Accepter de confier ses données à un prestataire afin de tirer profit des avantages du cloud ne va pas de soi. Les préoccupations relatives à la sécurité restent un frein pour bon nombre d’entreprises. Selon une enquête récemment, 68% des DSI interrogés déclarent que leurs inquiétudes en matière de sécurité les dissuadent d’adopter massivement des services de cloud. Dans cet article, nous allons tenter de répondre à une question simple : le cloud est-il sécurisé ?
Les bénéfices du cloud sont nombreux. Rien de surprenant donc à ce que l’on assiste à une adoption de plus en plus importante de cette technologie dans les entreprises. Elle permet notamment d’accéder à ses documents professionnels où que l’on soit, depuis un ordinateur, une tablette ou un smartphone. Mais le cloud est-il sécurisé ? Peut-on y stocker ses données, même les plus sensibles en toute confiance ?
Aujourd’hui, il est possible de passer au cloud en toute sécurité dès lors que l’on veille à choisir un prestataire qui offre des garanties suffisantes, attestées par des certifications. Mais quelles sont ces garanties ?
Protection physique des données : élément clé d’un cloud sécurisé
La première des protections consiste à placer les données en lieu sûr. Pour se faire, on les héberge dans un datacenter, véritable bunker entièrement dédié à la préservation des données. De la conception du bâtiment au contrôle des personnes autorisées à y accéder, tout est pensé pour assurer un niveau de sécurité optimal.
Conscient des problématiques de souveraineté et de sécurité propres à chaque pays, Oodrive garantit à chaque client un hébergement unique dans le pays de son choix (France, Allemagne, Belgique, Suisse, Brésil, Suisse). Le groupe dispose de datacenters parmi les plus performants qui respectent les normes les plus élevées du secteur, certifiés ISO 27001 et conformes Tier III.
La sécurité des accès : une étape incontournable
Le cloud est-il sécurisé ? Oui, notamment si les accès physiques des datacenters sont sécurisés. Afin que seules les personnes autorisées puissent pénétrer dans le datacenter, on maintient un contrôle strict des accès. Il peut impliquer un large éventail de mesures, par exemple :
- Accès par badge sans contact
- Reconnaissance biométrique à l’entrée
- Accompagnement permanent des visiteurs extérieurs
- Sas de sécurité unipersonnel
- Issues de secours sans poignées à l’extérieur du bâtiment
- Absence de fenêtres
De même, les lieux sont surveillés en permanence grâce à de caméras et un gardiennage 24/7. Des alarmes préviennent le personnel en cas d’intrusion ou, plus simplement, si une porte a été mal fermée. Autant de précautions qui font du datacenter un environnement très protégé.
Protection contre les sinistres
Les entreprises subissent parois des aléas qui peuvent compromettre leurs données : court-circuit, incendie, dégâts des eaux, panne matérielle, etc. au sein d’un datacenter, des protocoles précis permettent d’anticiper ces risques.
Chaque bâtiment est équipé de systèmes de refroidissement perfectionnés afin d’éviter toute variation de température, limitant ainsi les risques de surchauffe du matériel.
Il est primordial que les données soient préservées en cas d’incident électrique ou de panne de courant. Pour cette raison, les datacenters possèdent des systèmes d’alimentation de secours pour prendre le relais en cas de problème électrique. On peut aussi aller plus loin en alimentant un même serveur grâce à deux sources électriques indépendantes.
Les installations électriques font l’objet de contrôles réguliers dans le cadre de la prévention des incendies.
Des capteurs permettent de détecter les particules chaudes émises par les équipements en cas de surchauffe afin d’identifier tout foyer d’incendie potentiel suffisamment tôt pour empêcher un réel départ de feu.
Dans des cas extrêmes où un incendie se déclarerait, il existe une véritable chaîne de sécurisation des locaux : des portes coupe-feu et systèmes de confinement permettant d’isoler la zone de départ de feu. Le datacenter dispose également de moyens adaptés pour éteindre tout incendie sans endommager le matériel. L’eau, qui serait néfaste pour ces équipements de haute technologie, est remplacée par de l’azote ou encore de l’argonite, des éléments chimiques qui sont sans danger pour les composants électroniques.
La redondance : une sécurité supplémentaire pour votre cloud
Afin d’ajouter une couche de sécurité supplémentaire, les données sont redondées : la redondance consiste à dupliquer les données afin de disposer en permanence d’une copie de secours en cas de problème.
Ainsi, si le premier jeu de sauvegarde venait à être endommagé ou temporairement indisponible, le jeu de secours pourrait prendre le relais sans interruption de service. Les données peuvent ainsi être redondées à la fois au sein d’un même datacenter (elles sont copiées sur un second serveur de secours) ou entre deux datacenters distants de plusieurs dizaines de kilomètres. De cette manière, même si un énorme incident affectait un bâtiment tout entier, le second lui suppléerait.
Grâce à tous ces protocoles qui assurent la sécurité physique de vos données, un datacenter peut garantir leur disponibilité de manière quasi continue. Les éventuels incidents matériels sont gérés sans interruption de service et sans compromettre votre activité.
Cloud sécurisé : des données chiffrées à tout instant
La sécurité physique est importante dans un projet de cloud sécurisé mais elle ne suffit pas. Vos données vous appartiennent. Elles peuvent abriter des informations sensibles, confidentielles, qui ne doivent pas être lues par des tiers non autorisés… y compris votre prestataire de cloud lui-même.
Afin de garantir cette confidentialité, vos données peuvent être chiffrées tout au long de leur cycle de vie. Le chiffrement est comparable à un code secret. Vous détenez une clé grâce à laquelle les données vont être transformées en une suite de caractères sans aucune signification.
En tant que détenteur de cette clé, vous pouvez lire et utiliser vos données normalement, comme vous avez l’habitude de le faire. Sans cette clé, les données ressemblent à une succession de lettres et de chiffres incompréhensibles. Une personne extérieure sera donc incapable de déchiffrer les informations qui vous sont propres.
Il est primordial que ce chiffrement soit présent tout au long du cycle de vie de vos données : pendant les transferts, lorsque vous les sauvegardez, lorsqu’elles sont stockées dans le datacenter, lorsque vous les utilisez et, bien sûr, lorsque vous les restaurez.
Le chiffrement AES-256 : une sécurité puissante pour vos données sensibles
L’un des modes de chiffrement les plus sécurisés au monde est le chiffrement AES-256. Utilisé par certains gouvernements pour protéger leurs données les plus sensibles (informations classées top secret), il est également intégré à certaines solutions cloud professionnelles afin d’offrir aux entreprises une véritable garantie de confidentialité.
La norme ISO 27001 : des garanties fortes en matière de sécurité
Comment évaluer les engagements de son prestataire en matière de sécurité ? Comment être sûr de choisir un cloud sécurisé ? En tant qu’entreprise, il n’est pas toujours évident de savoir si l’offre cloud qui vous intéresse propose des garanties suffisantes pour assurer la confidentialité et l’intégrité de vos données.
C’est précisément pour aider les entreprises à faire un choix en toute connaissance de cause que des certifications et labels ont été créés. Ils sont attribués au terme d’un processus d’audit rigoureux qui consiste à évaluer le prestataire de cloud sur tous les volets de la sécurité :
- La confidentialité : il s’agit de s’assurer que seules les personnes autorisées puissent consulter et manipuler les données. Les données doivent être protégées de toute intrusion.
- La disponibilité : les données doivent être accessibles aux personnes autorisées avec un temps de réponse adapté.
- L’intégrité : on veille à ce que toutes les données ne soient pas altérées (que ce soit de manière fortuite ou volontaire).
- La traçabilité : tout accès aux données (ou tentative d’accès) doit pouvoir être identifié et daté.
L’une des normes les plus exigeantes à ce jour en matière de sécurité est la norme ISO 27001. Attribuée dans plus d’une centaine de pays, elle témoigne de la capacité d’un prestataire à mettre en place une politique de sécurité rigoureuse tout en veillant à son application au quotidien par l’ensemble des salariés. Pour obtenir cette certification, le prestataire doit prouver qu’il a su :
- Anticiper les problèmes de sécurité potentiels
- Evaluer l’impact qu’ils pourraient avoir sur l’activité de l’entreprise et sur sa réputation
- Développer un dispositif pour contrôler la sécurité et pallier aux défaillances éventuelles.
- Maintenir ce dispositif dans le temps en cherchant à l’améliorer.
Des audits réalisés à intervalles réguliers permettent de vérifier que le prestataire respecte ces engagements dan la durée et non de manière ponctuelle dans le seul but de décrocher la certification. De ce fait, choisir un prestataire certifié ISO 27001 offre la garantie d’une véritable vigilance en matière de protection des données.
Ces mesures permettent d’assurer la sécurité de vos données à tous instant (accès, transferts, stockage, utilisation, etc).
SecNumCloud : la qualification des prestataires de services cloud de confiance
Si certaines entreprises, encore aujourd’hui, ne se sont pas tournées vers le Cloud, c’est principalement pour des raisons de sécurité. C’est pour palier à ce problème que l’ANSSI a décidé de créer SecNumCloud. En répondant à des normes de sécurité strictes, ce référentiel est une véritable garantie sur le respect des bonnes pratiques de sécurisation des données. Avec cette qualification, la réponse à la question « le cloud est-il sécurisé » est définitivement oui !
Reposant initialement sur les spécifications de l’ISO 27001, très renforcées techniquement et complétées par des engagements de service et de localisation européenne des données, l’obtention de la qualification SecNumCloud impose d’accroitre les exigences de conformité technique, organisationnelle, contractuelle et réglementaire.
En choisissant une solution qualifiée SecNumCloud vous vous libérez de la contrainte sécuritaire pour la confier à un partenaire de confiance tout en bénéficiant du plus haut niveau de sécurité reconnu en France à ce jour.
Afin d’obtenir ce visa et de proposer une offre qualifiée, de nombreux éléments de sécurité physique, organisationnelle ou contractuelle sont à mettre en place :
- La conformité de la PSSI
- La cryptologie
- Le renforcement de l’organisation de la sécurité de l’information
- etc
La sécurité comme garantie contractuelle
Les procédures de certification et d’audit exigeantes auxquelles se soumet un prestataire de cloud lui permettent de vous proposer de véritables garanties contractuelles en matière de sécurité. Pour une tranquillité d’esprit accrue, elles peuvent même inclure une assurance qui vous permet d’être indemnisé à hauteur du préjudice subi en cas de perte de données.
Par sa dimension et sa spécialisation, votre prestataire dispo des ressources adaptées pour anticiper les risques et déployer les solutions les plus performantes pour y faire face. Un revendeur, si sérieux soit-il ne peut offrir à ses clients un niveau de sécurité comparable. C’est bien naturel dans la mesure où l’hébergement de données ne constitue pas son cœur de métier. Son infrastructure sera nécessairement plus simple que celle d’un datacenter, les protections mises en place moins poussées.
Par conséquent, il est tout à fait pertinent pour le revendeur de confier la gestion de l’infrastructure au prestataire de cloud et de concentrer pour sa part sur les services, qui constituent sa véritable valeur ajoutée.
En savoir + sur les solutions cloud sécurisées d’Oodrive