"En recherche d'économies, d'efficacité et de flexibilité dans la gestion de leurs données, les entreprises françaises privilégient de plus en plus l'utilisation des services de cloud computing (1) s'exposant ainsi à des risques de captation de leurs données stratégiques dont la divulgation pourrait porter atteinte à leurs intérêts économiques", écrit la DGSI dans une note dédiée au cloud et à la cybersécurité diffusée fin novembre 2020. "Si le marché du cloud est en croissance continue depuis plusieurs années, son emploi s'est fortement intensifié dans le contexte de la crise sanitaire liée à lutte contre le Covid-19", obligeant notamment de nombreuses entreprises et administrations de toutes tailles à adopter dans l'urgence des solutions de télétravail et/ou de cloud. Technologie indispensable à la transformation numérique, le cloud permet en effet d'accéder à distance, sur Internet, à des ressources informatiques.
"Prédominance des prestataires étrangers"
"Ce partage massif de données en ligne" par des entités publiques comme privées inquiète les services de la DGSI qui soulignent également que "la prédominance des prestataires étrangers sur le marché du cloud, proposant l'hébergement des données sur des serveurs localisés à l'étranger, engendre des risques juridiques pour les entreprises françaises alors soumises à des réglementations étrangères."
Ce contexte de décisions prises dans l'urgence sans nécessairement disposer du recul, des compétences ni des protections nécessaires, offre un immense terrain de chasse pour les cyberattaques, qu'elles proviennent d'acteurs tiers malveillants, de concurrents ou même d'anciens collaborateurs. Les tentatives de phishing (hameçonnage) ou de ransomware (rançongiciel) sont par exemple en forte hausse depuis le confinement du printemps.
"Des menaces d'espionnage économique"
Mais la DGSI craint aussi d'autres menaces plus basiques mais tout aussi néfastes pour les entreprises. Cela peut aller de la paralysie de l'activité de l'entreprise à la suite d'une défaillance technique du prestataire à des menaces d'espionnage économique au profit d'un concurrent ou d'une puissance étrangère par le captage de données sensibles ou stratégiques. Et les entreprises victimes ne peuvent parfois s'en prendre qu'à elle-même au regard du degré de négligence des règles essentielles de sécurité. La DGSI cite ainsi l'exemple d'une grappe d'entreprises d'une même filière ayant stocké dans un cloud gratuit librement consultable et téléchargeable des données pourtant cruciales pour elles (états des stocks, matériaux et machines utilisées, capacités de production, etc.).
Une autre mésaventure concerne une entreprise ayant opté pour un prestataire stockant ses données dans plusieurs pays étrangers et se trouvant donc exposé à des risques de captation. Ce prestataire exige désormais un délai de deux ans pour rapatrier ces données. Enfin, une troisième cas, mentionné par la DGSI, est celui d'un prestataire de cloud victime d'une cyberattaque par ransomware en raison de ses systèmes de sécurité obsolescents. Une faille qui rejaillit sur ses clients.
Neuf recommandations
Dans ce contexte, la DGSI appelle les dirigeants d'entreprises et d'administrations à instaurer une vraie politique de sécurité informatique, des règles comportementales et une attention particulière au contrat passé avec le prestataire de cloud. Elle recommande notamment de :
- distinguer les données non sensibles stockables dans le cloud et les informations stratégiques (données financières, clients, fournisseurs, etc.) qui doivent rester dans l'entreprise ;
- chiffrer en interne l'ensemble des données ;
- favoriser des prestataires français et européens dont les serveurs sont situés en France et en Europe (retrouvez ici une liste des prestataires français qualifiés par l'Agence nationale de sécurité des systèmes d'information) ;
- accorder une attention forte aux conditions générales de vente et d'utilisation ;
- ne pas recourir aux services gratuits d'hébergement de données ;
- limiter les droits des utilisateurs du cloud ;
- réaliser un audit de sécurité informatique par un prestataire français ou européen ;
- envisager de souscrire une assurance spécifique ;
- signaler systématiquement tout incident.
(1) Le cloud computing, ou informatique en nuage, correspond à l'externalisation de services informatiques tels que le stockage, la gestion, la sauvegarde et le partage d'informations et de données. Ces services sont effectués par un prestataire dédié à travers l'utilisation de serveurs informatiques.
Sujets les + commentés