Le livre blanc de la cybersécurité
Chapitre 10

Sécurité infonuagique

Google Drive, One Drive, Dropbox, AWS et les autres services de stockage en ligne sont appelés des services infonuagiques. Ils peuvent être très utiles au travail en équipe notamment si certain.e.s collègues travaillent à distance (voir le protocole Accès à distance).


Peut-on tout mettre sur le « cloud »?

Encore ici, la réponse varie en fonction des situations. Ce qu’il faut garder en tête, c’est qu’un service d’infonuagique, c’est comme stocker ses documents de travail sur l’ordinateur de quelqu’un.e d’autre. Cela peut avoir de nombreux avantages, notamment au niveau de la résilience (disponibilité) de l’information et au niveau du travail d’équipe. Sur d’autres aspects, il est avisé de faire preuve d’un peu de vigilance et de se poser quelques questions fondamentales avant d’y déposer des données sensibles. Votre fournisseur de service a-t-il été la cible de fuites de données récemment? Partage-t-il vos données à des fins commerciales? Quel niveau de chiffrement offre-t-il? Est-ce que cela correspond à vos besoins? 

Si ces services sont très utiles pour les tâches quotidiennes, il peut être avisé de les éviter pour stocker des données très secrètes ou confidentielles (voir le chapitre sur les données sensibles). Encore ici, il s’agit d’une question d’équilibre. Souvenez-vous que la première fonction de l’infonuagique est d’assurer la disponibilité des documents. Dans votre choix de stocker un document sur un service d’infonuagique, la notion de confidentialité sera nécessairement en tension avec la notion de disponibilité. La question à se poser est donc : avez-vous besoin que ce document soit davantage « disponible » ou « confidentiel »? 

Selon votre votre réponse, les actions à envisager seront différentes. Si votre service infonuagique utilise du chiffrement robuste (et que toutes les personnes de votre équipe maîtrisent les bonnes pratiques énoncées dans les chapitres précédents), vous pouvez l’utiliser pour héberger des documents confidentiels ou secrets. 

Si vous avez des doutes et que vous préférez utiliser votre disque dur, c’est aussi correct! Il sera alors important de s’assurer que celui-ci est chiffré ou, s’il reste dans les locaux de votre organisme, qu’il est sous clé. Encore ici, il faut analyser vos méthodes de sauvegarde et d’archivage et décider quelle méthode est la plus appropriée pour votre organisme.

Choisir son service d’infonuagique

Les services d’infonuagique sont bien différents les uns des autres, tant au niveau de leurs fonctionnalités qu’au niveau de leur sécurité. 

D’abord, on peut penser au critère de l’interopérabilité (s’assurer que le service fonctionne sur les systèmes d’opération utilisés par les membres de votre équipe) et des fonctions de travail synchrone ou asynchrone. Dans une perspective de cybersécurité, nous aimerions attirer votre attention sur le chiffrement de vos documents sur les serveurs infonuagiques. 

Notamment, les services qui utilisent le chiffrement de bout en bout (en anglais, end-to-end encryption) et les principes de zero knowledge sont généralement extrêmement sécuritaires. Vos données sont chiffrées avec des protocoles qui rendent leur contenu illisible, même pour la compagnie qui héberge vos documents. Le seul danger : la phrase de passe. Si vous l’oubliez, il n’y aura aucun moyen que la compagnie puisse récupérer ce que vous avez stocké sur ses serveurs. Si vous êtes un.e pro des phrases de passe, c’est une solution à envisager. 

Sinon, les services qui n’offrent pas de chiffrement de bout en bout peuvent tout de même être relativement sécuritaires. Vous devrez néanmoins tenir pour acquis qu’il y a une possibilité que la compagnie puisse avoir accès aux documents que vous y stockez. Vous devrez donc leur faire confiance. 

Des services populaires comme Google Drive et Dropbox n’utilisent pas le chiffrement de bout en bout. Cela comporte certaines lacunes en matière de confidentialité, mais leurs offres en matière d’espace, de fonctionnalité et de disponibilité amènent de nombreux.ses professionnel.le.s à tout de même utiliser leurs services. Si c’est votre cas, il importe d’être vigilant.e quant à :

Quelques précautions à garder en tête

Comme partout ailleurs, la première précaution à prendre avec votre service d’infonuagique sera de maîtriser les accès. Comme mentionné dans le chapitre sur la gestion des accès, il serait préférable que toute personne ayant un accès au service d’infonuagique utilise des phrases de passe pour sécuriser son accès. 

Il est également important de faire un inventaire et de déterminer quels documents (ou données sensibles) peuvent se retrouver sur ce service. Vous pouvez déterminer cela en balançant vos besoins en matière de confidentialité et de disponibilité. 

Finalement, un bon contrôle des accès implique également que vous mettiez en place votre protocole lié aux paramètres d’accès (lecture, commentaires, écriture).


Récapitulatif

  • Faire des recherches sur la sécurité de votre service infonuagique;
  • Paramétrer les configurations de sécurité pour qu’elles correspondent à vos besoins;
  • Réfléchir à l’utilisation et aux accès octroyés aux membres de votre équipe.

Lien utile

Les cyberprotocoles Tous les chapitres