Course Content
Introduction au Cloud
0/2
Vidéo Introduction Cloud
03:57
Quiz Introduction Cloud
Fournisseurs de cloud
0/2
Vidéo Fournisseurs de cloud
02:21
Quiz Fournisseurs de cloud
Migration
0/2
Vidéo Migration vers le Cloud
04:10
Quiz Migration vers le Cloud
Risques et menaces
0/2
Vidéo Risques et menaces
03:05
Quiz Risques et menaces
Mesures de protection
0/2
Vidéo Mesures de protection
03:26
Quiz Mesures de protection
Cours Cloud

Utiliser le Cloud présente de nombreux avantages, mais cela s’accompagne également de risques pour votre entreprise, vos services et vos données. Mais vous pouvez mettre en place des solutions pour éviter ou réduire ces risques. 

Auditer ses ressources 

Avant de pouvoir les protéger, vous devez connaître vos ressources. La première étape essentielle est de recenser les données que vous possédez et les applications que vous utilisez.  

Cela vous permet de définir le niveau de criticité de vos données et applications, celles sans lesquelles vous ne pouvez pas mener vos activités. Cela vous permet aussi de savoir si vous avez des données sensibles ou soumises à des législations particulières. Il est essentiel d’avoir un niveau de suivi encore plus strict sur ces données.  

Gérer les accès 

Il est essentiel que votre entreprise gère correctement les accès aux données et applications. Vous devez respecter le principe de « moindre privilège ». Un employé ne doit avoir uniquement les accès dont il a besoin pour travailler.  

Cela permet d’éviter les menaces internes et de limiter les conséquences de la compromission d’un compte par un attaquant.  

Il est essentiel que ces accès soient définis avant même qu’un employé commence à travailler dans votre entreprise. De même, lors d’un départ, il faut que le compte de l’employé soit désactivé, voire supprimé.  

Il faut aussi éviter le plus possible d’utiliser des comptes génériques (par exemple : RH, finance, communication, etc.). Avoir des comptes personnes permet de suivre les actions de chaque utilisateur.  

Enfin, les comptes les plus sensibles, comme les comptes administrateurs, doivent bénéficier d’un niveau de protection supplémentaire. Idéalement, l’authentification à plusieurs facteurs doit être mise en place, comme entrer un code reçu par SMS. Cela fournit un haut niveau de sécurité parce que récupérer le mot de passe du compte ne suffit pas à le compromettre. 

Mettre en place une politique de mots de passe 

Au niveau de votre entreprise, vous devez vous assurer que vos employés ne puissent pas utiliser des mots de passe faible. Cela implique d’imposer 12 caractères au minimum, qui mélangent des minuscules, majuscules, chiffres et caractères spéciaux. Une bonne pratique est aussi d’interdire les mots de passe les plus courants. 

Cela est essentiel pour éviter que les mots de passe puissent être trop facilement récupérés par des attaquants qui tenteraient de deviner un mot de passe en faisant de multiples essais à la suite. 

Découvrir et surveiller le Shadow IT 

Le Shadow IT désigne l’utilisation de services Cloud par vos employés sans que votre service informatique ne soit au courant. Ces comportements peuvent provoquer des fuites de données ou des failles de sécurité puisque vous ne vous êtes pas assurés de la qualité de l’application. C’est pour cela qu’il est important de sensibiliser vos employés sur le fait de n’utiliser que les applications validées par votre entreprise. 

Typiquement, il est important de contrôler que le personnel n’utilise pas des Cloud privés, comme Google Drive ou Dropbox pour sauvegarder des informations de l’entreprise, puisque vous n’avez pas de contrôles sur ce que le fournisseur fait de ces informations.  

Relations contractuelles 

Il est important que les responsabilités entre les fournisseurs de service et votre entreprise soient définies clairement dans des contrats. Notamment, ces contrats permettent d’établir un « Service Level Agreement » (SLA), qui définit la disponibilité et la qualité que le fournisseur de service s’engage à respecter. Cela oblige le fournisseur à rétablir au plus vite un service qui ne fonctionne plus. 

Sensibiliser les employé.es 

Enfin, il faut avoir conscience que dans la majorité des attaques, le facteur humain joue un rôle essentiel, souvent par mauvaise pratique des employés. Il est donc essentiel de rappeler régulièrement à votre personnel les risques qui existent. Parmi les messages important à faire passer, il faut mentionner : 

  • Les dangers du phishing, et comment le reconnaitre ; 
  • L’importance d’avoir un mot de passe robuste ; 
  • Ne pas utiliser de services qui n’ont pas été validés par l’entreprise ; 
  • L’importance d’alerter les autres employés et/ou le service IT en cas d’activité suspecte sur leur ordinateur. 

 

Précédent
Suivant