Sécurité du Cloud : Recommandations de l'ANSSI et enjeux pour la protection des données personnelles

L'adoption croissante des services cloud transforme la gestion des infrastructures informatiques, offrant aux organisations une flexibilité et une capacité d'adaptation accrues. Cependant, cette transition s'accompagne de défis en matière de sécurité. 

Dans son dernier rapport, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) analyse les menaces spécifiques liées à l'utilisation du cloud.

Les fournisseurs de services cloud sont exposés à diverses attaques, notamment :

  • Rançongiciels : des logiciels malveillants qui bloquent l'accès aux données ou systèmes, exigeant une rançon pour les débloquer.
  • Espionnage : des tentatives d'obtenir des informations sensibles sans autorisation.
  • Attaques par déni de service (DDoS) : des actions visant à rendre un service indisponible en le surchargeant de requêtes.

Les entreprises clientes doivent également faire face à des risques tels que :

  • Compromission de données sensibles : accès non autorisé à des informations confidentielles.
  • Détournement de ressources : utilisation illégitime des ressources informatiques, par exemple pour miner des cryptomonnaies.
  • Propagation d'attaques entre infrastructures internes et cloud : les menaces se déplacent d'un environnement à l'autre, augmentant les vecteurs d'attaque.

De plus, la dépendance aux services cloud soulève des questions concernant la souveraineté des données, notamment en relation avec les législations extraterritoriales. L'utilisation de services non européens peut exposer les entreprises à des obligations de divulgation de données sans leur consentement explicite.

Dans ce contexte, il est essentiel pour les professionnels de comprendre les menaces associées au cloud afin de mettre en place des stratégies de protection adaptées.

💡 Cet article présente les conseils et recommandations formulées par l’ANSSI, et propose une mise en lumière des défis spécifiques liés à la protection des données personnelles dans le cloud !

☁️ Conseils généraux lors du recours à des services Cloud

Recommandations pour les clients de services Cloud 🔧

  • Appliquer les mesures d'hygiène informatique : Réaliser une analyse de risques approfondie et mettre en place des moyens d'administration sécurisés, y compris pour les accès distants aux ressources hébergées dans le cloud.
  • Maintenir des contacts techniques disponibles : Assurer la présence de référents techniques joignables pour traiter rapidement les incidents de sécurité.
  • Mettre en œuvre une politique de cloisonnement : Séparer les systèmes d'information internes de ceux hébergés dans le cloud, par exemple en utilisant des passerelles d'interconnexion sécurisées avec filtrage et journalisation.
  • Auditer régulièrement les services cloud : Évaluer périodiquement l'exposition des services déployés, la chaîne d'intégration et les applications accédant aux données pour réduire la surface d'attaque et vérifier la cohérence des accès et configurations.
  • Privilégier les offres certifiées SecNumCloud : Pour les activités sensibles, opter pour des services cloud ayant obtenu la qualification SecNumCloud, garantissant un haut niveau de sécurité technique, opérationnelle et juridique.

Continuité d'activité 🛡️

  • Élaborer des plans de continuité et de reprise d'activité (PCA/PRA) : Prévoir des moyens techniques et humains pour maintenir les activités en mode dégradé et faciliter le retour à la normale après un incident.
  • Mettre en place des sauvegardes sécurisées : Utiliser les options de sauvegarde proposées par les prestataires et définir une politique de sauvegarde incluant des copies hors ligne pour les données les plus critiques.
  • Gérer les identités et les accès : Appliquer le principe du moindre privilège, utiliser l'authentification multifacteur (MFA) et des politiques d'accès conditionnel pour sécuriser les accès aux ressources cloud.
  • Chiffrer les données sensibles : Classer les données selon leur sensibilité et les chiffrer avant de les transférer vers le cloud, en s'assurant que les clés de chiffrement sont gérées de manière sécurisée.
  • Superviser et détecter les anomalies : Mettre en place une surveillance continue des actifs hébergés dans le cloud pour détecter toute altération ou activité suspecte, notamment sur les comptes à privilèges étendus.

Recommandations pour les fournisseurs de services Cloud 🛠️

  • Appliquer les guides d'hygiène de l'ANSSI : Mettre en œuvre des moyens d'administration sécurisés, assurer le maintien en conditions opérationnelles et de sécurité, et durcir les configurations et systèmes.
  • Adopter des pratiques de développement sécurisé : Réaliser des analyses de risques, gérer rigoureusement les dépendances, tester la sécurité des applications et protéger les secrets utilisés.
  • Limiter la surface d'exposition des services : Inventorier les interfaces critiques et restreindre leur accès au strict nécessaire pour réduire les risques d'exploitation.
  • Cloisonner les infrastructures : Séparer le système d'information de gestion de l'infrastructure dédiée aux clients du reste du système, en assurant une isolation stricte entre les différentes composantes.
  • Proposer des mécanismes de protection avancés : Offrir des options d'authentification robustes, telles que l'authentification multifacteur, et des services de protection contre les attaques par déni de service (DDoS).

En appliquant ces recommandations, les clients et fournisseurs de services cloud peuvent renforcer significativement la sécurité de leurs infrastructures. L'adoption de telles bonnes pratiques participent déjà activement à améliorer le niveau de sécurité assuré autour des données à caractère personnel.

Pour optimiser davantage ce niveau de protection, des précautions spécifiques supplémentaires peuvent également être adoptées.

🪪 Focus sur les problématiques en matière de données personnelles :

Lois extraterritoriales et souveraineté des données 🌐

Le recours à des prestataires de services cloud non européens peut exposer les données à des législations extraterritoriales.

Par exemple, des lois telles que le Cloud Act américain ou la loi sur le renseignement chinoise peuvent obliger les hébergeurs à transmettre des données aux autorités de leur pays, sans que les clients en soient informés.

Dans ce contexte, le chiffrement des données, bien que nécessaire, peut s'avérer insuffisant si les clés de chiffrement sont également hébergées dans le cloud.

Pour renforcer la protection contre ces lois extraterritoriales, la version 3.2 du référentiel SecNumCloud intègre des exigences spécifiques visant à assurer une meilleure souveraineté des données.

Menaces et incidents courants 🚨

Les environnements cloud sont fréquemment ciblés par des cybercriminels pour diverses raisons :

  • Vol de données d'authentification : Les attaquants cherchent à obtenir des identifiants pour accéder illicitement à des systèmes sensibles.
  • Extorsion de données : Après avoir exfiltré des informations sensibles, les cybercriminels menacent de les divulguer pour obtenir une rançon.
  • Déploiement de rançongiciels : Introduction de logiciels malveillants qui chiffrent les données, rendant les systèmes inaccessibles jusqu'au paiement d'une rançon.
  • Cryptominage illégal : Utilisation non autorisée des ressources cloud pour miner des cryptomonnaies, entraînant une surcharge des systèmes et une augmentation des coûts pour l'entreprise.

De plus, des configurations inadéquates, telles que des bases de données ou des espaces de stockage mal sécurisés, peuvent entraîner des fuites de données sensibles. Le vol de données d'authentification, en particulier, peut servir de porte d'entrée à des attaques de plus grande envergure.

Recommandations pour les clients de services cloud 🔧

Pour se prémunir contre ces menaces, les organisations utilisant des services cloud peuvent :

  • Mettre en œuvre une politique de classification des données : Évaluer la sensibilité de chaque catégorie de données pour appliquer des mesures de protection appropriées.
  • Chiffrer les données avant leur transfert vers le cloud (on ne le dira jamais assez !) : Utiliser des techniques de chiffrement robustes et, si possible, gérer les clés de chiffrement en interne pour en conserver le contrôle exclusif.
  • Superviser en continu les actifs hébergés : Mettre en place des systèmes de surveillance pour détecter toute altération ou activité suspecte sur les ressources cloud.
  • Établir une politique de gestion des secrets : Identifier, protéger et gérer le cycle de vie des informations sensibles, telles que les mots de passe et les clés d'accès, en tenant compte du partage de responsabilités avec le fournisseur de services cloud.

Recommandations pour les fournisseurs de services cloud 🛠️

Les prestataires de services cloud ont également un rôle essentiel dans la protection des données de leurs clients. Ils devraient :

  • Adopter une politique avancée de gestion des secrets : Protéger les clés privées et autres informations sensibles en les stockant dans des environnements sécurisés, tels que des modules matériels de sécurité, et offrir aux clients la possibilité de gérer leurs propres clés.
  • Proposer des options d'authentification renforcées : Intégrer des mécanismes tels que l'authentification multifacteur (MFA) et des politiques d'accès conditionnel pour renforcer la sécurité des accès aux ressources.
  • Mettre en place un cycle de vie sécurisé pour les environnements : Inclure des procédures de suppression sécurisée des données, des accès et des secrets lors du décommissionnement des ressources, garantissant ainsi qu'aucune information sensible ne subsiste.
  • Superviser la sécurité des ressources client : Détecter et notifier les configurations anormales ou exposées, et fournir aux clients un accès aux journaux d'événements pour une transparence accrue.

💡 En appliquant ces recommandations, tant les clients que les fournisseurs de services cloud peuvent renforcer la protection des données personnelles et minimiser les risques associés à leur utilisation dans des environnements cloud.

 

Autres articles susceptibles de vous intéresser :

 

___________________________________________

Article rédigé par Ninon MAIRE, le 21/02/2025

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !