Les applications et les logiciels cloud sont maintenant couramment utilisés dans la vie quotidienne des employés et des entreprises, mais attention, des erreurs toutes simples ou une mauvaise configuration pourraient faire de votre cloud une cible facile pour les pirates, qui n’hésiteront pas à lancer des attaques de rançongiciels et d’autres campagnes de logiciels malveillants.
Des mesures peuvent être prises et des erreurs évitées pour s’assurer que la stratégie de sécurité cloud de votre organisation offre à la fois une augmentation de la productivité et protège les utilisateurs et le réseau contre les cyberattaques et les incidents.
Voici ce qu’il faut savoir pour travailler en toute sécurité sur votre cloud :
Ne laissez pas les comptes cloud exposés et sans contrôles de sécurité
Dans une entreprise, le cloud est idéal car il permet aux utilisateurs d’accéder aux fichiers et aux données de n’importe où. Malheureusement, cet avantage fait aussi de votre réseau une cible de choix pour les cybercriminels. Même si l’accès au cloud est protégé par un mot de passe, les utilisateurs les choisissent souvent simples, commun, ou les réutilisent sur plusieurs comptes car il est difficile de se souvenir de tout.
Cette façon de faire est évidemment une porte grande ouverte aux pirates. Il suffit d’une violation d’une seule adresse mail ou d’un seul mot de passe pour qu’un cybercriminel s’introduise dans votre réseau et le contrôle.
Il est par conséquent essentiel que tous les comptes cloud soient correctement sécurisés, à l’aide d’un mot de passe complexe et unique et qu’ils soient également équipés d’une authentification multifacteurs, de sorte que même si le mot de passe est violé, divulgué ou deviné, il existe une barrière supplémentaire qui aide à empêcher le compte d’être piraté.
Qu’elle soit logicielle (l’utilisateur doit appuyer sur une alerte sur son smartphone) ou matérielle (l’utilisateur doit utiliser une clé USB sécurisée sur son ordinateur), l’authentification à plusieurs facteurs est très efficace. Selon Microsoft, elle protègerait même à 99,9% contre les tentatives de connexion frauduleuses.
Non seulement elle empêche les utilisateurs non autorisés d’accéder aux comptes, mais la notification envoyée par le service, qui demande à l’utilisateur s’il a tenté de se connecter, peut servir d’alerte pour signaler que quelqu’un tente d’accéder au compte. Elle peut être utilisée pour avertir l’entreprise qu’elle pourrait être la cible de pirates informatiques malveillants.
Encore mieux, les entreprises ne devraient pas hésiter à fournir aux employés un logiciel de gestion de mots de passe, de sorte qu’ils n’aient pas à se souvenir des mots de passe longs et complexes.
Ne donnez pas à chaque utilisateur tous les accès
Il est évident que tous les employés n’ont pas besoin d’avoir accès à tout le système de votre entreprise. Chaque métier, chaque collaborateur doit avoir accès seulement à ce dont il a besoin pour travailler efficacement.
Si tous les collaborateurs ont accès à tous les droits administrateurs, y compris les privilèges de haut niveau, cela multiplie les « chances » pour un pirate de compromettre votre réseau.
Il est donc impératif pour les équipes informatiques et de sécurité de l’information de s’assurer que les privilèges d’administrateur ne sont disponibles que pour ceux qui en ont vraiment besoin – et que tout compte avec des privilèges d’administrateur est correctement sécurisé, afin que les attaquants ne puissent pas accéder et abuser à un haut niveau dans l’entreprise.
Utilisez le chiffrement
L’un des principaux avantages de l’utilisation du cloud est d’avoir la possibilité de stocker ou de transférer facilement des données. Mais attention, vous devez garantir leur sécurité et ne pas se contenter de pouvoir simplement les télécharger.
Instituez une étape supplémentaire pour protéger les données téléchargées vers les services de cloud computing : chiffrez vos données.
Le chiffrement les rend illisibles et les dissimule aux utilisateurs non autorisés ou malveillants. Certains fournisseurs de services cloud fournissent automatiquement ce service, en assurant une protection de bout en bout des données à destination et en provenance du cloud, ainsi qu’à l’intérieur de celui-ci, afin d’éviter qu’elles ne soient manipulées ou volées.
Ne laissez pas les applications cloud sans surveillance et sachez qui les utilise
Les entreprises utilisent une grande variété de services de cloud computing, mais plus il y a d’applications utilisées, plus il est difficile de les suivre.
Veillez à ce que votre service informatique dispose des outils nécessaires pour savoir quels services cloud sont utilisés et qui y a accès. Supprimez immédiatement les accès à un collaborateur qui vient de quitter l’entreprise, par exemple.
Il est également important de s’assurer que les applications cloud ne sont pas mal configurées, comme ouvertes à n’importe qui sur internet par exemple. Il est essentiel que les entreprises sachent comment leurs services cloud interagissent avec le web ouvert et que seuls ceux qui ont besoin de ces services puissent y accéder.
Mettez à jour et les correctifs de sécurité immédiatement
L’une des choses les plus importantes que vous puissiez faire pour améliorer la cybersécurité de votre réseau est d’appliquer les mises à jour et les correctifs de sécurité dès qu’ils sont disponibles. Les cybercriminels cherchent régulièrement à exploiter les vulnérabilités connues des applications pour violer les réseaux et jeter les bases des cyberattaques.
Le logiciel cloud sont comme le reste des logiciels : des vulnérabilités peuvent être découvertes et les mises à jour doivent être appliquées. Attention, contrairement à ce qu’on pourrait penser, la sécurité n’est pas toujours prise en charge par le service cloud ou le fournisseur d’applications.
Les logiciels et applications cloud ont également besoin de correctifs, et il est vital que ce travail soit fait rapidement pour s’assurer que le réseau est résistant aux cybercriminels qui tentent d’exploiter les vulnérabilités.
Conservez des sauvegardes hors ligne en cas d’urgence
L’un des principaux avantages du logiciel cloud est que, dans de nombreux cas, il est disponible H24 et 7/7j par les utilisateurs. Mais il peut arriver que les systèmes cloud tombent en panne ou que des cybercriminels falsifient les données.
Si les contrôles d’identité protégeant les comptes cloud sont violés, les données pourraient être supprimées ou retenues en otage contre une rançon.
En clair, puisque tout peut arriver, protégez vos données en les sauvegardant et en les stockant hors ligne, au cas où ! Et faites-le régulièrement, évidemment.