Quels sont les scénarios de risque associés à la livraison de services informatiques dans un modèle cloud ?
D’après les conclusions du rapport Thales 2023 sur les menaces informatiques, les ransomwares et l’erreur humaine sont les principales causes de fuites de données provenant du cloud. Les professionnels de l’informatique et de la sécurité désignent les ressources numériques dans le cloud comme les cibles privilégiées des cyber attaquants. Les applications SaaS et les systèmes de stockage cloud sont les premières cibles citées dans le rapport, suivies de l’infrastructure cloud (IaaS). Les entreprises dépendent aujourd’hui de plus en plus des outils PaaS et SaaS : la conception traditionnelle des risques doit elle aussi évoluer.
Commençons par définir ce qu’est le cloud computing, avec une définition simple, mais utile : il s’agit de « toute méthode permettant de distribuer des services IT par Internet ». Avant d’analyser les scénarios de risques associés à la distribution des services IT cloud, vous devez commencer par définir les ressources numériques à protéger.
Qu’est-ce qu’une ressource numérique ?
En matière de risque de l’information, la méthode Open FAIR définit une ressource comme une donnée, un appareil ou tout autre composant soutenant les activités associées à l’information, auxquels on accède et que l’on peut utiliser, divulguer, modifier, détruire et/ou voler de façon illicite, entraînant par là même une perte. Les données stockées au format numérique appartiennent aussi à cette catégorie. Elles peuvent être structurées ou non : parmi les données non structurées, on retrouve les fichiers multimédia ou contenant beaucoup de texte, comme les supports marketing ou les communications internes. Les données structurées, elles, correspondent aux informations de facturation, aux bases de données, aux listes de produits et aux numéros de série généralement traités par les applications.
Les données non structurées sont des ressources vitales pour les entreprises de toute taille, qui utilisent des plateformes SaaS de partage de fichiers comme SharePoint ou Dropbox pour gérer leurs ressources numériques. Ces bibliothèques de documents renferment souvent des informations sensibles, comme des données de propriété intellectuelle (IP) ou des informations à caractère personnel. Et lorsque ces informations sensibles ne sont pas sécurisées, elles peuvent être compromises.
Ces dernières années, le télétravail s’est démocratisé et les collaborateurs utilisent souvent plusieurs appareils pour se connecter, accéder aux fichiers et communiquer avec leurs collègues et les partenaires extérieurs. Le partage de documents ou l’envoi de liens par e-mail sont des pratiques courantes, tout comme l’utilisation de plusieurs appareils pour accéder aux données de l’entreprise sur des plateformes de type SharePoint. Sur ces plateformes transitent d’importants volumes de données de propriété intellectuelle ou à caractère personnel. Quel rôle jouent ces ressources numériques dans le contexte des opérations, des investissements et des décisions métier de votre organisation ?
Parmi les autres types de ressources numériques, on compte les applications (et leurs composants), qui sont utilisées pour générer directement des revenus, indirectement pour permettre aux collaborateurs de faire leur travail, ou encore dans un environnement de production à fabriquer le produit.
Esquisser un univers des risques
Nous avons parlé des ressources numériques en fournissant quelques exemples ; voyons maintenant comment définir un scénario de risque à partir de vos ressources. Ces scénarios serviront à mesurer et à communiquer le risque. La méthodologie Open FAIR définit le « risque » comme « la fréquence probable et la magnitude probable des pertes futures ». Elle s’appuie sur une vue d’ensemble des ressources numériques incluses dans le périmètre pour esquisser un univers des scénarios de risque probables.
Les questions suivantes vous aideront à appréhender l’univers des risques pour vos services cloud :
Votre entreprise exprime-t-elle des inquiétudes vis-à-vis de vos services de cloud computing existants ? Ou votre entreprise se prépare-t-elle à migrer des services vers le cloud pour la première fois ?
Parmi vos ressources numériques, quelles sont celles qui se trouvent déjà dans le cloud ? Quelles ressources numériques envisagez-vous de migrer vers le cloud ou de construire à l’aide de services cloud ?
Exemples de ressources cloud prises en compte :
- Données de propriété intellectuelle non structurées stockées sur un site SharePoint.
- Données de propriété intellectuelle non structurées stockées sur un SaaS de partage de fichiers géré par l’entreprise.
- Données à caractère personnel structurées hébergées sur une plateforme marketing.
- Plateforme de commerce en ligne exposée directement à Internet.
- Données à caractère personnel sensibles concernant les employés, stockées sur une plateforme SaaS de RH.
- Composants d’infrastructure clé d’un data center virtuel Azure ou AWS.
