Pourquoi GetApp est gratuit

Sécurisation du stockage en nuage : le guide complet

Publié le 2023-04-12 par Tessa Anaya et Smriti Arya

Selon un sondage de l'Autorité canadienne pour les enregistrements Internet (CIRA), le nombre de violations de données visant les entreprises canadiennes a pratiquement doublé depuis la pandémie. Compte tenu du volume conséquent de données professionnelles et personnelles sauvegardées dans le nuage informatique, les entreprises devraient être particulièrement vigilantes quant à la protection des données. Dans cet article, nous présenterons des pratiques de sécurité en ligne que les petites et moyennes entreprises (PME) au Canada pourraient mettre en œuvre afin de sécuriser le stockage en nuage de leurs données.

Comment sécuriser les données dans le nuage

Le gouvernement du Canada a annoncé un projet de loi intitulé C-26 qui garantit l'application de la loi de la protection des cyber systèmes essentiels ("Critical Cyber Systems Protection Act", ou CCSPA en anglais). Ce projet de loi pourrait s'avérer très utile, mais quels sont les problèmes qui ont poussé le gouvernement à prendre cette mesure?

Malheureusement, les violations de données sont monnaie courante aujourd'hui. Ces incidents ont des conséquences non seulement sur les entreprises affectées, mais aussi sur leurs clients, leurs employés et leurs partenaires. Si ces violations n'ont pas toutes le même impact, nombre d'entre elles auraient un élément en commun : le facteur humain.

Les PME font face aux mêmes risques de sécurité que les grandes entreprises. Toutefois, l'impact sur les PME peut être dévastateur, car elles ne disposent pas toujours des ressources nécessaires pour y faire face. L'utilisation d'un logiciel de sécurité en ligne pour protéger données et applications pourrait aider les entreprises à se défendre contre les cyberattaques. Sachant cela, nous évoquerons certaines pratiques sécuritaires que les PME canadiennes pourraient adopter pour résister aux cyberattaques.

Mais commençons par examiner les principales menaces liées au stockage en nuage. 

Quels sont les principaux risques liés au nuage informatique?

Selon les analystes de Gartner, plus de 85 % des entreprises utiliseront le nuage informatique (article en anglais) d'ici 2025. Avec l'adoption croissante de l'infonuagique, assurez-vous que votre stratégie de sécurité est assez robuste pour vous prémunir de ces menaces.

Voici les principaux risques liés à la sécurité en ligne.

Une mauvaise configuration

La mauvaise configuration des paramètres de sécurité est l'une des principales causes de violation des données. L'infrastructure du nuage étant généralement conçue pour être facile d'accès et pratique pour le partage des données, cela complique la tâche des entreprises pour s'assurer que seules les entités autorisées peuvent y accéder. 

En outre, les entreprises qui utilisent le stockage en nuage n'ont peut-être ni le contrôle ni la visibilité globale sur leur propre infrastructure. De ce fait, elles doivent dépendre des contrôles de leur fournisseur de services d'informatique en nuage (CSP, pour “Cloud Service Provider”) pour assurer la sécurité et configurer le déploiement du nuage informatique.

De nombreuses organisations ne savent pas forcément comment sécuriser l'infrastructure en ligne et déploient des applications sur plus d'une plateforme avec différents types de contrôle de sécurité fournis par les vendeurs. De ce fait, des problèmes de configuration peuvent apparaître et fragiliser l'infrastructure en ligne de l'organisation.

Une instabilité de l'interface de programmation d'applications (API)

Qu'est-ce qu'une interface de programmation d'applications?

Une interface de programmation d'applications est un code de programmation qui fait fonction d'intermédiaire entre logiciels et explique/contrôle la manière dont deux ou plusieurs logiciels interagissent les uns avec les autres.

Les fournisseurs de services d'informatique en ligne proposent généralement aux organisations plusieurs interfaces de programmation d'applications (API, pour "Application Programming Interface") pour différentes fonctionnalités. Souvent, une API permet à deux applications ou plus d'interagir sur Internet. L'utilisation des interfaces REST API, conçues pour faciliter l'accès aux applications mobiles et aux navigateurs Internet, laissent généralement les API sans protection. 

Dans ce contexte, les REST API peuvent fournir un accès direct aux mises à jour de transactions et aux autres données du système. Les entreprises devraient donc porter une attention particulière aux mesures de sécurité pendant la phase de conception de l'API pour éviter tout risque de cyberattaque.

