Le consultant ERP possède une fonction pédagogique de former les utilisateurs

Les pratiques de sécurité dans le cloud

Cloud et pratiques de sécuritéLes entreprises se sont jetées à corps perdu dans le cloud (informatique nuagique) qui comporte d'énormes avantages sur lesquels je reviendrai. En revanche la sécurité est la principale préoccupation quand on met ses données dans le cloud. Un nombre considérable d’applications web et de bases de données sont migrées vers le cloud, qui concentre de plus en plus de cyberattaques occasionnant des pertes de données et d'argent aux entreprises.

Les outils de stockage et les outils collaboratifs sont particulièrement visés par les hackeurs. Pire, dorénavant la moitié des cyberattaques proviennent du cloud public et en particulier d'AWS (Amazon Web Services). Quelles sont les pratiques de sécurité à mettre en oeuvre dans le cloud? Explorons ensemble la question.

Cloud et pratiques de sécurité
Travailler dans le cloud a d'énormes avantages, à condition de respecter les pratiques de sécurité.

Le cloud computing propose des services à la demande, ce qui permet de répondre à tous les besoins organisationnels de façon rapide et scalable. Or la mise en place de pratiques de sécurité quand on travaille dans le cloud résulte d'une exigence de sécurité, c'est un impératif pour protéger vos données.

L'exigence de sécurité

La sécurité doit rester la plus grande des priorités pour une organisation. Une enquête révèle que les failles de sécurité dans l'infrastructure organisationnelle atteindront 6 000 milliards de dollars par an d'ici la fin de 2021. Ce chiffre était limité à 3 000 milliards de dollars par an jusqu'en 2015. Un autre rapport de Gartner révèle que les dépenses mondiales consacrées aux services de sécurité cloud augmenteront considérablement jusqu'à atteindre mille milliards de dollars par an. Il était seulement de 86,4 milliards de dollars en 2017.

Tout ce qui est hébergé dans le cloud fait l'objet d'attaques de cybersécurité, qu'il s'agisse d'infrastructure, de plate-forme e-commerce, de stockage, d'un réseau intranet d'entreprise ou tout simplement d'applications web. On considère généralement que le cloud a trois modèles de service (cloud public, cloud privé, cloud hybride) qui occasionnent tous des problèmes de sécurité différents.

Le cloud public

Dans le modèle de cloud public, les fournisseurs de cloud sont responsables de la gestion de toutes les ressources que vous utilisez. Ils traitent de la gestion des identités ou des accès, des authentifications sécurisées, des mises à jour et d'autres problèmes liés à la sécurité. Les fournisseurs de services cloud tels qu'AWS (Amazon Web Services) essaient d'obtenir une sécurité maximisée pour leurs produits ainsi que leur infrastructure afin que vous puissiez les utiliser de façon pratique et efficace.

Le cloud public à l'origine d'attaques de cybersécuritéLe cloud public de plus en plus à l'origine d'attaques de cybersécurité

Les fournisseurs de cloud offrent des variétés de solutions telles que la sauvegarde et la récupération de données, la migration, les authentifications à trois couches, etc., pour sécuriser toutes les ressources et les données. Des géants du cloud comme Amazon, Google et Microsoft ont dépensé des sommes importantes en main-d'œuvre et en technologies telles que l'intelligence artificielle, l'apprentissage automatique, etc., pour stimuler les innovations vers le développement de services de sécurité.

Le problème est que les pirates informatiques 🏴‍☠️ savent aussi tirer partie de cette avancée technologique, en créant des algorithmes d'attaque de plus en plus puissants. Des attaques comme les ransomwares, les dénis de service distribués (DDoS), les logiciels malveillants, etc. sont très courantes et ont porté atteinte à des millions de personnes et et des milliers d'entreprises ces dernières années. Je ne parle pas des Anonymous ou cybermilitants, mais bien de hackers malveillants

Le cloud privé

Un service de cloud privé est entièrement dédié à une organisation particulière en veillant sur ses ressources de façon privée, a priori à l'abris des regards. Des données d'entreprise ou des applications web utilisées exclusivement par cette entreprise sont sensées être plus protégées et inatteignables que dans un cloud public. Mais l'expérience montre que les clouds privés sont également vulnérables aux cyberattaques qui sont devenues courantes ces derniers mois. Il suffit de peu pour faire tomber un cloud privé, quand il a été identifié par des hackeurs et fait l'objet d'attaques systématiques.

Le cloud hybride

Le cloud hybride est semble-t-il l'approche la plus connue et la plus sécurisée pour gérer une entreprise à grande échelle. La plupart des organisations adoptent volontiers ce modèle où elles peuvent utiliser des modèles publics et privés avec plus de contrôles sur leurs données et ressources. Les fonctionnalités de cloud public sont évolutives et les ressources de cloud privé sont sécurisées (normalement), dont la combinaison des deux a le potentiel pour gérer en toute sécurité de grandes charges de travail.

La principale préoccupation est: êtes-vous en sécurité dans un cloud hybride?

Avant de sauter vers l'adoption de services de cloud computing illimités, définissez quel est votre principal objectif derrière leur utilisation? La migration de vos données et applications vers le cloud, c'est l'abandon (au moins enpartie) de votre infrastructure locale. Une fois que vous avez défini ce que vous voulez réaliser, vous pouvez rechercher les meilleures solutions de sécurité là où elles conviennent. Cela implique notamment une mise en œuvre dans la culture organisationnelle de votre entreprise, donc de la formation utilisateurs.

