Comment garantir la sécurité des données dans le Cloud ? Les réponses d’un expert Microsoft

Alors que près de la moitié des données stockées dans le Cloud sont sensibles, la sécurité de cet écosystème devient une priorité pour tout professionnel de l’IT. Bien que les bases de la sécurité soient largement connues, certaines zones d’ombre subsistent, notamment avec l’arrivée de l’intelligence artificielle et de nouveaux cadres réglementaires. Pour y voir plus clair, nous avons échangé avec Mohsine CHOUGDALI, Business Development Executive Azure chez SoftwareOne, qui nous a dévoilé les meilleures pratiques de sécurité adaptées à Azure pour contrer les menaces. Découverte .

SaaS et Cloud : décryptage du paysage des cybermenaces

Selon le rapport « 2024 Thales Cloud Security Study », la sécurité dans le Cloud s'impose comme la première priorité budgétaire en matière de cybersécurité. Un chiffre révélateur : 44 % des entreprises ont déjà subi une violation de données. Mais au-delà des chiffres, c'est souvent l'erreur humaine qui fragilise les systèmes, comme le souligne le blog SFR Business, pointant le phishing comme vecteur d'attaque dans 74 % des cas. Face à des menaces qui se complexifient, se diversifient et se professionnalisent, comment s'y retrouver ? Tour d’horizon et projections avec Mohsine CHOUGDALI.

Comment l’émergence du SaaS a-t-elle redéfini les enjeux de sécurité dans le Cloud ?

Mohsine CHOUGDALI : Avant l'avènement du Cloud, la sécurité des systèmes d’information était entièrement sous la responsabilité des équipes informatiques, principalement celles du DSI (Directeur des Systèmes d’Information) et du RSSI (Responsable Sécurité des Systèmes d’Information). Avec l’émergence du- Cloud, cette répartition des responsabilités a évolué en fonction du type de service Cloud utilisé et du modèle de déploiement choisi.

Dans le cadre d’une migration complète vers le Cloud (souvent appelée "lift and shift"), une part significative des responsabilités techniques — telles que la gestion du réseau, le câblage, la configuration des pare-feux et les politiques de sécurité applicative — est transférée au fournisseur de services Cloud. Toutefois, le client reste directement responsable de la gestion de ses propres données, ainsi que de la protection des identités et des accès de ses utilisateurs.

Aujourd’hui, lorsqu'une organisation choisit l’Infrastructure as a Service (IaaS), elle conserve un contrôle substantiel sur la configuration de la sécurité, mais doit également s'assurer de la protection des systèmes d’exploitation et des applications qu'elle déploie. En revanche, avec le Software as a Service (SaaS), la sécurité repose sur un modèle de responsabilité partagée : le fournisseur est chargé de la sécurisation de l’infrastructure et des applications, tandis que le client doit gérer les accès et protéger les données qu'il stocke dans ces systèmes.

Cette transition vers le Cloud, notamment via le SaaS, redéfinit donc les rôles et les responsabilités en matière de sécurité. Les entreprises doivent redoubler de vigilance face aux menaces et risques, tels que le phishing, qui exploitent souvent les vulnérabilités humaines. Elles doivent par ailleurs veiller à ce que leurs fournisseurs Cloud respectent les réglementations en vigueur, comme le RGPD (Règlement Général sur la Protection des Données) en Europe, en mettant en place des audits réguliers et des exigences contractuelles strictes.

L'adoption du Cloud a aussi transformé les pratiques de développement logiciel, avec l'essor de méthodologies telles que le DevSecOps. Ce modèle intègre la sécurité dès les premières phases du développement pour garantir une approche continue et agile face aux risques émergents.

Quelles mesures Azure met-il en place pour contrer l’évolution continue des menaces de sécurité ?

Mohsine CHOUGDALI : Les menaces de sécurité dans le Cloud évoluent sans cesse, principalement en raison de l'élargissement de la surface d'attaque qui découle de l'adoption croissante de services Cloud, de l'Internet des objets (IoT) et de la mobilité. Chaque nouvel appareil et chaque service connecté offrent aux cybercriminels de nouvelles opportunités pour exploiter des vulnérabilités. Les attaques se sophistiquent, se complexifient et les fournisseurs Cloud doivent s’adapter en multipliant les mesures de sécurité comme :

• La sécurité multicouche : Azure adopte une approche de sécurité en profondeur, ou "Defense in Depth", qui consiste à intégrer des mécanismes de protection à chaque couche, depuis l'infrastructure physique jusqu'aux applications en passant par le réseau, les identités et les données.
• Le chiffrement des données : toutes les données sont chiffrées, aussi bien en transit qu’au repos, afin de prévenir tout accès non autorisé. Azure utilise des algorithmes de chiffrement robustes, conformes aux normes de l’industrie, pour garantir la confidentialité et l’intégrité des informations.
• La surveillance proactive et la détection des menaces : grâce à l'intelligence artificielle et à des outils avancés de surveillance, Azure détecte les menaces et comportements anormaux en temps réel. À la clé : une réponse automatique et plus rapide aux incidents de sécurité.
• La garantie de conformité à travers des certifications clés : Azure est conforme aux standards internationaux de sécurité et de conformité : ISO/IEC 27001, HIPAA, et le RGPD.
• La multiplication des zones de disponibilités : Azure réplique les données dans plusieurs zones géographiques distinctes, appelées zones de disponibilité pour garantir la haute disponibilité des services Cloud. En cas de panne, cela permet de garantir la continuité de service. Ce modèle de redondance et de résilience permet à Azure d'offrir un Accord de Niveau de Service (SLA) avec une disponibilité de 99,99 %.

Face aux cybermenaces : quels sont les bonnes pratiques et les bons outils Azure ?

Lors du salon SantExpo qui s'est tenu à Paris en mai 2024, l'Agence du Numérique en Santé (ANS) a mis en lumière l'impératif pour les établissements de santé de renforcer leur sécurité, en conformité avec les exigences de la directive NIS2. Ce constat illustre un défi plus vaste auquel de nombreuses organisations, au-delà du secteur de la santé, doivent faire face : se conformer et se défendre contre des cyberattaques de plus en plus sophistiquées.

Ces enjeux actuels doivent être abordés par l'adoption de bonnes pratiques et d'outils adaptés. De l'implémentation d'une architecture zero trust à l'intégration de solutions de surveillance et de détection des cybermenaces, récapitulatif avec Mohsine CHOUGDALI.

On parle beaucoup du zero trust, de quoi s’agit-il et comment cela s’intègre dans l’écosystème Azure ?

Mohsine CHOUGDALI : Le modèle de sécurité Zero Trust repose sur un principe fondamental : "ne jamais faire confiance, toujours vérifier". Cela signifie que chaque utilisateur, appareil ou service, qu’il soit à l'intérieur ou à l'extérieur du réseau, doit être systématiquement authentifié et autorisé avant d'accéder aux ressources. Ce modèle est au cœur d’Azure, qui le déploie à plusieurs niveaux :

1. Pour la gestion des identités et des accès : l’Azure Active Directory (AAD) permet une gestion centralisée des identités avec des fonctionnalités avancées telles que l'authentification multifacteur (MFA) et l'accès conditionnel. Une façon efficace de vérifier de manière dynamique l'identité et l’état de sécurité des appareils avant d’accorder l'accès à des ressources sensibles.
2. Pour le chiffrement des données : conformément au modèle Zero Trust, Azure assure que les données sont chiffrées en transit et au repos.
3. Pour la micro-segmentation : s’inscrivant pleinement dans le principe du Zero Trust, la micro-segmentation des réseaux et des ressources permet de contrôler l’accès aux applications et aux données de manière très fine et granulaire. Cela réduit la surface d'attaque potentielle en limitant les mouvements latéraux en cas de compromission.

Et si un incident de sécurité intervient, quels outils Azure assurent une détection et une correction rapide ?

Mohsine CHOUGDALI : SOAR (Security Orchestration, Automation, and Response), XDR (Extended Detection and Response).... Azure intègre des fonctionnalités de sécurité qui détectent rapidement les menaces et proposent des réponses automatisées aux incidents de sécurité. On les retrouve dans tous les outils de sécurité que propose Azure :

• Pour surveiller en continu les vulnérabilités et détecter les menaces, c’est Microsoft Defender for Cloud. L’outil repère les mauvaises configurations et les logiciels malveillants et propose des actions correctives automatisées pour renforcer la sécurité de l’environnement Cloud.
• Pour collecter et analyser les données de sécurité en temps réel, c’est Microsoft Sentinel qui reprend la main, une solution SIEM native du Cloud. Grâce à l’automatisation via des playbooks, il orchestre les réponses aux incidents et réduit le temps de réponse (MTTR).
• Pour protéger les applications web contre les menaces courantes telles que les injections SQL ou XSS, Azure WAF bloque automatiquement les requêtes malveillantes.
• Enfin, un outil complet est dédié à contrer les attaques DDoS en temps réel : Azure DDos Protection.

Tous ces outils vous permettent de gérer les incidents de manière proactive, d’automatiser les réponses, et de garantir une sécurité robuste face aux menaces actuelles. Cependant, investir dans des systèmes de sécurité ne suffit pas : l’organisation doit aussi mettre en place des stratégies pour anticiper et résoudre les attaques informatiques. Une étude de XM Cyber révèle que 80 % des risques de sécurité proviennent d’erreurs de configuration, lesquelles sont à l’origine de la grande majorité des vulnérabilités.

Quels sont vos conseils pour lutter contre le phénomène du shadow IT, qui ne cesse de fragiliser les SI ?

Mohsine Chougdali : Le terme shadow IT désigne un ensemble de concepts variés. Il englobe tout ce qui échappe à la gouvernance et au contrôle de la DSI, comme un employé dont les droits d'accès dépassent le cadre de ses fonctions. Si son identité est usurpée, un hacker pourrait ainsi accéder à une quantité d'informations supplémentaires, potentiellement précieuses.

Pour lutter contre ce phénomène, la sensibilisation des employés sur les risques du shadow IT est cruciale. Pour cela, il faut développer une relation étroite avec les différentes équipes métiers pour permettre aux départements IT de mieux comprendre leurs besoins et de proposer des solutions adaptées et surtout, sécurisées.

Ensuite, il faut surveiller les réseaux. Pour cela, vous pouvez vous aider d’outils comme les systèmes de gestion des informations et des événements de sécurité (SIEM) qui détectent et gèrent les équipements et applications non autorisés.

Enfin, mon dernier conseil est de définir une gouvernance claire pour l’évaluation, l’achat et la mise en œuvre de solutions technologiques, tout en impliquant les parties prenantes.

Pour plus d’efficacité, je recommande aux entreprises de se faire accompagner dans le déploiement et la mise en place d’outils capables de diminuer les risques liés au shadow IT. Chez SoftwareOne, par exemple, nous mettons en place des outils ce type d’outils et nous accompagnons les directions IT dans leurs inventaires SAM et leurs audits des actifs IT.

Quels sont vos conseils pour lutter contre le phénomène du shadow IT, qui ne cesse de fragiliser les SI ?

Mohsine CHOUGDALI : Pour se prémunir contre les malwares, il est essentiel de mettre en place les bons outils et les bonnes pratiques. Les malwares, ou logiciels malveillants, sont conçus pour infiltrer, endommager ou exploiter les systèmes informatiques.

Dans le cadre d'Azure, plusieurs solutions sont disponibles pour faire face à ces menaces de plus en plus complexes. Microsoft Defender for Cloud assure une surveillance continue des ressources pour détecter les menaces potentielles et propose des actions correctives adaptées tandis qu’Azure Defender for Storage analyse les fichiers téléchargés en quasi-temps réel pour identifier la présence de malwares.

Pour assurer la protection des sauvegardes contre toute tentative d'altération ou de suppression par des attaquants, l’outil Azure Backup, garantit une restauration sécurisée des données en cas d'incident. Pour suivre l'ensemble des mesures de sécurité, des actions réalisées et des rapports sur les menaces, tout est centralisé et visible via Defender For cloud.

Enfin, pour une protection solide et sans compromis, Azure s’appuie sur deux grands alliés : Azure Web Application Firewall (WAF) et Azure DDoS Protection. Le WAF se dresse en première ligne pour bloquer automatiquement les requêtes malveillantes qui visent les applications web, tandis qu’Azure DDoS Protection atténue efficacement les attaques par déni de service distribué (DDoS).

En combinant ces outils aux bonnes pratiques de cybersécurité, vous êtes entièrement paré contre les malwares qui peuvent toucher votre SI.

Cadre réglementaire, innovation, IA : comment Azure assure l’avenir de la cybersécurité ?

À l'ère des nouvelles directives réglementaires et de l'intelligence artificielle, le paysage de la cybersécurité se redessine et intègre des technologies innovantes. Ce virage décisif confère à ceux qui adoptent ces méthodes de conformité des avantages concurrentiels indéniables. Dans cette dynamique, comment Azure se positionne-t-il pour façonner l'avenir de la cybersécurité ?

La directive NIS2 ne devrait pas tarder à entrer dans le droit français : comment Azure intègre les nouvelles obligations ?

Mohsine CHOUGDALI : Une organisation qui exploite les fonctionnalités d'Azure bénéficie d'un « Security Score » optimal au sein de l'Azure Security Center désormais renommé Defender For Cloud, une console qui centralise la gestion de la sécurité et offre une meilleure visibilité sur la sécurité des ressources Azure. Cela contribue également à renforcer la maturité de l'organisation en matière de déploiement de stacks de sécurité.

Cependant, une certaine inquiétude persiste autour de la dépendance et du risque potentiel de perte de données. Bien que cette inquiétude tende à diminuer avec le temps, de nombreuses organisations continuent d'utiliser divers outils de sécurité provenant de plusieurs fournisseurs, ce qui peut entraîner des problèmes d'interopérabilité entre ces solutions.

En ce qui concerne la directive NIS2, qui renforce les exigences de sécurité pour mieux protéger les infrastructures critiques et les services essentiels, la question relève davantage de la gouvernance au sein de l'organisation. Dans un environnement Azure hautement sécurisé, les données sont étiquetées, labellisées et organisées, facilitant ainsi leur extraction ou leur suppression. De plus, les Azure Policies permettent d'appliquer une politique de sécurité uniforme à l'ensemble de l'entreprise, à une filiale ou à un groupe d'utilisateurs.

Est-ce qu’Azure intègre de l’intelligence artificielle pour améliorer la détection des menaces ?

Mohsine CHOUGDALI : Grâce aux Azure OpenAI Services, qui intègrent le modèle GPT-4, l'intelligence artificielle se déploie, notamment dans le domaine de l'informatique décisionnelle avec Microsoft Fabric, qui pousse l'analyse encore plus loin. Cependant, la gestion du changement nécessite une approche pédagogique : il est crucial d'apprendre aux utilisateurs comment formuler leurs demandes de manière appropriée.

Depuis mars 2023, Azure intègre l’intelligence artificielle à tous les niveaux avec Microsoft Copilot. Copilot For Enterprise permet d’extraire des données exclusivement au sein de l'entreprise pour améliorer la réactivité et la productivité grâce à l’IA, tout en garantissant un niveau élevé de confidentialité et de sécurité des informations. En effet, il accède uniquement aux données internes.

En revanche, Microsoft Copilot, accessible sur le web, intègre des données internes et externes. Bien qu'il améliore la réactivité et la productivité, son apprentissage continu basé sur les données des utilisateurs, souvent peu formés à l’écriture de prompts et à l’usage de l’IA, est parfois la cause de fuites d'informations confidentielles.

Néanmoins, bloquer l'adoption de l'IA revient à brider la productivité et ralentit le time-to-market. Il est donc impératif que les utilisateurs reçoivent une formation adéquate pour tirer pleinement parti des outils d'intelligence artificielle.

Qu'est-ce que l’on peut attendre d’Azure en matière d'innovation sur la sécurité ?

Mohsine CHOUGDALI : Nous assistons à l’émergence d’un « safe space », d’une zone éthique et fiable au sein de laquelle l'IA générera des données fiables, exemptes des biais souvent associés à la multitude d'informations présentes dans le big data. Dans ce nouvel environnement, chaque utilisateur sera tenu responsable de son utilisation de l'IA. Une IA responsable saura interroger l'usage de données soumises à des droits d'auteur ou à des brevets. Les futurs modèles se concentreront donc sur les notions de responsabilité, de sécurité et de fiabilité des données, des enjeux sur lesquels Microsoft joue un rôle clé.