Le manque de visibilité

Les ressources d'une organisation qui sont axées sur le nuage se trouvent souvent en dehors du réseau de l'entreprise et fonctionnent sur une infrastructure qui ne lui appartient pas forcément. De nombreux logiciels de suivi de visibilité du réseau ne s'avèrent pas non plus toujours efficaces dans un environnement en ligne. De ce fait, cela peut restreindre la capacité d'une organisation à garder un œil sur son infrastructure et à éviter toute attaque. 

Des acteurs malveillants

Un acteur malveillant désigne un individu qui a accès aux informations confidentielles de votre organisation et qui les utilise de manière inappropriée dans le but de nuire à l'intégrité et à la réputation de l'entreprise. Il semble compliqué de découvrir qui sont les acteurs malveillants, car les organisations n'ont souvent aucun contrôle sur leur infrastructure sous-jacente, ce qui fragilise les systèmes de sécurité.

Les attaques par déni de service

Une attaque par déni de service est une attaque par laquelle un assaillant tente de provoquer l'arrêt ou l'effondrement d'une machine ou d'un réseau dans le but de le rendre inutilisable. Comme il faut une connexion à Internet pour accéder aux environnements en ligne tels que le stockage en nuage, ceux-ci sont donc plus vulnérables aux attaques par déni de service. En substance, les assaillants peuvent faire intrusion dans le réseau en ligne d'une organisation en saturant Internet pour rendre les ressources indisponibles au personnel et aux clients.

Conseils aux PME  : bien qu'il soit improbable de subir une attaque de chacune des cybermenaces, les entreprises feraient bien de s'y préparer. La création anticipée d'un plan de réponse aux cyberincidents peut faire économiser aux petites entreprises du temps, de l'argent, et le stress inhérent à toute menace sur leur système de sécurité en ligne.

Pourquoi la sécurité en ligne est-elle importante?

Selon Statistics Canada, une entreprise sur cinq a été victime d'incidents de cybersécurité en 2021. La même étude révèle que les entreprises concernées ont dépensé plus de 600 millions de dollars pour récupérer leurs données. Ces faits alarmants soulignent l'importance de la sécurité en ligne et la nécessité de définir une stratégie pour la protection des données.

Raisons pour lesquelles la sécurité en ligne est importante

Quelles sont les meilleures pratiques de sécurité en ligne pour les PME?

Choisissez le bon fournisseur de services informatiques en ligne

Vous devez choisir un fournisseur de services informatiques en ligne qui réponde à vos besoins en matière de mise en place de cet environnement. Une approche axée sur le nuage permet aux organisations d'exploiter les technologies en ligne comme principal moteur de numérisation.

Le choix d'un fournisseur de confiance devrait commencer par un examen de ses protocoles de sécurité et de sa conformité. Ensuite, évaluez les objectifs sécuritaires de votre propre organisation et comparez les mécanismes de sécurité du vendeur à vos propres exigences. Assurez-vous qu'il applique bien toutes les mesures de sécurité dont votre organisation a besoin.

Il y a plusieurs facteurs à prendre en compte pour vous aider à sélectionner le bon fournisseur.

Liste des éléments sécuritaires à prendre en compte par les organisations lors du choix d'un fournisseur de service informatique en ligne 

Posez des questions relatives à la sécurité à votre fournisseur de service informatique en ligne

Lorsque vous sélectionnez un fournisseur de service informatique en ligne, vous devriez lui poser des questions détaillées sur leurs processus de sécurité et sur toutes les mesures qu'ils ont mises en place. 

Ensuite, viennent quelques questions à poser au fournisseur concernant leurs mesures de sécurité :

  • Quel processus le fournisseur déclenche-t-il en cas de suspicion d'incidents de sécurité?
  • Quels sont les protocoles mis en place par le fournisseur pour protéger les différents systèmes d'accès?
  • Quels sont les procédés d'authentification proposés par le fournisseur?
  • Le fournisseur assure-t-il une assistance technique 24 h/24 et 7 j/7?
  • Quel type de plan de reprise d'activité le fournisseur propose-t-il?
  • Le fournisseur observe-t-il les exigences de conformité pour votre secteur d'activité et votre localisation?

Mise en œuvre de la gestion des identités et des accès

La gestion des identités et des accès (IAM, ou "Identity and Access Management") participe à la protection des systèmes essentiels, des informations et des biens de l'entreprise contre les accès non autorisés. Selon Gartner (article en anglais), l'IAM est la règle qui permet aux bonnes personnes d'accéder aux bonnes ressources au bon moment et pour les bonnes raisons.

Par exemple, lorsqu'un utilisateur se connecte avec son identifiant, son identité est vérifiée sur une base de données pour s'assurer que les informations saisies correspondent bien à celles qui sont enregistrées dans la base de données. 

Formez vos employés à la sensibilisation en matière de sécurité 

Pour empêcher les intrus d'avoir accès aux identifiants en ligne, vous pouvez former vos employés à la détection des risques en matière de cybersécurité et comment y réagir. Les formations en sécurité doivent inclure les connaissances de base sur la gestion des risques et sur la création de mots de passe sécurisés.

La formation à la sensibilisation à la sécurité peut également aider les employés à mettre en place des systèmes et des outils sans avoir recours en permanence au service informatique.

Vérifiez vos exigences de conformité

Les organisations qui traitent des renseignements personnels identifiables (PII, ou "Personally Identifiable Information"), dans les secteurs du commerce, de la santé ou de la finance par exemple, doivent appliquer des règles strictes en matière de sécurité et de confidentialité des données de la clientèle.

Les entreprises de certaines régions doivent appliquer des règles de conformité particulières selon les États ou les autorités locales. Au Canada, par exemple, les organisations du secteur privé qui gèrent des renseignements personnels à travers les frontières provinciales ou nationales et les organisations de compétence fédérale doivent se soumettre à la loi sur la protection des renseignements personnels et des documents électroniques (PIPEDA, ou "Personal Information Protection and Electronic Documents Act").

Cela étant, vous devriez probablement examiner ces exigences spécifiques et vous assurer que votre fournisseur se conforme à ces règles.

Mettez à jour votre politique de sécurité

Idéalement, les organisations devraient disposer de règles de sécurité bien documentées qui sont mises à jour en permanence, avec une liste spécifique du personnel autorisé à utiliser les services en ligne, des données qui peuvent être sauvegardées en ligne et la manière dont les utiliser.

Il est essentiel que les organisations établissent des règles de sécurité particulières que les employés devraient suivre pour protéger les applications et les données sauvegardées en ligne. Le personnel de sécurité devrait disposer de solutions automatisées pour s'assurer que chaque travailleur applique les règles de sécurité appropriées.

Sécurisez vos points d'extrémité

L'utilisation de services en ligne ne signifie pas que vous n'avez pas besoin de sécuriser les points d'extrémité. Les utilisateurs accèdent souvent aux services en ligne à travers leurs appareils personnels ou leur poste de travail, appelés aussi “points d'extrémité”. Les organisations devraient donc avoir mis en place des solutions de sécurisation pour protéger les appareils des utilisateurs.

En adoptant des dispositifs de sécurité côté client et en demandant aux utilisateurs de mettre à jour leur navigateur régulièrement, les entreprises peuvent protéger leurs données face aux éventuelles vulnérabilités. Il serait judicieux de se pourvoir d'une application dotée d'un dispositif de sécurité Internet, notamment des fonctions de vérification d'accès, une sécurisation des appareils mobiles, des antivirus et des pare-feu.

Qu'est-ce que la sécurité des points d'extrémité?

La sécurité des points d'extrémité comprend des pratiques visant à protéger les points d'entrée ou de sortie des appareils des utilisateurs contre toute menace malveillante de l'intérieur et des cyberattaques.

Qu'est-ce que la sécurité côté client?

La sécurité côté client se réfère à la manière de protéger un utilisateur final des attaques malveillantes qui peuvent survenir lors de l'affichage des pages Internet ou des applications sur l'appareil qu'il utilise.

Qu'est-ce qu'un pare-feu?

Un pare-feu est un dispositif de protection du réseau qui limite le trafic entrant et sortant et évite les intrusions sur le réseau.

En résumé

Les organisations devraient avoir mis en place une stratégie globale lorsqu'elles décident de passer au stockage en nuage. Cela commence par le choix du bon fournisseur de service en ligne puis par l'adoption d'une stratégie qui associe les bons processus, les bons outils et des mesures de sécurité efficaces. 

En suivant les meilleures pratiques de sécurité en ligne et en exploitant les mécanismes de sécurité appropriés, les entreprises réduisent les risques de violations de données et bénéficient des fonctionnalités de l'informatique en ligne. 

Vous cherchez un logiciel de sécurité en ligne? Consultez notre catalogue!


Cet article peut faire référence à des produits, programmes ou services qui ne sont pas disponibles dans votre pays, ou qui peuvent être limités par les lois ou règlements de votre pays. Nous vous suggérons de consulter directement l'éditeur du logiciel pour obtenir des informations sur la disponibilité du produit et le respect des lois locales.

À propos des auteur(e)s

Tessa est analyste de contenu pour GetApp. Elle fournit des informations sur les logiciels aux PME locales. Citée par Globe and Mail, La Presse, Financial Post et Yahoo.

Tessa est analyste de contenu pour GetApp. Elle fournit des informations sur les logiciels aux PME locales. Citée par Globe and Mail, La Presse, Financial Post et Yahoo.


Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.

Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.