L’infonuagique n’est pas aussi sécuritaire qu’on le dit
Publié dans le Journal de Montréal/Journal de Québec, section Dans vos poches, 31 octobre 2021
De plus en plus de PME migrent vers le nuage. Ce n’est pas une raison de baisser la garde.
Contrairement à ce que croient nombre d’entrepreneurs, le nuage n’est pas un environnement informatique plus sécuritaire que les autres. C’est, tout au plus, l’équivalent d’un serveur situé hors des murs de l’entreprise, dans un centre de données quelque part dans le monde.
Pour beaucoup de PME, l’infonuagique est avantageuse, car elle permet notamment de doubler la capacité au besoin et rapidement, sans dépenser une fortune en quincaillerie.
«Les entrepreneurs pensent que Microsoft, Amazon ou Apple, c’est sécuritaire. Il faut pourtant appliquer les mêmes mécanismes de sécurité que si vos données étaient sauvegardées dans des serveurs situés dans les bureaux de l’entreprise», soutient Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton.
Pas moins vulnérables
Les géants de l’informatique et les hébergeurs ne sont pas à l’abri des sinistres ni des pannes, comme l’a montré celle qui a paralysé Facebook toute une journée du début d’octobre. Et ils sont constamment la cible d’attaques informatiques, comme ils occupent désormais une place centrale dans la chaîne d’approvisionnement.
«Par exemple, les PME vont utiliser des services de cybersécurité pour protéger les données, systèmes et applications situés dans le nuage, reprend M. Caron. Elles doivent s’assurer entre autres de mettre à jour ces systèmes et d’appliquer les bonnes pratiques de sécurité en implantant les contrôles appropriés.»
Avoir de bonnes pratiques dans un environnement d’infonuagique demeure une priorité. Car même dans le nuage, les PME ont la responsabilité de protéger la confidentialité des données sensibles. Pas les Amazon de ce monde.
Il faut donc se protéger des attaques par hameçonnage ou des intrusions qui mèneront à des demandes de rançon avec les techniques habituelles, c’est-à-dire par les technologies et les services de surveillance adaptés aux besoins de l’entreprise.
CHOISIR LE BON HÉBERGEUR
Il y a différents types de nuages dans le ciel… ainsi qu’en informatique!
Le choix d’un hébergeur dépend de plusieurs facteurs, mais les plus importants sont les suivants:
- la taille de votre entreprise et des ressources TI dont vous disposez;
- la nature de vos données;
- les lois et règlements spécifiques à votre industrie.
Si votre PME est de très petite taille et que des services grand public tels que DropBox, iCloud, Google Drive ou One Drive suffisent à combler vos besoins, des questions s’imposent malgré tout. Car personne ne lit leurs contrats et ce qui se rapporte à vos données si elles sont hébergées hors du pays (ce qui est habituellement le cas).
Or, si ces données sont sensibles, ça peut changer la donne, surtout si vous conservez des renseignements confidentiels: coordonnées clients, fournisseurs, employés; dossiers médicaux; informations de paiement…
«Vos clients sont-ils québécois, canadiens ou européens? Selon le cas, votre responsabilité est-elle définie par la nouvelle Loi québécoise sur la protection des renseignements personnels, l’équivalent au fédéral ou par le Règlement général sur la protection des données [RGPD] européen?» questionne François Daigle, vice-président, services professionnels chez OKIOK.
Vous pouvez aussi choisir un hébergeur conventionnel, comme Hébergement Web Canada, Rapidenet, Astral Internet ou même Amazon, Oracle ou Microsoft Azure.
«Vous devez alors confirmer s’il est certifié selon certaines normes de sécurité (comme SOC 2 Type 2), poursuit M. Daigle. Et un certificat n’est pas suffisant: il faut demander un rapport de conformité et le faire vérifier par un spécialiste en sécurité informatique, question de s’assurer que cette conformité colle spécifiquement aux besoins de votre entreprise.» On parle ici de quelques centaines de dollars bien investis.
Au Québec?
La plupart des hébergeurs sont en mesure de garantir que vos données sont logées dans un centre de serveurs situé au Québec ou au Canada.
Ça compte, car la conformité de certaines industries sous-tend que les données soient encadrées de près. Certaines règles imposent même leur conservation en sol canadien ou québécois. À plus forte raison, nombre de pays sont laxistes en matière de protection des données ou de sécurité des installations.
DÉROULEMENT D’UNE ATTAQUE DE RANÇON
- Il y a une attaque de rançon toutes les 14 secondes dans le monde.
- Habituellement, c’est la dernière étape de la chaîne d’attaque, car les pirates se sont peut-être introduits il y a de trois à six mois dans les systèmes de l’entreprise.
- Ils s’introduisent par étapes, ni vu ni connu:
- escalader les privilèges (en se donnant des droits d’accès normalement dévolus aux administrateurs légitimes) pour prendre progressivement le contrôle
- désactiver les systèmes de sécurité, comme les antivirus
- crypter les données et celles des copies de sécurité
- neutraliser les systèmes de sauvegarde
- contrôler les systèmes de courriels
- voler des données ou de la propriété intellectuelle
- infecter par la bande les systèmes des clients ou des fournisseurs, etc.