L'importance de vos données

Les données d'une organisation ont une importance critique. Je parle des données des clients, votre comptabilité / trésorerie, vos ventes et leur évolution, votre feuille de route (roadmap) bref tout ce qui concerne la conduite de vos affaires pourrait intéresser vos concurrents et contribuer à vous couler. Puisque vous envisagez d'utiliser la technologie du cloud computing pour rationaliser votre activité, vous devez comprendre l'importance vitale de vos données et la nécessité de les protéger.

Consultant logiciel ERP bâtiment

Essayez de classer vos données en fonction de leur priorité et de leur importance pour votre entreprise. Vous pouvez les conserver dans un environnement hautement sécurisé assurant une sécurité maximale indépendamment du fait que ce soit public ou privé. Les données nécessitent une attention particulière pour la sécurité, de sorte qu'elles vous obligent à allouer en priorité certaines ressources de l'entreprise.

Monitorage et contrôle

Les fournisseurs de cloud divisent en segments toutes les zones sujettes aux attaques et les observent attentivement (monitoring). Cela ne vous interdit pas de tirer parti des différents services disponibles sur le cloud de votre fournisseur pour mettre aussi en place votre propre contrôle, par exemple sur les IP, pour surveiller tout le trafic entrant et sortant sur votre serveur. En outre votre administrateur système peut mettre en place une surveillance de chaque activité (accès à l'ERP hébergé en cloud par exemple) à travers des logs (journaux de connexion) afin d'identifier quelles parties de votre infrastructure en cloud est potentiellement plus vulnérable et peut être améliorée.

Cela évitera d'être infecté par un ransomware exigeant un paiement en crypto monnaie pour financer des activités criminelles ou autres formes d'extorsion de vos données, menace de vente aux concurrents, etc.

Sensibilisation à la sécurité

J'ai évoqué plus haut l'intérêt de mettre en place des formations utilisateurs sur le sujet. Cela permet de faire comprendre aux collaborateurs ce qu'ils peuvent faire et ce qu'ils ne doivent pas faire. Chaque utilisateur d'un ERP en cloud a besoin de savoir comment sécuriser les données de l'entrerprise et comment il peut y contribuer à travers sa propore utilisation des données et applications du cloud. Il est intéressant que vos utilisateurs-clé aient une compréhension claire de l'ensemble de votre architecture cloud. Une certification cloud AWS peut être utile pour visualiser cette architecture.

La gestion des identités et des accès (Identity management)

La Gestion des Identités et des Accès (GIA) (en anglais on parle de Identity and Access Management ou IAM) vous permet d'attribuer un domaine particulier à une personne responsable et lui apprendre à rester vigilant sur la sécurité des données que les utilisateurs sous sa responsabilité manipulent. Par exemple désactiver l'accès à l'ERP en cloud des utilisateurs qui quittent la société. Même si leur accès au VPN n'est pas désactivé par oubli de la part du sysadmin, ils peuvent entrer sur le réseau interne mais sans plus pouvoir accéder à l'ERP.

VPN (réseau privé virtuel)

Très utilisé en ces temps de crise sanitaire où les utilisateurs sont à la maison et cherchent à rester productif tout en travaillant à distance, un VPN repose normalement sur plusieurs protocoles de sécurité pour sécuriser l'accès aux informations de l'entreprise. Votre administrateur système peut définir différentes règles dans le pare-feu et gérer qui peut accéder aux données internes. On peut ajouter plusieurs couches de sécurité dans le transfert de fichiers (FTP), l'accès Http classique et les autres protocoles permettant d'accéder au serveur de l'entreprise hébergé dans le cloud.

Chiffrement, cryptage

Essayez de crypter tous vos mots de passe et vos données à l'aide d'algorithmes de cryptage puissants afin qu'aucun intrus ne puisse les utiliser à mauvais escient s'il parvient à les récupér. Si les données sont cryptées, il ne pourra rien en faire. En outre la conservation de plusieurs copies de vos données dans différentes zones de disponibilité les rend plus sécurisées, car vous pouvez les récupérer en cas de violation de votre système. Simple, mais ilf aut y penser.

En guise de conclusion

La sécurité est une tâche difficile quand on choisit d'héberger ses données dans le cloud. Mais à coeur vaillant, rien d'impossible. Les applications de sécurité, de monitoring, les système de détection d'intrusion (IDS) permettent de ne pas rester totalement vulnérable. Il est aussi possible embaucher des professionnels de la sécurité dans le cloud.

Aix en Provence, le 11 mai 2020

Michel Campillo Michel Campillo, consultant d'entreprise
Logiciels de Gestion
06 89 56 58 18   
contact par email

➽ Autres billets concernant la cybercriminalité : la backdoor SQL Server, la crypto monnaie et le financement d'activités criminelles.

Ce billet vous a plu? Alors partagez-le en cliquant sur les boutons ci-dessous:

Facebook Twitter Mastodon LinkedIn

Merci de vos partages! Maintenant à vous de commenter. 😍

>>>


🎯 Autres options: un logiciel ERP travaux publics et un logiciel de gestion BTP.
✇ En télétravail depuis le 29 octobre (confinement Covid-19)

Copyright © 2004-2021 Michel Campillo, tous droits réservés

eXTReMe Tracker