Cybersécurité : la DGSI alerte les entreprises sur les risques liés au cloud

 |  | 749 mots
Lecture 4 min.
La DGSI recommande aux entreprises de ne pas recourir aux services gratuits d'hébergement de données et de privilégier les prestataires français et européens.
La DGSI recommande aux entreprises de ne pas recourir aux services gratuits d'hébergement de données et de privilégier les prestataires français et européens. (Crédits : DR.)
Paralysie d'activité, cyberattaques, espionnage économique et vols d'informations stratégiques : dans une note diffusée fin novembre, la DGSI (direction générale de la sécurité intérieure) alerte les entreprises et administrations françaises sur les risques liés à l'hébergement de données dans le cloud, en particulier sur les plateformes gratuites et étrangères. Le service de renseignement rappelle les règles de sécurité de base.

"En recherche d'économies, d'efficacité et de flexibilité dans la gestion de leurs données, les entreprises françaises privilégient de plus en plus l'utilisation des services de cloud computing (1) s'exposant ainsi à des risques de captation de leurs données stratégiques dont la divulgation pourrait porter atteinte à leurs intérêts économiques", écrit la DGSI dans une note dédiée au cloud et à la cybersécurité diffusée fin novembre 2020. "Si le marché du cloud est en croissance continue depuis plusieurs années, son emploi s'est fortement intensifié dans le contexte de la crise sanitaire liée à lutte contre le Covid-19", obligeant notamment de nombreuses entreprises et administrations de toutes tailles à adopter dans l'urgence des solutions de télétravail et/ou de cloud. Technologie indispensable à la transformation numérique, le cloud permet en effet d'accéder à distance, sur Internet, à des ressources informatiques.

Lire aussi : Plongée dans la jungle du cloud, vaste marché de plus en plus convoité

"Prédominance des prestataires étrangers"

"Ce partage massif de données en ligne" par des entités publiques comme privées inquiète les services de la DGSI qui soulignent également que "la prédominance des prestataires étrangers sur le marché du cloud, proposant l'hébergement des données sur des serveurs localisés à l'étranger, engendre des risques juridiques pour les entreprises françaises alors soumises à des réglementations étrangères."

Ce contexte de décisions prises dans l'urgence sans nécessairement disposer du recul, des compétences ni des protections nécessaires, offre un immense terrain de chasse pour les cyberattaques, qu'elles proviennent d'acteurs tiers malveillants, de concurrents ou même d'anciens collaborateurs. Les tentatives de phishing (hameçonnage) ou de ransomware (rançongiciel) sont par exemple en forte hausse depuis le confinement du printemps.

Lire aussi : Cybersécurité : Tehtris lève 20 millions d'euros et va créer 300 emplois en 3 ans à Bordeaux

"Des menaces d'espionnage économique"

Mais la DGSI craint aussi d'autres menaces plus basiques mais tout aussi néfastes pour les entreprises. Cela peut aller de la paralysie de l'activité de l'entreprise à la suite d'une défaillance technique du prestataire à des menaces d'espionnage économique au profit d'un concurrent ou d'une puissance étrangère par le captage de données sensibles ou stratégiques. Et les entreprises victimes ne peuvent parfois s'en prendre qu'à elle-même au regard du degré de négligence des règles essentielles de sécurité. La DGSI cite ainsi l'exemple d'une grappe d'entreprises d'une même filière ayant stocké dans un cloud gratuit librement consultable et téléchargeable des données pourtant cruciales pour elles (états des stocks, matériaux et machines utilisées, capacités de production, etc.).

Une autre mésaventure concerne une entreprise ayant opté pour un prestataire stockant ses données dans plusieurs pays étrangers et se trouvant donc exposé à des risques de captation. Ce prestataire exige désormais un délai de deux ans pour rapatrier ces données. Enfin, une troisième cas, mentionné par la DGSI, est celui d'un prestataire de cloud victime d'une cyberattaque par ransomware en raison de ses systèmes de sécurité obsolescents. Une faille qui rejaillit sur ses clients.

Neuf recommandations

Dans ce contexte, la DGSI appelle les dirigeants d'entreprises et d'administrations à instaurer une vraie politique de sécurité informatique, des règles comportementales et une attention particulière au contrat passé avec le prestataire de cloud. Elle recommande notamment de :

  • distinguer les données non sensibles stockables dans le cloud et les informations stratégiques (données financières, clients, fournisseurs, etc.) qui doivent rester dans l'entreprise ;
  • chiffrer en interne l'ensemble des données ;
  • favoriser des prestataires français et européens dont les serveurs sont situés en France et en Europe (retrouvez ici une liste des prestataires français qualifiés par l'Agence nationale de sécurité des systèmes d'information) ;
  • accorder une attention forte aux conditions générales de vente et d'utilisation ;
  • ne pas recourir aux services gratuits d'hébergement de données ;
  • limiter les droits des utilisateurs du cloud ;
  • réaliser un audit de sécurité informatique par un prestataire français ou européen ;
  • envisager de souscrire une assurance spécifique ;
  • signaler systématiquement tout incident.

(1) Le cloud computing, ou informatique en nuage, correspond à l'externalisation de services informatiques tels que le stockage, la gestion, la sauvegarde et le partage d'informations et de données. Ces services sont effectués par un prestataire dédié à travers l'utilisation de serveurs informatiques.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 03/12/2020 à 10:54 :
Bref tout ce que l'on pouvait deviner avant la mise en place! Mais, il est si simple de faire confiance quand on a rien a perdre! La Patrie n'existe plus!
a écrit le 03/12/2020 à 9:58 :
Ben oui en néolibéralisme, dans lequel on a paramétré la population à la consommation/production, de ce fait il faut rappeller les évidences de base, il faut rappeller comme le disait Machiavel que "Le commerce est l'école de la tromperie" et que donc ces clouds ne sont pas du fait de dieu mais de sociétés marchandes ! Sans parler du fait que internet ne sera jamais sûr à 100% car fait pour ça.

Maintenant on aurait bien aimé qu'ils nous préviennent aussi du fait que les données de nos cartes grises étaient vendues à des privés et donc avec la forte possibilité de tomber dans les mains de pays étrangers, sans parler des écoutes téléphoniques aussi faites par des sociétés privées hein on est déjà pas mal chez les fous là ! Et qui a permis aux démarcheurs téléphoniques de nous pourrir autant la vie ??? De véritables escrocs de l'ancien temps.

Bref à un moment faudrait être cohérent côté sécurité nationale et c'est pas l'incroyable amateurisme des LREM en cette matière qui me démentira.
a écrit le 03/12/2020 à 9:23 :
non seulement on le sait depuis longtemps, mais en plus les boites sont autistes

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :