Choisir le bon fournisseur de services cloud
En choisissant un fournisseur de services cloud qui respecte des normes de sécurité strictes, une partie du travail de sécurisation sera effectuée pour vous (notamment la conformité aux lois et réglementations sur la protection des données). Outre l’élaboration d’une carte de flux de données pour chaque fournisseur de services cloud que vous évaluez, consultez les avis et témoignages client, et identifiez les fonctionnalités qui les différencient. Pensez également à vérifier ce que les experts du secteur en disent.
Un même fournisseur de services cloud n’est pas nécessairement adapté à tous les types d’entreprises : vous devez trouver celui qui répond le mieux à vos besoins.
Tenir compte des exigences réglementaires
Une fois que vous avez identifié les fournisseurs de services cloud qui pourraient convenir à votre entreprise, tenez compte des exigences réglementaires du secteur, des utilisateurs et des pays avec lesquels votre entreprise travaille. Le fournisseur cloud que vous choisissez doit être conforme à toutes les réglementations de sécurité que votre entreprise est tenue de respecter.
Chiffrer les fichiers
Le chiffrement des fichiers renforce la protection des données en les chiffrant au niveau de chaque fichier afin de les rendre illisibles pour les personnes non autorisées, quel que soit le dispositif à partir duquel elles y accèdent. Les fichiers ou les systèmes de fichiers doivent être chiffrés avant d’être transférés sur le cloud.
Il existe une multitude d’outils et de ressources disponibles pour vous aider à chiffrer vos fichiers : renseignez-vous sur la fiabilité de ceux que vous comptez utiliser.
Sécuriser les appareils des utilisateurs
Selon une étude menée par l’université de Stanford et l’entreprise Tessian, 88 % des violations de données sont dues à une erreur humaine. Cela signifie que même si votre fournisseur de services cloud propose d’excellentes options de sécurité, les données de votre entreprise risqueront toujours d’être compromises par l’un de vos employés si vous n’avez pas mis en place des politiques de sécurité claires pour les utilisateurs finaux.
Vous devez définir des règles et des politiques sans ambiguïté concernant les personnes qui peuvent accéder aux données, les endroits d’où elles peuvent les consulter et la manière dont cet accès sera contrôlé, afin de faciliter leur respect par tous. Une fois que vous aurez établi ces politiques, vous devrez les communiquer avec clarté aux membres de l’équipe. Vous pourrez par exemple recourir aux cartes de flux de données que nous avons mentionnées précédemment.
Appliquer les bonnes pratiques de création de mots de passe
Former l’ensemble de votre organisation à utiliser des mots de passe forts est une étape importante pour sécuriser les données stockées dans le cloud.
Les recommandations du National Institute of Standards and Technology (NIST) pour les mots de passe en 2021 sont les suivantes :
- Entre 8 et 64 caractères
- Espaces et caractères ASCII acceptés
- Ne figure pas sur la liste des mots de passe les plus utilisés et les plus compromis
Les mots de passe couramment compromis incluent :
- Les mots du dictionnaire
- Les mots de passe précédemment compromis
- Les suites de caractères qui se répètent ou respectent un ordre donné
- Les mots de passe spécifiques au contexte, tels qu’un nom d’utilisateur, le nom de l’entreprise, etc.
Le NIST approuve également l’utilisation de gestionnaires de mots de passe comme LastPass et Bitwarden.
Utiliser l’authentification à double facteur
L’authentification à double facteur renforce la sécurité en exigeant deux formes d’identification pour permettre d’accéder aux informations. Ces deux modalités sont généralement une combinaison des éléments suivants :
- Quelque chose que vous connaissez
- Quelque chose que vous avez ou quelque chose que vous êtes
La chose que vous connaissez est votre mot de passe, et c’est la première étape de l’authentification. Une fois que vous l’avez saisi, l’authentification suivante provient d’un élément dont vous disposez (tel qu’un code envoyé à un autre appareil) ou d’un identifiant propre à votre personne (tel qu’une empreinte digitale ou un scan de votre visage).
Le fait d’exiger des membres de l’équipe qu’ils franchissent deux obstacles pour accéder aux données sensibles est beaucoup plus sûr qu’un simple mot de passe.
Sécuriser les transferts de données
Les données que vous conservez dans le cloud doivent être sécurisées non seulement lorsqu’elles sont stockées, mais aussi lorsqu’elles sont transférées. En adoptant des solutions telles que le chiffrement, le protocole SSL, les outils de messagerie sécurisée et autres, vous pouvez contribuer à protéger vos données au moment de leur partage.
De nombreuses applications offrent également un contrôle des autorisations pour accorder ou révoquer l’accès de chaque utilisateur. Assurez-vous de vérifier les autorisations accordées au sein de votre organisation et de les définir de manière appropriée.
Sauvegarder les données
Dernière recommandation, mais non des moindres, il est bon de stocker vos données à plusieurs endroits pour vous protéger contre les éventuelles pertes en cas de violation de sécurité. La sauvegarde des données peut être déterminante pour maintenir vos activités après une faille de sécurité.
Assurez-vous simplement que les normes de sécurité de votre deuxième site sont aussi strictes que celles de votre site principal. Il ne faudrait pas que vos données de sauvegarde se transforment en risque de sécurité supplémentaire !
Assurer la sécurité des données dans le cloud est une tâche considérable, mais elle sera d’autant plus facile à gérer que vous mettrez en œuvre les conseils partagés dans cet article. Gardez à l’esprit que même si nous vous avons présenté de bonnes pratiques indispensables, la sécurité dans le cloud comporte de nombreux autres domaines que vous pouvez approfondir. Lorsqu’il s’agit de sécuriser les données de votre organisation et de vos utilisateurs, vous ne serez jamais trop prudent.
