Les médias rapportent régulièrement des fuites de données provoquant la divulgation en ligne d’informations personnelles parce que des bases de données sont mal configurées ou que les données utilisateur ou les environnements cloud sont mal sécurisés. On songe ici aux cas de Facebook en 2019 et de Microsoft un an plus tard, qui ont rendu accidentellement accessibles au public des millions d'enregistrements.
Ces dernières années, nous avons massivement migré vers le cloud, tant dans notre vie privée que professionnelle. Le cloud offre bien des avantages tels que la flexibilité, la rapidité, l'évolutivité, la facilité d'utilisation... que nous considérons désormais comme acquis. Ce qui l'est moins, c'est la sécurité dans le cloud. Sans une politique bien pensée et des mesures adéquates, les entreprises sont vulnérables aux fuites de données, aux erreurs de configuration et aux risques de non-conformité.
Adoption du cloud en Belgique et dans l'UE
On peut affirmer sans crainte que les entreprises belges sont des précurseurs en matière d'adaptation au cloud. Selon le rapport Digital Decade publié en 2024 par la Commission européenne, les entreprises belges sont à la pointe de la numérisation. Cette étude révèle que 47,7 % d'entre elles utilisent le cloud computing, ce qui est largement supérieur à la moyenne européenne (38,9 %).
Le cloud computing consiste à acheter de la puissance de calcul, de l'espace de stockage ou même des logiciels à un fournisseur via Internet, pour ne plus avoir besoin de ses propres serveurs ou ordinateurs pour stocker des données, faire fonctionner des logiciels, etc. En d’autres termes, vous louez des capacités informatiques à un fournisseur de cloud (tel que Microsoft Azure, Amazon Web Services, Google Cloud, etc.) et ne payez que ce que vous utilisez.
'En tant qu'organisation, vous devez vous demander dans quelle mesure vous pouvez et voulez vous prémunir contre les pannes de vos fournisseurs de cloud.'
Au Benelux, environ 42 % des organisations utilisent des services cloud, pour lesquels les applications frontales et dorsales sont migrées. Cela signifie que les applications auxquelles les clients se connectent pour utiliser certains services, ainsi que la base de données et la puissance de calcul nécessaires au fonctionnement des applications, se trouvent dans le cloud.
Les défis liés à la responsabilité partagée
Cette adaptation rapide au cloud pose certains défis. Les fournisseurs de solutions cloud appliquent en effet le « modèle de responsabilité partagée ». Ainsi, des entreprises telles qu'Amazon Web Services, Microsoft Azure, Google... assurent la sécurité de leur infrastructure cloud. Mais en tant que client, vous êtes responsable de ce que vous faites dans ce cloud — configuration, gestion des accès, cryptage des données, etc.
En d'autres termes, la cybersécurité dans le cloud est une responsabilité partagée, et c'est souvent là que le bât blesse dans les organisations. Quelques exemples :
- Shadow IT. Les employés utilisent leurs propres outils et programmes à l'insu du service informatique. En l'absence d'une politique stricte, les organisations courent le risque de voir apparaître des « failles » dans leur sécurité.
- Mauvaise configuration des droits d'accès. Les listes de contrôle d'accès (ACL) déterminent qui a accès aux fichiers ou aux systèmes et ce qu'ils peuvent en faire (lire, écrire, supprimer). Si l'ACL est trop laxiste, tout le monde pourra accéder à des fichiers sensibles via Internet.
- Buckets de stockage ouverts. Un conteneur de stockage dans le cloud (tel qu'un dossier numérique) sans mot de passe ni restriction d'accès est accessible à toute personne disposant du lien. Si cette personne a de mauvaises intentions, elle pourra télécharger, modifier ou supprimer le contenu du dossier.
Il existe un cadre juridique : les entreprises belges doivent donc se conformer à des règles telles que le RGPD et la nouvelle directive NIS2. La date limite pour leur mise en œuvre est fixée au 17 avril 2026. Nous ne ressentirons donc les effets de la nouvelle législation que dans quelques années.
Un autre défi est ce que l'on appelle dans le jargon la complexité multicloud. Nous utilisons divers systèmes et plateformes de différents fournisseurs. Or, maintenir tout cela en sécurité et à jour nécessite une certaine expertise et une stratégie cohérente.
'En tant qu'organisation, vous devez vous demander dans quelle mesure vous pouvez et voulez vous prémunir contre les pannes de vos fournisseurs de cloud', explique Kristof Tuyteleers, responsable de la sécurité chez DNS Belgium. 'Les grands fournisseurs de cloud disposent de centres de données dans plusieurs pays, ce qui limite au minimum l'impact des temps d'arrêt à un seul site. Mais une stratégie multicloud n'est pas nécessairement la meilleure solution. Certes, elle réduit le risque de panne, mais elle augmente en même temps la complexité – et le risque d'erreurs – de votre infrastructure. Il en résulte parfois une moins grande disponibilité nette des services informatiques. Chaque organisation doit donc évaluer si elle dispose des ressources et de l'expertise requises pour gérer et maintenir cela de manière durable.'
Fuite de données due à une configuration incorrecte du bucket AWS S3
Au printemps, l’on a découvert que WorkComposer, un outil permettant de surveiller l'écran des employés, avait accidentellement laissé 21 millions de captures d'écran de ses utilisateurs en ligne. Cela était dû à une configuration incorrecte du bucket.
Lisez l'article sur le site web de Datanews (Néerlandais)
Recherchez les termes « AWS S3 bucket configuration data breach » sur Google et vous obtiendrez des dizaines de cas où les données de millions d'utilisateurs de toutes sortes d'outils à travers le monde ont été exposées.
Pratiques exemplaires : que pouvez-vous faire vous-même ?
La cybersécurité dans le cloud commence par une base solide. Heureusement, il existe des mesures concrètes que vous pouvez prendre en tant qu'organisation pour mieux protéger votre environnement numérique :
- Architecture Zero Trust. La confiance, c'est bien, la vérification, c'est mieux. Avec une approche Zero Trust, personne n'obtient automatiquement l'accès : chaque utilisateur, chaque appareil et chaque demande est d'abord vérifié. Vous limitez ainsi les risques liés aux menaces internes et externes.
- Sécurisation des API. Une API (Application Programming Interface) est un ensemble de règles qui permet aux applications logicielles de communiquer entre elles. Elles constituent souvent la porte d'accès à des données sensibles. Assurez un contrôle d'accès strict, une surveillance continue et une limitation du débit afin d'éviter tout abus. Pensez également à l'authentification par jetons et à la limitation des points d'accès publics.
- Chiffrement et gestion des clés. Chiffrez vos données, tant pendant leur transport que lorsqu'elles sont stockées. Combinez cela avec une gestion robuste des clés, de préférence centralisée, afin de toujours garder le contrôle sur qui a accès à quelles informations.
La Cybersecurity Coalition fait le lien entre la théorie et la pratique
La Cybersecurity Coalition en Belgique est un partenariat public-privé entre des institutions gouvernementales, des entreprises et des établissements d'enseignement. DNS Belgium fait notamment partie du groupe de réflexion sur la sécurité dans le cloud. 'Nous y développons des pratiques exemplaires et nous encourageons le partage des connaissances', explique Kristof Tuyteleers, membre du groupe de réflexion en tant que responsable de la sécurité chez DNS Belgium.
'Concrètement, nous comparons par exemple les grands fournisseurs de cloud computing, nous discutons de la souveraineté dans le cloud et de la possibilité réelle que le président Trump interrompe les services d'AWS, d'Azure, etc. Lorsque vous constatez que les amendes européennes infligées récemment à Microsoft ont été annulées et celles infligées à Google ont été réduites, vous devez vous demander quel contrôle vous avez encore', explique Kristof.
- Dans le prochain article du Mois de la Cybersécurité, vous découvrirez comment les enfants peuvent rester en sécurité en ligne.
Avec cet article, nous soutenons les objectifs de développement durable des Nations Unies.