Dans un contexte de crise internationale et d’explosion du télétravail, les entreprises se tournent de plus en plus vers l’externalisation de leurs infrastructures dans le cloud. La démocratisation de cette pratique entraîne une nouvelle problématique : la sécurité informatique des données hors-site. Comment s’assurer de la sécurité des éléments hébergés chez un tiers ?

 

Datacenters : les 3 principales failles à éviter

Depuis 2017 et l’attaque Wannacry, les entreprises sont particulièrement prises pour cible par les cyberattaques. A l’époque, la principale porte d’entrée était une attaque de phishing qui pouvait ensuite exploiter une faille dans le système d’information. Le réseau de la société étant alors touché, chaque poste connecté était accessible et représentait un risque de fuite de données confidentielles.

Le mode opératoire général n’a pas drastiquement changé. Cependant, ces trois dernières années ont été marquées par une tendance accentuée de la migration des entreprises vers le cloud. Les infrastructures délocalisées sur des datacenters offrent de nombreux avantages, il faut toutefois translater les mesures de cybersécurité prises dans ses locaux vers des équipements externes.

Ces tendances au cloud privé et hybride ne sont pas passées inaperçues. Les attaques perpétrées sur les entreprises peuvent alors se reporter sur les datacenters. L’objectif peut être la récupération de données sensibles, la demande de rançon ou tout simplement la malveillance et le challenge.

Un datacenter doit rester un atout indéniable. Pour cela, il doit pouvoir offrir un niveau de sécurité informatique supérieur, compris dans les services proposés.

Il existe plusieurs manières de cibler un datacenter et ses données :

  1. Premièrement, faire tomber un opérateur télécom a une incidence directe sur ses clients. Un opérateur down entraîne automatiquement dans sa chute les sites Internet et autres serveurs qui utilisent ses services.
  2. Ensuite, les attaques DDOS sont très courantes et consistent à surcharger une bande passante pour monopoliser la connexion en question et paralyser la cible de l’attaque.
  3. Enfin, les cyberattaques comprennent également toutes les menaces de type ransomware qui vont tenter de s’infiltrer par le biais d’un mail de phishing ou autre, dans une faille de sécurité système pour atteindre le réseau de l’entreprise et ainsi toucher tous les postes connectés.

Les solutions de protection contre chacune de ces menaces sont diverses et un datacenter correctement sécurisé doit pouvoir protéger les données qu’il héberge contre chacune d’entre-elles, dans la limite de son périmètre d’actions.

Pour en savoir plus, nous avons interrogé Nicolas Pitance, Directeur Commercial Datacenter chez Jaguar Network.

  • Comment un opérateur peut-il être touché par une cyberattaque ?

Un opérateur peut être touché, notamment quand les réseaux sont sous-dimensionnés. C’est souvent le cas chez les petits opérateurs qui n’ont pas les moyens d’investir dans des routeurs de forte capacité.

  • Comment marche un réseau « multi-opérateurs » ? Serait-ce une solution pour ne pas subir les frais d’un opérateur down ?

Un réseau multi-opérateur permet à un client de sécuriser son infrastructure télécom. Ainsi en cas de défaillance d’un opérateur, le service est quand même maintenu.

Pour avoir un vrai réseau multi-opérateur, il convient de faire livrer deux services identiques sur des supports physiques différents qui livrent sur des adresses différentes par des opérateurs différents. C’est la sécurité totale. Par exemple, on peut faire livrer un transit @ sur du réseau filaire et sur une carte 4G au travers d’opérateurs différents.

Cependant, bien souvent, on raisonne par multi-opérateurs avec une notion de “normal-secours”. A savoir on a un service nominal qui prend toute la charge avec un opérateur principal et on prend en secours un débit réduit au cas où l’opérateur principal est défaillant.

  • Un réseau multi-opérateurs peut-il également permettre d’éviter une attaque DDOS ?

Tout à fait sous réserve que les adresses IP de livraison des services ne soient pas les mêmes. Ce qui est en général le cas.

  • Et quels sont les avantages de la redondance des données en terme de cybersécurité ?

Les avantages sont la continuité de service, la redondance et la flexibilité. Cela permet au DSI de gagner en sérénité notamment dans la phase actuelle de pandémie.

Pour éviter toute faille de sécurité système et des applications utilisées, la meilleure solution reste d’installer les mises à jour dès qu’elles sont disponibles. Cela incombe à l’entreprise elle-même si elle a gardé la gestion de son OS et de ses applications. Si ce n’est pas le cas et que le périmètre d’action du fournisseur choisi s’étend jusqu’à la couche applicative, il doit s’assurer de la mise à jour systématique de tous les outils concernés.

 

RGPD VS Cloud Act : respecter les exigences légales en matière en confidentialité

Au sein des entreprises, le RGPD est déjà sur toutes les lèvres depuis plusieurs années. Les principes de confidentialité et d’anonymisation sont connus et les organisations tendent de plus en plus vers un modèle adapté aux lois en vigueur.

Le confinement a cependant mis en lumière un problème sous-jacent : l’utilisation de services en ligne de partage des données. Fichiers mais aussi VOIP et vidéo, de nombreux outils se sont révélés indispensables pour permettre aux équipes de continuer à travailler ensemble et de contacter clients et fournisseurs. Si certaines entreprises utilisaient déjà des solutions complètes de travail à distance (VPN, systèmes de visio conférence, serveurs de fichiers propres, outils de transfert de fichiers volumineux,…) d’autres ont dû se tourner vers le réseau WiFi domestique et des outils comme Zoom, Drive, Wetransfer…

Or, ces outils sont, pour la plupart, proposés par des sociétés étrangères, principalement américaines.

Ces derniers mois, les tensions concernant la confidentialité des données entre les USA et l’Europe se sont intensifiées. Les utilisateurs européens de ces solutions américaines se retrouvent alors, sans le savoir, hors du cadre imposé par le RGPD. Les données échangées sur ces canaux sont exposées à un éventuel droit de regard des entités américaines, même si les données en question sont hébergées sur sol européen.

En effet, le Cloud Act ne limite pas son champ d’action à la territorialité des datacenters, mais à la nationalité de la maison mère de la société qui les possède. Ainsi, si une filiale française d’une société américaine a un datacenter sur le sol français, les données qui lui sont confiées sont susceptibles d’être consultées par des tiers.

La situation actuelle est donc compliquée en ce qui concerne les fournisseurs US. Pour être certaines d’être en règle avec les nombreuses exigences du RGPD, les entreprises européennes n’ont alors d’autre choix que de se tourner vers des datacenters d’organisations européennes. D’autant plus que nul n’est censé ignorer la loi et que le RGPD stipule que chaque entreprise est garante de la conformité de ses fournisseurs et autres sous-traitants auxquels elle confie ses données.

Une entreprise peut donc être tenue responsable du choix d’un outil non conforme au RGPD.

 

Cybersécurité : tous concernés

Cette problématique de confidentialité des données concerne tous les domaines d’activité, toutes les industries. Au-delà des données sensibles, de santé ou financières, la course à l’innovation et l’espionnage industriel sont des réalités. La digitalisation massive et précipitée des organisations fragilise grandement les fines protections prévues par le gouvernement.

L’année dernière a vu une nouvelle tendance se dessiner en matière de cyberattaques : le pourcentage d’ETI ayant subi une intrusion est passé de 36% à 63%*.

Les entreprises françaises doivent impérativement s’assurer de la nationalité, du niveau de sécurité et des certifications des datacenters où sont hébergées leurs données. Les acteurs de la santé en particulier, qui ont des besoins spécifiques en matière de confidentialité, peuvent notamment se fier à la certification HDS qui garantit l’habilitation d’une infrastructure à héberger des données de santé.

Pour tous les autres domaines d’activité, les certifications ISO 27001 et PCI DSS sont des gages de haute sécurité.

 

L’externalisation de ses infrastructures informatiques doit répondre à un cahier des charges complet, y compris au niveau cybersécurité. Ce sujet doit absolument être validé par un DSI, puisqu’il fait partie intégrante de l’architecture réseau d’une entreprise et qu’il peut-être une faille dans le système. Ces nouveaux enjeux nécessitent une vision macro de l’intégralité des assets d’une entreprise pour une organisation optimale, un véritable métier !

Pour vous conseiller dans vos démarches et vous proposer des solutions adaptées et sécurisées, nos experts Cloud, Télécom et IoT sont à votre service.

 

* Rapport cyber-sinistres 2019 publié par Hiscox. Pour cette étude, sont considérées comme ETI les entreprises dont les effectifs sont compris entre 50 et 249 employés.