Le cloud computing pose-t-il un risque ?

Gérer les scénarios de risque liés au cloud computing grâce aux méthodes de CRQ

Si vous le voulez bien, réservons les questions fermées à votre prochaine partie de « Qui est-ce ». Lorsqu’il s’agit d’analyser précisément les risques du cloud computing pour votre entreprise, la clé est de poser les bonnes questions ouvertes, en tenant compte de l’ensemble de vos ressources numériques et des menaces qui pèsent sur vos ressources, sans oublier les vulnérabilités et leur impact sur votre activité. La CRQ basée sur le standard FAIR est un outil précieux pour analyser les scénarios visant à imaginer ce qui pourrait mal se passer dans le domaine du cloud computing. Cette méthode quantitative parle en termes financiers aux décisionnaires des comités exécutifs, et les scénarios de risque qu’elle permet de développer fournissent des informations traduisibles en actions.

Dans cet article, nous verrons comment analyser les scénarios de risque dans le domaine du cloud computing en s’appuyant sur les méthodes de quantification des risques cyber (Cyber Risk Quantification ou CRQ), comment identifier vos ressources numériques et comment justifier les décisions relatives au cloud computing sur la base de points de données exploitables.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
December 20, 2023
mis à jour le
December 20, 2023
temps
min
risque cyber cloud computing

Quels sont les scénarios de risque associés à la livraison de services informatiques dans un modèle cloud ?

D’après les conclusions du rapport Thales 2023 sur les menaces informatiques, les ransomwares et l’erreur humaine sont les principales causes de fuites de données provenant du cloud. Les professionnels de l’informatique et de la sécurité désignent les ressources numériques dans le cloud comme les cibles privilégiées des cyber attaquants. Les applications SaaS et les systèmes de stockage cloud sont les premières cibles citées dans le rapport, suivies de l’infrastructure cloud (IaaS). Les entreprises dépendent aujourd’hui de plus en plus des outils PaaS et SaaS : la conception traditionnelle des risques doit elle aussi évoluer.

Commençons par définir ce qu’est le cloud computing, avec une définition simple, mais utile : il s’agit de « toute méthode permettant de distribuer des services IT par Internet ». Avant d’analyser les scénarios de risques associés à la distribution des services IT cloud, vous devez commencer par définir les ressources numériques à protéger.

Qu’est-ce qu’une ressource numérique ?

En matière de risque de l’information, la méthode Open FAIR définit une ressource comme une donnée, un appareil ou tout autre composant soutenant les activités associées à l’information, auxquels on accède et que l’on peut utiliser, divulguer, modifier, détruire et/ou voler de façon illicite, entraînant par là même une perte. Les données stockées au format numérique appartiennent aussi à cette catégorie. Elles peuvent être structurées ou non : parmi les données non structurées, on retrouve les fichiers multimédia ou contenant beaucoup de texte, comme les supports marketing ou les communications internes. Les données structurées, elles, correspondent aux informations de facturation, aux bases de données, aux listes de produits et aux numéros de série généralement traités par les applications.

Les données non structurées sont des ressources vitales pour les entreprises de toute taille, qui utilisent des plateformes SaaS de partage de fichiers comme SharePoint ou Dropbox pour gérer leurs ressources numériques. Ces bibliothèques de documents renferment souvent des informations sensibles, comme des données de propriété intellectuelle (IP) ou des informations à caractère personnel. Et lorsque ces informations sensibles ne sont pas sécurisées, elles peuvent être compromises.

Ces dernières années, le télétravail s’est démocratisé et les collaborateurs utilisent souvent plusieurs appareils pour se connecter, accéder aux fichiers et communiquer avec leurs collègues et les partenaires extérieurs. Le partage de documents ou l’envoi de liens par e-mail sont des pratiques courantes, tout comme l’utilisation de plusieurs appareils pour accéder aux données de l’entreprise sur des plateformes de type SharePoint. Sur ces plateformes transitent d’importants volumes de données de propriété intellectuelle ou à caractère personnel. Quel rôle jouent ces ressources numériques dans le contexte des opérations, des investissements et des décisions métier de votre organisation ?

Parmi les autres types de ressources numériques, on compte les applications (et leurs composants), qui sont utilisées pour générer directement des revenus, indirectement pour permettre aux collaborateurs de faire leur travail, ou encore dans un environnement de production à fabriquer le produit.

Esquisser un univers des risques

Nous avons parlé des ressources numériques en fournissant quelques exemples ; voyons maintenant comment définir un scénario de risque à partir de vos ressources. Ces scénarios serviront à mesurer et à communiquer le risque. La méthodologie Open FAIR définit le « risque » comme « la fréquence probable et la magnitude probable des pertes futures ». Elle s’appuie sur une vue d’ensemble des ressources numériques incluses dans le périmètre pour esquisser un univers des scénarios de risque probables.

Les questions suivantes vous aideront à appréhender l’univers des risques pour vos services cloud :

Votre entreprise exprime-t-elle des inquiétudes vis-à-vis de vos services de cloud computing existants ? Ou votre entreprise se prépare-t-elle à migrer des services vers le cloud pour la première fois ?

Parmi vos ressources numériques, quelles sont celles qui se trouvent déjà dans le cloud ? Quelles ressources numériques envisagez-vous de migrer vers le cloud ou de construire à l’aide de services cloud ?

Exemples de ressources cloud prises en compte :

  • Données de propriété intellectuelle non structurées stockées sur un site SharePoint.
  • Données de propriété intellectuelle non structurées stockées sur un SaaS de partage de fichiers géré par l’entreprise.
  • Données à caractère personnel structurées hébergées sur une plateforme marketing.
  • Plateforme de commerce en ligne exposée directement à Internet.
  • Données à caractère personnel sensibles concernant les employés, stockées sur une plateforme SaaS de RH.
  • Composants d’infrastructure clé d’un data center virtuel Azure ou AWS.
  • Référentiel de documents contenant des données sensibles sur l’entreprise, que le conseil d’administration utilise pour échanger des informations.
  • API externes

Maintenant que nous avons dressé la liste des ressources incluses dans le périmètre, nous pouvons définir les acteurs malveillants et l’impact (ou la perte) probable. En parallèle, il convient de réfléchir aux vecteurs d’attaque et aux contrôles déjà en place. Une fois tous ces éléments définis, nous pourrons délimiter l’univers des risques afin de mesurer et de communiquer sur la gestion de ces ressources numériques dans le cloud. Une façon simple de comprendre un scénario de risque est l’équation suivante :

Scénario de risque = une ressource dans le périmètre + une menace + un impact (ou perte)

Voici quelques exemples de scénarios de risque concernant ces ressources :

  • Risque qu’un acteur malveillant extérieur accède aux données à caractère personnel des collaborateurs à partir de la plateforme SaaS RH en utilisant des identifiants volés dotés d’un accès privilégié.
  • Risque qu’un acteur malveillant extérieur accède à des données non structurées confidentielles renfermant des actifs de propriété intellectuelle, provenant d’un SaaS de partage de fichiers géré par l’entreprise, en exploitant une API exposée à Internet mal configurée.
  • Risque qu’un acteur interne privilégié divulgue des données à caractère personnel depuis une plateforme marketing en commettant une erreur de configuration d’une campagne.

Une fois les scénarios définis, vous pouvez prendre la bonne décision en vous appuyant sur les résultats mesurables de l’analyse de risque.

Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber.

Construisez un programme de cybersécurité résilient et basé sur le risque avec la quantification du risque cyber (CRQ)

Contactez nous

L’analyse quantifiée des risques liés au cloud soutient les décisions de l’entreprise

Le point de départ ou la première décision à prendre consiste souvent à sensibiliser un groupe de partenaires aux scénarios de risque à haut niveau en utilisant des méthodes qualitatives. On présente généralement les résultats sous forme de carte de chaleur ou à l’aide d’une échelle ordinale, en classant les variables dans des catégories allant de « faible » à « élevé ». Ces méthodes ont toute leur place dans la gestion du risque. Néanmoins, si vous disposez également de données quantitatives de type financières pour les pertes ou d’une estimation du rapport coût/bénéfice associé aux mêmes scénarios de risque, vos données seront plus faciles à défendre.

Avec des données quantitatives, vous pouvez :

- Classer et prioriser les scénarios de risque afin de mieux les atténuer.

- Analyser le rapport coût/bénéfice de la migration vers un système de distribution cloud

- Présenter les améliorations que vous envisagez d’apporter à vos contrôles des services cloud, en tenant compte du retour sur investissement (ROI)

Gestion des risques liés au cloud en termes financiers

Dans un environnement particulièrement concurrentiel, l’adoption des services cloud est souvent gage d’une plus grande agilité et d’une accélération de la mise sur le marché. Cependant, on a souvent du mal à savoir si le passage au cloud augmente ou réduit l’exposition au cyber risque.

Avec l’approche CRQ, les équipes décisionnaires peuvent mesurer l’impact du passage au cloud en termes financiers, en tenant compte à la fois des bénéfices potentiels et des risques.

Autres cas pratiques possibles : analyser un contrôle spécifique récemment mis en place afin de déterminer s’il permet effectivement de réduire ou de contenir un scénario de risque donné. Le conseil d’administration souhaite peut-être savoir si une police de cyber assurance permet de réduire l’exposition au risque d’un scénario cloud. Le PDG et le directeur financier se demandent peut-être si l’adoption d’une nouvelle politique visant à réduire l’utilisation d’un SaaS de partage de fichiers est une bonne décision pour l’entreprise. Dans ce cas, la CRQ permet d’évaluer le coût d’une fuite de données.

FAQ

Comment définit-on un scénario de risque lié au cloud ?

Définissez les ressources à intégrer dans le périmètre. Décrivez ensuite une menace pesant sur cette ressource. Enfin, évaluez l’impact ou la perte qui résulterait de la concrétisation de cette menace.

Qu’est-ce qu’une ressource numérique ?

Par « ressource numérique », on entend toutes les données structurées ou non qui sont stockées au format numérique. Par exemple, les fichiers Word, les fichiers de bases de données, les fichiers multimédia, etc.

Quels sont les avantages des méthodes CRQ pour gérer les risques liés au cloud ?

Les méthodes de quantification des risques cyber (CRQ) analysent plusieurs facteurs mesurables et s’appuient sur des statistiques et des probabilités pour évaluer le risque en termes quantitatifs (financiers), de sorte à permettre aux décisionnaires de comprendre l’impact financier des événements liés aux risques du cloud.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
guide gestion du risque cyber

Cybersécurité : Quels enjeux pour les entreprises ?

Découvrez comment la cybersécurité et la gestion des risques liés à la sécurité de l’information permettent aux organisations de prendre des décisions éclairées et de renforcer leur résilience cyber.

Melissa Parsons

30/11/2023
gestion des risques liés aux tiers

Quelle gestion des risques liés aux tiers en cybersécurité ?

Plus une entreprise étendue a de partenaires commerciaux, plus la nécessité de penser sa gestion des risques liés aux tiers en cybersécurité s'impose.

Lydie Aubert

30/3/2023
malware : comprendre et limiter les cyber risques

Les malwares : comment détecter les attaques et limiter les risques

Quels sont les différents types de malwares ? Quelles sont les étapes de fonctionnement de ces logiciels malveillants ? Comment s'en protéger ?

Lydie Aubert

1/2/2023

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la formation en CRQ.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Cas d'usage
Communiquez avec le conseil d’administration et la directionComprenez l'exposition aux risques tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireChoisissez une stratégie efficace de réduction des risques
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Formation
Formation CRQ
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités