Face à la menace croissante des malwares, sécuriser le cloud est une priorité (Part. 2)

Cloud Cyberattaque Cybersécurité

 Le cloud est de plus en plus adopté en entreprise pour la flexibilité et l’efficacité qu’il propose. Déployer une stratégie cloud comporte pourtant certains défis. Avec la multiplication des attaques par malware, la sécurité fait partie des défis principaux à relever.

 

cloud

 

Lutter contre les malwares par la formation

 

Sécuriser l’environnement cloud passe tout d’abord par la formation des employés qui, souvent non-avertis, peuvent mettre en danger la cybersécurité de l’entreprise. Mettre en place des formations avancées sur le sujet permettra d’éviter des erreurs qui aident à la propagation de logiciels malveillants au sein du réseau de l’entreprise. Organiser des séminaires et des ateliers réguliers sur le thème de la sécurité informatique sont les piliers de cette formation. La cybersécurité sera ainsi l’un des sujets importants pour lequel ils seront tenus au courant régulièrement de l’évolution des risques.

 

Eviter la propagation des logiciels malveillants par le cloud

 

La formation n’est pas l’unique moyen de faire face aux logiciels malveillants. Il existe d’autre pratiques pour contrer les malwares qui tentent d’impacter le cloud des entreprises.

 

  • Garantir les mises à jour des systèmes d’exploitation, des plugins et des navigateurs. Ces dernières peuvent contenir des correctifs de sécurité. Ne pas effectuer les mises à jour peut donc exposer les systèmes d’éventuelles attaques.

 

  • Ne pas sécuriser uniquement les points de terminaison. Les logiciels malveillants peuvent tirer parti de la moindre vulnérabilité aussi minime soit-elle. Les organisations peuvent ouvrir la porte à des attaques si elle ne sécurise que l’équipement des employés. Bien qu’importante, la sécurisation seule du point de terminaison n’est pas suffisante.

 

  • Parvenir à protéger l’ensemble des vulnérabilités au sein d’une entreprise qui a effectué une migration cloud peut s’avérer compliqué. Mais aujourd’hui, des technologies intelligentes de défense face aux cyberattaques existent et se révèlent très efficaces. Ces dernières permettent de surveiller les menaces et à sécuriser les trois sources de vulnérabilités évoquées précédemment, à savoir lorsque des fichiers infectés sont téléchargés sur le cloud, sur des appareils ou dans des applications cloud.

 

  • Rester vigilant. La sécurité est un sujet qui concerne toute la communauté. L’ensemble des employés doivent donc rester à l’affût de toute menace potentielle qui impacterai la sécurité de l’entreprise. En particulier les messageries, qu’ils soient envoyés par des tiers ou des collègues les courriels contenant des pièces jointes ou des liens suspects ne devraient jamais être ouverts et doivent être signalés au service informatique.

 

Anticiper les menaces

 

Le recours au cloud est en constante progression en entreprise c’est pourquoi la protection des données deviens de plus en plus importante. Les cyberattaques deviennent elles plus efficaces et innovantes et améliorent sans cesse leurs méthode d’attaque. Anticiper les menaces devient donc de plus en plus difficile.

Cependant, déployer une cybersécurité robuste autour d’un environnement cloud est un objectif atteignable. En effet, grâce aux formations pour les employés, aux investissements stratégiques et une vigilance constante, les risques de cyberattaques peuvent être repoussés.

Face à la menace croissante des malwares, sécuriser le cloud est une priorité (Part. 1)

Cloud Cyberattaque Cybersécurité

 Le cloud est de plus en plus adopté en entreprise pour la flexibilité et l’efficacité qu’il propose. Déployer une stratégie cloud comporte pourtant certains défis. Avec la multiplication des attaques par malware, la sécurité fait partie des défis principaux à relever.

cloud

Selon une étude, les entreprises qui n’auront pas de politique cloud d’ici 2020 seront aussi nombreuses que celles qui n’ont pas de politique internet aujourd’hui. Cependant, la nature interconnectée du cloud implique un danger puisque les malwares peuvent se répandre à travers les équipements et applications qui hébergent les données de l’entreprise. Pourtant, la grande majorité des offres cloud ne disposent pas de protection intégrée contre les logiciels malveillants.

Les environnements informatiques deviennent peu à peu de véritables champs de mines à mesure qu’un nombre croissant de fichiers et d’appareils sont infectés. Pour réussir à l’ère du cloud, les entreprises doivent donc mettre en place des mesures pour se défendre contre ces menaces.

 

Les trois points de vulnérabilité du cloud

 

De par sa nature fortement interconnectée, ne pas sécuriser son environnement cloud expose l’entreprise à des vulnérabilités qui peuvent avoir des conséquences dramatiques. Les logiciels malveillants peuvent toucher ces points de faiblesse s’ils ne sont pas protégés :

 

  • Téléchargement de fichiers infectés : sans détection fiable des menaces au moment du téléchargement, les collaborateurs peuvent accidentellement installer des logiciels malveillants à partir d’applications de confiance sur leurs appareils. Une fois compromis, les terminaux peuvent être utilisés pour télécharger des fichiers dans le cloud ce qui participera à la propagation de l’infection.

 

  • Communication entre applications connectées : les communications et transferts de données automatisés peuvent propager des infections existantes d’une application à une autre ce qui en fait un point de vulnérabilité majeur pour l’entreprise. De plus, la plupart des application cloud ne disposent pas de protection intégrée contre les logiciels malveillants.

 

  • Téléchargement de données à partir d’une terminaison compromise : les points finaux non sécurisés avec un accès aux applications cloud d’entreprises peuvent constituer une menace importante dans la mesure où les entreprises n’ont aucun contrôle sur ces périphériques, elles ne peuvent pas les soumettre aux analyses habituelles contre les logiciels malveillants. De fait, si des fichiers ne sont pas correctement examinés au moment où ces points finaux téléchargent des données dans le cloud, les infections peuvent facilement se propager au sein des applications cloud de l’entreprise.

Les États-Unis votent le Cloud Act

Cloud Data Microsoft RGPD Sécurité

Il y a peu, le gouvernement américain a voté le Cloud Act. Une loi visant à combler un vide juridique concernant la réquisition de données dans le cloud. Le texte suscite beaucoup de réactions car il renforce le pouvoir des autorités américaines sur les opérateurs de cloud computing.

 Cloud Act

L’objectif du Cloud Act est d’éclaircir les règles concernant la réquisition des autorités américaines sur les données stockées en dehors de leur territoire. La nouvelle loi pose cependant des difficultés en termes de respect de vie privée, en particulier pour les citoyens européens avec l’arrivée récente du RGPD. Le texte est le résultat d’un désaccord entre la firme de Redmond, Microsoft et les autorités de son pays pour des questions de demande de divulgation de données extraterritoriales. 

L’affaire Microsoft à la base du Cloud Act 

En 2013, dans le cadre d’une enquête sur une affaire criminelle, l’administration américaine a demandé à Microsoft de lui communiquer des données stockées dans ses serveurs. Du fait qu’elles étaient stockées dans un serveur installé en Irlande et non-pas aux Etats-Unis, Microsoft a refusé de divulguer ces données. Cependant, l’administration américaine considère que du fait que la société soit américaine, elle doit lui communiquer les données demandées où qu’elles se trouvent dans le monde. 

L’affaire est remontée en justice qui a donné raison à Microsoft, les autorités américaines ont ensuite fait appel et attendu l’adoption du Cloud Act. Il est donc fort probable que Microsoft communique au gouvernement les données dont ils ont besoin. 

Le Cloud Act permet aux autorités américaines de négocier des accords bilatéraux avec d’autres gouvernements pour échange d’information sans avoir à passer par un juge pour validation. Pour entrer en action, chaque demande doit être liée à une enquête criminelle et doit cibler un élément ou une personne en particulier. De plus, les données récupérées ne pourront pas servir à une autre enquête par la suite. 

Un texte de loi qui fait débat 

Le texte a été adopté en même temps que l’accord sur le budget, un texte long de deux mille pages, le Cloud Act était annexé comme un petit projet de loi d’une trentaine de pages. Les deux n’ont rien en commun, ainsi, le projet de loi du Cloud Act a été voté sans encombre alors qu’il aurait pu susciter maintes critiques et oppositions.  

Le Cloud Act ne fait pas l’unanimité et a suscité de nombreuses réactions. Maintenant voté, les plaintes contre cette loi se font entendre. Notamment de la part des associations American Civil Liberties Union (ACLU) et Electronic Frontier Fondation (EFF) du fait de l’absence de juge dans la procédure entre les exécutifs des deux pays. 

La loi risque donc de créer certains conflits dans les mois à venir au vu des avis partagés qu’elle engendre ainsi que de l’entrée en vigueur du RGPD le 25 mais dernier.

Microsoft ouvre 4 data centers en France

Cloud Data Microsoft

Microsoft a officialisé le 14 mars dernier l’ouverture de quatre data centers en France. Trois d’entre eux sont situés en région parisienne et le quatrième en région marseillaise. Cette inauguration appuie la décision de Microsoft de s’installer durablement dans le paysage numérique français. Avec ces nouveaux data centers, Microsoft renforce son offre cloud, la plus importante du marché en France (qui comprends Azure, Office 365 et Dynamics 365). 

