Le cloud computing pose-t-il un risque ?

Quels sont les scénarios de risque associés à la livraison de services informatiques dans un modèle cloud ?

D’après les conclusions du rapport Thales 2023 sur les menaces informatiques, les ransomwares et l’erreur humaine sont les principales causes de fuites de données provenant du cloud. Les professionnels de l’informatique et de la sécurité désignent les ressources numériques dans le cloud comme les cibles privilégiées des cyber attaquants. Les applications SaaS et les systèmes de stockage cloud sont les premières cibles citées dans le rapport, suivies de l’infrastructure cloud (IaaS). Les entreprises dépendent aujourd’hui de plus en plus des outils PaaS et SaaS : la conception traditionnelle des risques doit elle aussi évoluer.

Commençons par définir ce qu’est le cloud computing, avec une définition simple, mais utile : il s’agit de « toute méthode permettant de distribuer des services IT par Internet ». Avant d’analyser les scénarios de risques associés à la distribution des services IT cloud, vous devez commencer par définir les ressources numériques à protéger.

Qu’est-ce qu’une ressource numérique ?

En matière de risque de l’information, la méthode Open FAIR définit une ressource comme une donnée, un appareil ou tout autre composant soutenant les activités associées à l’information, auxquels on accède et que l’on peut utiliser, divulguer, modifier, détruire et/ou voler de façon illicite, entraînant par là même une perte. Les données stockées au format numérique appartiennent aussi à cette catégorie. Elles peuvent être structurées ou non : parmi les données non structurées, on retrouve les fichiers multimédia ou contenant beaucoup de texte, comme les supports marketing ou les communications internes. Les données structurées, elles, correspondent aux informations de facturation, aux bases de données, aux listes de produits et aux numéros de série généralement traités par les applications.

‍

‍

Les données non structurées sont des ressources vitales pour les entreprises de toute taille, qui utilisent des plateformes SaaS de partage de fichiers comme SharePoint ou Dropbox pour gérer leurs ressources numériques. Ces bibliothèques de documents renferment souvent des informations sensibles, comme des données de propriété intellectuelle (IP) ou des informations à caractère personnel. Et lorsque ces informations sensibles ne sont pas sécurisées, elles peuvent être compromises.

‍

Ces dernières années, le télétravail s’est démocratisé et les collaborateurs utilisent souvent plusieurs appareils pour se connecter, accéder aux fichiers et communiquer avec leurs collègues et les partenaires extérieurs. Le partage de documents ou l’envoi de liens par e-mail sont des pratiques courantes, tout comme l’utilisation de plusieurs appareils pour accéder aux données de l’entreprise sur des plateformes de type SharePoint. Sur ces plateformes transitent d’importants volumes de données de propriété intellectuelle ou à caractère personnel. Quel rôle jouent ces ressources numériques dans le contexte des opérations, des investissements et des décisions métier de votre organisation ?

‍

Parmi les autres types de ressources numériques, on compte les applications (et leurs composants), qui sont utilisées pour générer directement des revenus, indirectement pour permettre aux collaborateurs de faire leur travail, ou encore dans un environnement de production à fabriquer le produit.

‍

Esquisser un univers des risques

Nous avons parlé des ressources numériques en fournissant quelques exemples ; voyons maintenant comment définir un scénario de risque à partir de vos ressources. Ces scénarios serviront à mesurer et à communiquer le risque. La méthodologie Open FAIR définit le « risque » comme « la fréquence probable et la magnitude probable des pertes futures ». Elle s’appuie sur une vue d’ensemble des ressources numériques incluses dans le périmètre pour esquisser un univers des scénarios de risque probables.

Les questions suivantes vous aideront à appréhender l’univers des risques pour vos services cloud :

Votre entreprise exprime-t-elle des inquiétudes vis-à-vis de vos services de cloud computing existants ? Ou votre entreprise se prépare-t-elle à migrer des services vers le cloud pour la première fois ?

Parmi vos ressources numériques, quelles sont celles qui se trouvent déjà dans le cloud ? Quelles ressources numériques envisagez-vous de migrer vers le cloud ou de construire à l’aide de services cloud ?

Exemples de ressources cloud prises en compte :

• Données de propriété intellectuelle non structurées stockées sur un site SharePoint.
• Données de propriété intellectuelle non structurées stockées sur un SaaS de partage de fichiers géré par l’entreprise.
• Données à caractère personnel structurées hébergées sur une plateforme marketing.
• Plateforme de commerce en ligne exposée directement à Internet.
• Données à caractère personnel sensibles concernant les employés, stockées sur une plateforme SaaS de RH.
• Composants d’infrastructure clé d’un data center virtuel Azure ou AWS.
• Référentiel de documents contenant des données sensibles sur l’entreprise, que le conseil d’administration utilise pour échanger des informations.
• API externes

‍

Maintenant que nous avons dressé la liste des ressources incluses dans le périmètre, nous pouvons définir les acteurs malveillants et l’impact (ou la perte) probable. En parallèle, il convient de réfléchir aux vecteurs d’attaque et aux contrôles déjà en place. Une fois tous ces éléments définis, nous pourrons délimiter l’univers des risques afin de mesurer et de communiquer sur la gestion de ces ressources numériques dans le cloud. Une façon simple de comprendre un scénario de risque est l’équation suivante :

‍

Scénario de risque = une ressource dans le périmètre + une menace + un impact (ou perte)

Voici quelques exemples de scénarios de risque concernant ces ressources :

• Risque qu’un acteur malveillant extérieur accède aux données à caractère personnel des collaborateurs à partir de la plateforme SaaS RH en utilisant des identifiants volés dotés d’un accès privilégié.
• Risque qu’un acteur malveillant extérieur accède à des données non structurées confidentielles renfermant des actifs de propriété intellectuelle, provenant d’un SaaS de partage de fichiers géré par l’entreprise, en exploitant une API exposée à Internet mal configurée.
• Risque qu’un acteur interne privilégié divulgue des données à caractère personnel depuis une plateforme marketing en commettant une erreur de configuration d’une campagne.

Une fois les scénarios définis, vous pouvez prendre la bonne décision en vous appuyant sur les résultats mesurables de l’analyse de risque.

‍