Cloud d\u00e9tienne certaines r\u00e9f\u00e9rences de conformit\u00e9.<\/p>\n

Un transfert n\u00e9gligent de donn\u00e9es vers le cloud, ou un transfert vers le mauvais fournisseur, peut mettre votre organisation dans un \u00e9tat de non-conformit\u00e9. Cela peut avoir de graves r\u00e9percussions juridiques et financi\u00e8res.<\/p>\n

3. Absence de strat\u00e9gie et d’architecture de s\u00e9curit\u00e9 du Cloud<\/h3>\n

Il s’agit d’un risque de s\u00e9curit\u00e9 dans le Cloud que vous pouvez facilement \u00e9viter, mais que beaucoup n’ont pas. Dans leur h\u00e2te de migrer les syst\u00e8mes et les donn\u00e9es vers le cloud,<\/a> de nombreuses organisations deviennent op\u00e9rationnelles bien avant que les syst\u00e8mes et les strat\u00e9gies de s\u00e9curit\u00e9 ne soient en place pour prot\u00e9ger leur infrastructure.<\/p>\n

Ici, chez Kinsta, nous comprenons l’importance d’un \u00e9tat d’esprit ax\u00e9 sur la s\u00e9curit\u00e9 lors du passage au cloud. C’est pourquoi Kinsta fournit des migrations WordPress gratuites<\/a> pour assurer que votre transition vers le cloud est \u00e0 la fois s\u00e9curis\u00e9e et \u00e9vite les temps d’arr\u00eat<\/a> prolong\u00e9s.<\/p>\n

Veillez \u00e0 mettre en place une strat\u00e9gie et une infrastructure de s\u00e9curit\u00e9 con\u00e7ues pour que le cloud soit align\u00e9 avec vos syst\u00e8mes et vos donn\u00e9es.<\/p>\n

4. Menaces d’initi\u00e9s<\/h3>\n

Vos employ\u00e9s, entrepreneurs et partenaires commerciaux de confiance peuvent constituer certains de vos plus grands risques en mati\u00e8re de s\u00e9curit\u00e9. Ces menaces internes ne doivent pas n\u00e9cessairement avoir une intention malveillante pour causer des dommages \u00e0 votre entreprise. En fait, la majorit\u00e9 des incidents d’initi\u00e9s sont dus \u00e0 un manque de formation ou \u00e0 une n\u00e9gligence.<\/p>\n

Bien que vous soyez actuellement confront\u00e9 \u00e0 ce probl\u00e8me, le passage au cloud change le risque. Vous contr\u00f4lez vos donn\u00e9es \u00e0 votre fournisseur de services de Cloud<\/a> et introduisez une nouvelle couche de menace interne de la part des employ\u00e9s du fournisseur.<\/p>\n

5. Violations contractuelles<\/h3>\n

Tout partenariat contractuel que vous aurez \u00e9tabli comportera des restrictions sur l’utilisation des donn\u00e9es partag\u00e9es, leur stockage et les personnes autoris\u00e9es \u00e0 y acc\u00e9der. Vos employ\u00e9s qui d\u00e9placent involontairement des donn\u00e9es restreintes dans un service de Cloud sans autorisation pourraient cr\u00e9er une rupture de contrat qui pourrait entra\u00eener des poursuites judiciaires.<\/p>\n

Assurez-vous de lire les conditions g\u00e9n\u00e9rales<\/a> de vos fournisseurs de services de Cloud. M\u00eame si vous avez l’autorisation de transf\u00e9rer des donn\u00e9es vers le cloud, certains fournisseurs de services incluent le droit de partager toute donn\u00e9e t\u00e9l\u00e9vers\u00e9e dans leur infrastructure. Par ignorance, vous pourriez involontairement violer un accord de non-divulgation.<\/p>\n

6. Interface utilisateur d’application non s\u00e9curis\u00e9e (API)<\/h3>\n

Lorsque vous utilisez des syst\u00e8mes d’exploitation dans une infrastructure de Cloud, vous pouvez utiliser une API pour mettre en \u0153uvre le contr\u00f4le<\/a>. Toute API int\u00e9gr\u00e9e dans vos applications web ou mobiles peut offrir un acc\u00e8s en interne au personnel ou en externe aux consommateurs.<\/p>\n

Ce sont les API orient\u00e9es vers l’ext\u00e9rieur qui peuvent introduire un risque de s\u00e9curit\u00e9 dans le Cloud. Toute API externe non s\u00e9curis\u00e9e est une passerelle offrant un acc\u00e8s non autoris\u00e9 aux cybercriminels qui cherchent \u00e0 voler des donn\u00e9es et \u00e0 manipuler des services.<\/p>\n

L’exemple le plus marquant d’une API externe non s\u00e9curis\u00e9e est le Scandale de Cambridge Analytica<\/a> de Facebook<\/a>. L’API externe non s\u00e9curis\u00e9e de Facebook a permis \u00e0 Cambridge Analytica d’acc\u00e9der aux donn\u00e9es des utilisateurs de Facebook.<\/p>\n

7. Mauvaise configuration des services de Cloud<\/h3>\n

La mauvaise configuration des services de Cloud est un autre risque potentiel pour la s\u00e9curit\u00e9 du Cloud. Avec la gamme et la complexit\u00e9 croissantes des services, ce probl\u00e8me prend de l’ampleur. Une mauvaise configuration des services de Cloud peut entra\u00eener l’exposition publique, la manipulation ou m\u00eame la suppression de donn\u00e9es.<\/p>\n