Microsoft

Le cloud selon Microsoft : 

  • L’offre la plus importante du marché, avec 50 régions Azure dans le monde dont 2 en France 
  • L’activité cloud de Microsoft pèse aujourd’hui plus de 20 milliards de dollars dans son CA 
  • 80% des entreprises du CAC40 utilisent Office 365 
  • 50% des abonnés Office 365 travaillent au sein de TPE, PME ou TPI 

Déployer un environnement numérique sûr  

Microsoft a pour intention de créer un environnement numérique sécurisé sur le marché français. Cela passe par la mise en œuvre d’un cloud fiable et respectueux de la vie privée de ses clients. Ce qui se confirme avec l’obtention de la certification ISO 27018 qui fait de Microsoft le premier fournisseur majeur de cloud à se conformer à la première norme ISO internationale en matière de respect de la vie privée. Microsoft assure que son offre répondra aux besoins de tous ses types de clients qu’ils soient grands comptes ou bien PME.  

La présence des data centers en France change la donne en terme de sécurité puisqu’elles sont désormais placées sous la juridiction française. De plus, les clients français déjà abonnés à office 365 pourront faire transférer leurs données vers les data centers français s’ils le souhaitent. 

Cette offre française bénéficiera des mêmes garanties que pour toutes les autres régions du monde à savoir : 

  • La certification ISO 27001 
  • L’adoption des clauses contractuelles types définies par l’U-E 
  • Une conformité totale avec les directives du RGPD 
  • Une entière transparence avec les clients de Microsoft France sur ses engagements contractuels 
  • La reconnaissance du G29 sur le niveau élevé de protection de la vie privée des services cloud Microsoft 

Une nouvelle ère pour office 365 et Azure en France 

Avec l’ouverture de ces quatre data centers, Microsoft propose l’offre de cloud la plus aboutie depuis la France que ce soit en termes de plateformes, d’infrastructures et de services. Microsoft a tenu à proposer Azure et Office 365 dès l’ouverture des data centers et deviens donc le seul acteur à mettre à disposition depuis la France une offre cloud intégrant des outils de collaboration et de productivité. 

Grâce à cette nouvelle offre, Microsoft a pu convaincre de nouveaux clients qui cherchaient à repenser leurs méthodes de travail mais a également pu conquérir de nouveaux segments de marchés jusqu’à présent inatteignables. En effet, avec la Centrale d’Achat Informatique Hospitalière, Microsoft met un pied dans le secteur de la santé en France. Ce nouveau client en pleine transformation numérique à choisi Office 365 avant tout afin de pouvoir proposer à ses adhérents l’hébergement de leurs données en France. Ce point a été déterminant pour la Centrale d’Achat Hospitalière pour qui la sécurisation des données est primordiale.  

De plus, Microsoft a pu obtenir l’agrément « données de santé » avec l’add-in Medimail pour Office 365. Cet add-in permet dorénavant aux professionnels de santé d’échanger des mails depuis leur messagerie Outlook tout en respectant la réglementation en matière de sécurité et d’intégrité des données médicales confidentielles. 

Grâce à ce nouvel investissement, Microsoft s’engage sur le territoire français comme partenaire privilégié de la transformation numérique de ses clients et partenaires.

Microsoft en dit plus sur son futur service VMware dans Azure

Cloud Microsoft perenne-it

L’offre de cloud VMware sur Azure en cours de déploiement chez Microsoft s’appuie sur des plates-formes FlexPod de Cisco et NetApp, des plates-formes par ailleurs déjà utilisées pour les services SAP d’Azure. Microsoft en a donc dévoilé un peu plus sur les technologies qui motoriseront ce cloud. 

 

VMware

Un service bâti sur une infrastructure FlexPod Cisco/NetApp 

Cette semaine, l’éditeur de Redmond a fourni des précisions sur la façon dont il entend construire son offre. Lors de son annonce initiale, l’éditeur de Redmond avait indiqué qu’il s’appuierait sur des partenaires certifiés VMware pour son offre. La version Preview de son offre de cloud VMware sur Azure s’appuie ainsi sur des infrastructures FlexPod combinant des serveurs Cisco UCS et des baies de stockage NetApp. 

Les deux sociétés sont des partenaires de poids de VMware et leur architecture FlexPod fait partie des architectures convergées les plus vendues au monde.

L’éditeur revendique plus de 4000 partenaires dans le cloud, de l’intégrateur de quartier à des acteurs globaux comme IBM, Amazon, OVH, T-Systems ou Orange. 

 

Microsoft et NetApp : une alliance de plus en plus solide 

Il est à noter que ce n’est pas la première fois que Microsoft et NetApp s’allient pour la construction de services dans Azure. Les deux sociétés ont tout d’abord collaboré sur le développement de l’offre d’hébergement SAP dans Azure, basée sur des systèmes FlexPod. 

Plus récemment, ils ont aussi annoncé le lancement d’Azure Enterprise Network File System, un service de stockage NFS natif à Azure, s’appuyant sur les technologies de NetApp. Dans la pratique, Microsoft a confié à NetApp la production et l’administration du service NFS (basé sur l’OS OnTap de NetApp) dans son cloud et a intégré le service dans la console Azure.