+33 1 730 437 59 info@preo-ag.com
  1. Accueil
  2. Blog
  3. Risques Securite Du Cloud Computing

Date: 

18 Nov 2024

Auteur: 

PREO AG

Sur site vs. cloud

C’est pourquoi de nombreuses entreprises s’appuient sur des architectures hybrides et des solutions sur site.

Le développement mondial du cloud computing est énorme. Aucune entreprise prospère ne pourra échapper aux tendances actuelles sur le long terme. En particulier, en ce qui concerne les solutions logicielles induites par la mégatendance à inclure l’intelligence artificielle et ses champs d’application apparemment illimités qui rendent la gestion des fournisseurs et des services sur cloud de plus en plus complexe.


L’une des conséquences : Même les responsables informatiques ou les gestionnaires de logiciels actifs dans les petites et moyennes entreprises comptant au moins 100 employés doivent souvent gérer plusieurs fournisseurs et proposer différents produits SaaS. Pour les entreprises ou les groupes plus importants, les chiffres et les défis se multiplient. Outre l’évolution dynamique du coût des licences, ils doivent surveiller de près les risques de sécurité associés aux environnements complexes du cloud. Plus les applications logicielles, le code source, les données sensibles, les processus de production et de commande, les chats et les réunions d’entreprise se déroulent sur cloud, plus les risques qui y sont associés sont importants. En outre, les différentes normes de sécurité des divers fournisseurs de SaaS pour leurs applications respectives, comme les modèles d’autorisation, les formats de journaux d’événements et les référentiels d’utilisateurs locaux, posent des défis supplémentaires en matière de gestion des risques.


Les risques concernant la sécurité évoluent aussi rapidement que les environnements d’entreprise basés sur cloud, et compte tenu de la dynamique actuelle, nous étudierons les principaux dans cet article. Nous examinerons un exemple pratique pour montrer pourquoi de nombreuses entreprises hésitent encore à passer sur de l’informatique complètement dématérialisée pour des raisons de sécurité et de coût. Ils préfèrent des architectures hybrides ou même des solutions entièrement sur site.


Aperçu des principaux risques de sécurité

Risque de sécurité 1 : Les identités

Les gens ont une identité physique et un nombre infini d’identités numériques. Cela est particulièrement évident dans les environnements complexes sur cloud, où chaque nouvelle application crée également de nouvelles identités d’utilisateur. Sous l’impulsion des grands fournisseurs de services sur cloud tels qu’Amazon, Microsoft et Google, les identités privées et professionnelles deviennent de plus en plus floues. Par exemple, de nombreux employés de ces entreprises sont susceptibles d’utiliser Microsoft 365 à des fins privées uniquement, mais en cas d’utilisation professionnelle, ils utilisent des identités, des droits et des niveaux de sécurité différents. En outre, les entreprises sont confrontées au problème des identités inconnues en raison du phénomène du « cloud fantôme », car les solutions logicielles sont accessibles à presque tout le monde et à tout moment, même en l’absence d’un service informatique interne, et elles se retrouvent donc perdues dans les méandres de l’informatique. Il est donc de plus en plus difficile pour les responsables de la sécurité de garder une vue d’ensemble et de protéger efficacement l’accès aux données de l’entreprise.


Par conséquent, les mesures importantes pour minimiser les risques comprennent la gestion des actifs logiciels axés sur la sécurité, l’introduction de l’authentification multifactorielle (MFA), des exigences strictes en matière de mots de passe dans le cadre des directives de conformité, l’utilisation de systèmes pour documenter les tentatives de connexion et l’accès, et un processus de connexion et de déconnexion basé sur l’identité, en particulier dans les unités organisationnelles qui travaillent beaucoup avec une assistance externe ou des postes de travail à distance.

Risque de sécurité 2 : Vulnérabilités systémiques et erreurs de configuration

Les vulnérabilités systémiques du côté du fournisseur, telles que les bogues, les jours zéro ou les erreurs de code, sont bien sûr difficiles à contrôler. En règle générale, la seule chose à faire dans ce cas est de veiller à ce que les bogues soient corrigés immédiatement et que des correctifs soient disponibles. Des audits réguliers permettent également d’identifier les comportements inhabituels des utilisateurs afin de détecter les erreurs éventuelles à un stade précoce. D’autre part, le risque que des services ou des infrastructures sur cloud mal configurés créent des failles de sécurité indésirables peut être minimisé de manière beaucoup plus efficace. Ces risques comprennent, par exemple, des bases de données non sécurisées, des conteneurs de stockage accessibles au public ou des groupes de sécurité réseau mal configurés.

Pour minimiser efficacement les risques, il est essentiel de disposer d’une vision actualisée des personnes qui peuvent accéder à tout moment à une application sur cloud, par quels canaux et dans quelle mesure. À cette fin, des audits de sécurité doivent être effectués régulièrement et les employés responsables doivent être formés aux normes de sécurité les plus récentes.

Des règles de configuration définies, basées sur les risques de sécurité connus et les meilleures pratiques existantes, constituent un levier important pour la prévention des erreurs. Sur cette base, même les environnements multiclouds complexes peuvent être surveillés à l’aide d’outils de gestion de la connaissance de la situation de la sécurité dans le Cloud (outils CSPM) et les erreurs de configuration, les vulnérabilités des applications ou les violations de la réglementation peuvent être automatiquement détectées et même corrigées directement. Selon le cabinet d’études informatiques Gartner, les incidents de sécurité causés par une mauvaise configuration dans l’informatique dématérialisée peuvent être réduits jusqu’à 80 % grâce à un CSPM basé sur les besoins.

Risque de sécurité 3 : Applications sur cloud

Les applications sur cloud tiers peuvent rapidement devenir des vecteurs d’attaque si leur sécurité n’est pas suffisamment testée. Les applications respectives interagissent souvent entre elles pour simplifier les processus de travail existants. Le risque de sécurité des applications tierces est souvent sous-estimé, les utilisateurs accordent souvent trop de droits sans que le service informatique s’en rende compte. Cela crée des passerelles efficaces pour les cybercriminels en cas de failles de sécurité, qui non seulement mettent en péril l’ensemble de l’environnement sur cloud, mais peuvent aussi le paralyser complètement.


Pour minimiser les risques, il est tout aussi important de procéder à des contrôles de sécurité réguliers et d’effectuer les mises à jour des applications existantes et connues que de les tester conformément aux normes de sécurité et de certification spécifiées, telles que la norme DIN ISO 27001. En fin de compte, il est conseillé de gérer la sécurité et les autorisations d’accès de la même manière que pour les appareils individuels ou les comptes d’utilisateurs.

Risque de sécurité 4 : Disponibilité

La disponibilité des services sur cloud est un facteur de risque existentiel dès lors que les applications, les flux de travail ou les processus de production nécessaires aux activités quotidiennes de l’entreprise fonctionnent sur cloud. Cependant, les scénarios de menace sont très différents, allant de l’approvisionnement technique des ressources matérielles et logicielles par le fournisseur, aux connexions matérielles telles que les câbles à fibre optique, aux attaques DDoS par des cybercriminels, en passant par l’erreur humaine.


Les principales mesures de minimisation des risques comprennent l’élaboration de plans de reprise après sinistre et d’urgence, l’utilisation de systèmes redondants, la répartition des services sur cloud entre plusieurs centres de données géographiquement dispersés, des cycles de sauvegarde quotidiens et des mesures de protection DDoS adéquates qui détectent les attaques à un stade précoce et empêchent ainsi que la disponibilité du système ne soit compromise.


Voici d’autres faiblesses potentielles souvent négligées

Outre les principaux risques liés au cloud computing, les entreprises doivent veiller, dans le cadre d’une stratégie de sécurité globale, à ce que même les facteurs de risque, qui semblent moins importants à première vue, ne deviennent pas une porte d’entrée pour les cybercriminels. Il s’agit notamment des terminaux numériques, des clouds multiples et du cloud fantôme, ou alors des personnes dont le comportement est souvent trop imprudent dans le monde numérique du travail, comme le montre cet article de blog.


Les risques de sécurité liés au cloud computing encouragent les architectures hybrides et les solutions sur site

En particulier dans les secteurs soumis à des réglementations strictes en matière de conformité et de protection des données, tels que l’énergie, les soins de santé, le transport et la logistique ou l’élimination des déchets, mais aussi dans le domaine de l’administration publique, les risques liés aux solutions entièrement sur cloud sont encore trop élevés pour de nombreux responsables informatiques. Au lieu de cela, les architectures hybrides sur cloud ou même les solutions complètes sur site continuent d’être populaires. Cela réduit les risques de sécurité liés au cloud computing, du moins dans certains domaines. En outre, ces scénarios offrent la possibilité de réduire durablement les coûts des licences en cours grâce à l’intégration de logiciels d’occasion en fonction des besoins, comme le montre l’exemple suivant du groupe LMT :


L’entreprise du secteur de la construction de machines spéciales, qui emploie 2 200 personnes, souhaitait obtenir les licences nécessaires. Dix sites informatiques ont été touchés dans le monde entier. La solution combinait notamment un plan Office 365 E1 avec des licences PREO d’occasion pour Office 2016 et Windows 2016 Server CAL. Le résultat était la fonctionnalité d’un plan E3, mais sans Office ProPlus.


Résultat : L’entreprise a réalisé des économies à plus de six chiffres sans sacrifier la productivité. La totalité de l’investissement a été remboursée au cours de la deuxième année. Cela vous semble-t-il intéressant ? Vous pouvez consulter le dossier complet du client ici.


Découvrez-le gratuitementDouble flèche


Des avantages imbattables : le logiciel d’occasion de PREO pour l’exploitation sur site

Nous proposons aux entreprises, aux organisations et aux administrations publiques un large choix de licences en volume d’occasion pour des serveurs, des systèmes d’exploitation ou des logiciels d’application, notamment de Microsoft, qui leur permettent d’optimiser durablement leurs coûts de licence et d’en tirer de multiples avantages :


  • Des économies importantes sur les coûts de licence en cours, jusqu’à 70 % par rapport à la nouvelle version correspondante.
       
  • Acquisition de licences 100 % conformes à la législation et à l’épreuve des audits, avec une transparence maximale à toutes les étapes du processus, y compris une documentation complète sur le portail de licences PREO « Easy Compliance ».

  • De nombreuses années d’expérience dans l’intégration de licences de logiciels d’occasion dans des structures de réseau classiques ou des modèles de licences hybrides.

  • Plus de durabilité dans le secteur des technologies de l’information en promouvant une économie circulaire active et en réduisant l’empreinte CO2 des entreprises. En parlant de durabilité : PREO est le premier vendeur de logiciels d’occasion à être répertorié avec une carte de score d’EcoVadis, le plus grand fournisseur mondial d’évaluations de la durabilité.

  • Une connaissance approfondie du marché et une grande expérience grâce au transfert de plus d’un million de licences de logiciels d’occasion, dont l’audit a été prouvé.

  • Capacités existantes de gestion des licences logicielles pour les grands projets d’infrastructure informatique comportant des milliers de postes de travail et des sites transfrontaliers.

  • Des projets de référence impressionnants pour de nombreuses grandes et moyennes entreprises dans un large éventail de secteurs.



Découvrez-le gratuitementDouble flèche

Presse et Marketing

Presse et Marketing Nina Steffens

Vous avez des questions sur les supports marketing, les communiqués de presse ou les salons professionnels ?
Vous pouvez volontiers vous adresser à

Nina Steffens
Corporate Communication Manager

P +49 151 24066668
M n.steffens@preo-ag.com

SITUATION JURIDIQUE ACTUELLE

La situation juridique des logiciels en occasion

Tout sur la situation juridique autour de la commercialisation de logiciels d'occasion

Quelle est la législation actuelle ? D'où proviennent les licences conformes à la loi ? Que faut-il prendre en compte lors de l'achat de logiciels d'occasion ? Vous trouverez toutes ces réponses et bien d'autres informations sur notre page « Situation juridique ».

La situation juridique Double flèche

ACHETER DES LOGICIELS EN TOUTE SÉCURITÉ

La page d'informations de PREO

De quoi faut-il tenir compte lors de l'achat de logiciels d'occasion ?

Vous avez besoin d'informations sur l'achat de licences de logiciels d'occasion, sur les audits de licences ou sur la collaboration avec PREO ? Vous trouverez toutes les réponses sur notre page « Acheter des logiciels d'occasion ».

La page d'informations Double flèche

APERÇU DES PRODUITS

L'aperçu des produits de PREO

Vous avez besoin d'un certain logiciel pour votre entreprise ou un projet ?

Parcourez notre portefeuille de produits et trouvez les bonnes licences. Il suffit de sélectionner le logiciel utilisé souhaité et de l'ajouter à votre liste de demandes en un seul clic.

L'aperçu des produits Double flècheDouble flèche