Parmi les causes communes, citons la conservation des r\u00e9glages de s\u00e9curit\u00e9 et de gestion de l’acc\u00e8s par d\u00e9faut<\/a> pour les donn\u00e9es hautement sensibles. D’autres incluent une gestion d’acc\u00e8s mal adapt\u00e9e donnant acc\u00e8s \u00e0 des personnes non autoris\u00e9es, et un acc\u00e8s aux donn\u00e9es mutil\u00e9es o\u00f9 les donn\u00e9es confidentielles sont laiss\u00e9es ouvertes sans autorisation.<\/p>\n

Pourquoi la s\u00e9curit\u00e9 du Cloud est n\u00e9cessaire<\/h2>\n

L’adoption massive de la technologie de Cloud,<\/a> combin\u00e9e \u00e0 un volume et \u00e0 une sophistication toujours plus grands des cyber-menaces, est \u00e0 l’origine du besoin de s\u00e9curit\u00e9 dans le Cloud. Si l’on r\u00e9fl\u00e9chit aux risques de s\u00e9curit\u00e9 li\u00e9s \u00e0 l’adoption de la technologie dans le Cloud – d\u00e9crits ci-dessus – l’incapacit\u00e9 \u00e0 les att\u00e9nuer peut avoir des cons\u00e9quences importantes.<\/p>\n

Mais tout n’est pas n\u00e9gatif, la s\u00e9curit\u00e9 dans le Cloud peut aussi offrir des avantages importants. Examinons pourquoi la s\u00e9curit\u00e9 dans le Cloud est une exigence essentielle.<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Les menaces pour la cybers\u00e9curit\u00e9 continuent de s’accro\u00eetre<\/h3>\n

L’une des forces motrices des pratiques s\u00e9curis\u00e9es dans le Cloud est la menace toujours croissante des cybercriminels, tant en volume qu’en sophistication. Pour quantifier cette menace, un rapport sur la s\u00e9curit\u00e9 du cloud<\/a> de l\u2019ISC2 a r\u00e9v\u00e9l\u00e9 que 28 % des entreprises ont connu un incident de s\u00e9curit\u00e9 du cloud en 2019. Avec le gouvernement britannique signalant \u00e9galement que<\/a> 32 % des entreprises britanniques ont subi une attaque sur les syst\u00e8mes au cours des 12 derniers mois.<\/p>\n

Pr\u00e9vention des violations et des pertes de donn\u00e9es<\/h3>\n

Une cons\u00e9quence de ces cyber-menaces accrues est l’acc\u00e9l\u00e9ration de la fr\u00e9quence et du volume des violations et des pertes de donn\u00e9es. Rien qu’au cours des six premiers mois de 2019, le rapport sur les menaces \u00e9mergentes de Norton<\/a> a soulign\u00e9 que plus de 4 milliards d\u2019enregistrements ont \u00e9t\u00e9 viol\u00e9s.<\/p>\n

Une perte ou une violation de donn\u00e9es peut avoir des implications juridiques, financi\u00e8res et de r\u00e9putation importantes. IBM estime maintenant le co\u00fbt moyen d’une violation de donn\u00e9es \u00e0 3,92 millions de dollars US dans son dernier rapport<\/a>.<\/p>\n

\u00c9viter les violations de conformit\u00e9<\/h3>\n

Nous avons d\u00e9j\u00e0 mentionn\u00e9 comment la s\u00e9curit\u00e9 dans le Cloud comporte le risque de violations de la conformit\u00e9. Pour d\u00e9montrer les implications de la non-conformit\u00e9, il suffit d’observer l’organisme f\u00e9d\u00e9ral allemand de surveillance de la vie priv\u00e9e qui a r\u00e9cemment inflig\u00e9 \u00e0 1&1 Telecommunications une amende de 9,55 millions d’euros pour violation du r\u00e8glement g\u00e9n\u00e9ral de l’UE sur la protection des donn\u00e9es (RGPD)<\/a>.<\/p>\n

Maintenir la continuit\u00e9 des activit\u00e9s<\/h3>\n

Une bonne s\u00e9curit\u00e9 dans le Cloud<\/a> contribue \u00e0 maintenir la continuit\u00e9 de vos activit\u00e9s. La protection contre les menaces telles que les attaques par d\u00e9ni de service (DDoS<\/a>). Les interruptions de service impr\u00e9vues et les temps d’arr\u00eat<\/a> du syst\u00e8me interrompent la continuit\u00e9 de vos activit\u00e9s et ont une incidence sur vos r\u00e9sultats. Une \u00e9tude de Gartner<\/a> estime ce temps d’arr\u00eat \u00e0 une moyenne de 5 600 $ am\u00e9ricains par minute.<\/p>\n

Avantages de la s\u00e9curit\u00e9 dans le Cloud<\/h3>\n

Au-del\u00e0 de la protection contre les menaces et de l’\u00e9vitement des cons\u00e9quences de mauvaises pratiques, la s\u00e9curit\u00e9 dans le Cloud offre des avantages qui en font une exigence pour les entreprises<\/strong>. Parmi ces avantages, on peut citer :<\/p>\n

1. S\u00e9curit\u00e9 centralis\u00e9e<\/h4>\n

De la m\u00eame mani\u00e8re que l\u2019informatique d\u00e9mat\u00e9rialis\u00e9e (cloud computing) centralise les applications et les donn\u00e9es, la s\u00e9curit\u00e9 d\u00e9mat\u00e9rialis\u00e9e centralise la protection<\/strong>. Elle vous aide \u00e0 am\u00e9liorer votre visibilit\u00e9, \u00e0 mettre en place des contr\u00f4les et \u00e0 mieux vous prot\u00e9ger contre les attaques. Elle am\u00e9liore \u00e9galement la continuit\u00e9 de vos activit\u00e9s et la reprise apr\u00e8s sinistre en ayant tout en un seul endroit.<\/p>\n