- Référentiel de documents contenant des données sensibles sur l’entreprise, que le conseil d’administration utilise pour échanger des informations.
- API externes
Maintenant que nous avons dressé la liste des ressources incluses dans le périmètre, nous pouvons définir les acteurs malveillants et l’impact (ou la perte) probable. En parallèle, il convient de réfléchir aux vecteurs d’attaque et aux contrôles déjà en place. Une fois tous ces éléments définis, nous pourrons délimiter l’univers des risques afin de mesurer et de communiquer sur la gestion de ces ressources numériques dans le cloud. Une façon simple de comprendre un scénario de risque est l’équation suivante :
Scénario de risque = une ressource dans le périmètre + une menace + un impact (ou perte)
Voici quelques exemples de scénarios de risque concernant ces ressources :
- Risque qu’un acteur malveillant extérieur accède aux données à caractère personnel des collaborateurs à partir de la plateforme SaaS RH en utilisant des identifiants volés dotés d’un accès privilégié.
- Risque qu’un acteur malveillant extérieur accède à des données non structurées confidentielles renfermant des actifs de propriété intellectuelle, provenant d’un SaaS de partage de fichiers géré par l’entreprise, en exploitant une API exposée à Internet mal configurée.
- Risque qu’un acteur interne privilégié divulgue des données à caractère personnel depuis une plateforme marketing en commettant une erreur de configuration d’une campagne.
Une fois les scénarios définis, vous pouvez prendre la bonne décision en vous appuyant sur les résultats mesurables de l’analyse de risque.
Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber.
Construisez un programme de cybersécurité résilient et basé sur le risque avec la quantification du risque cyber (CRQ)
L’analyse quantifiée des risques liés au cloud soutient les décisions de l’entreprise
Le point de départ ou la première décision à prendre consiste souvent à sensibiliser un groupe de partenaires aux scénarios de risque à haut niveau en utilisant des méthodes qualitatives. On présente généralement les résultats sous forme de carte de chaleur ou à l’aide d’une échelle ordinale, en classant les variables dans des catégories allant de « faible » à « élevé ». Ces méthodes ont toute leur place dans la gestion du risque. Néanmoins, si vous disposez également de données quantitatives de type financières pour les pertes ou d’une estimation du rapport coût/bénéfice associé aux mêmes scénarios de risque, vos données seront plus faciles à défendre.
Avec des données quantitatives, vous pouvez :
- Classer et prioriser les scénarios de risque afin de mieux les atténuer.
- Analyser le rapport coût/bénéfice de la migration vers un système de distribution cloud
- Présenter les améliorations que vous envisagez d’apporter à vos contrôles des services cloud, en tenant compte du retour sur investissement (ROI)
Gestion des risques liés au cloud en termes financiers
Dans un environnement particulièrement concurrentiel, l’adoption des services cloud est souvent gage d’une plus grande agilité et d’une accélération de la mise sur le marché. Cependant, on a souvent du mal à savoir si le passage au cloud augmente ou réduit l’exposition au cyber risque.
Avec l’approche CRQ, les équipes décisionnaires peuvent mesurer l’impact du passage au cloud en termes financiers, en tenant compte à la fois des bénéfices potentiels et des risques.
Autres cas pratiques possibles : analyser un contrôle spécifique récemment mis en place afin de déterminer s’il permet effectivement de réduire ou de contenir un scénario de risque donné. Le conseil d’administration souhaite peut-être savoir si une police de cyber assurance permet de réduire l’exposition au risque d’un scénario cloud. Le PDG et le directeur financier se demandent peut-être si l’adoption d’une nouvelle politique visant à réduire l’utilisation d’un SaaS de partage de fichiers est une bonne décision pour l’entreprise. Dans ce cas, la CRQ permet d’évaluer le coût d’une fuite de données.
Contactez-nous pour évaluer comment la CRQ peut aider votre organisation.
FAQ
Comment définit-on un scénario de risque lié au cloud ?
Définissez les ressources à intégrer dans le périmètre. Décrivez ensuite une menace pesant sur cette ressource. Enfin, évaluez l’impact ou la perte qui résulterait de la concrétisation de cette menace.
Qu’est-ce qu’une ressource numérique ?
Par « ressource numérique », on entend toutes les données structurées ou non qui sont stockées au format numérique. Par exemple, les fichiers Word, les fichiers de bases de données, les fichiers multimédia, etc.
Quels sont les avantages des méthodes CRQ pour gérer les risques liés au cloud ?
Les méthodes de quantification des risques cyber (CRQ) analysent plusieurs facteurs mesurables et s’appuient sur des statistiques et des probabilités pour évaluer le risque en termes quantitatifs (financiers), de sorte à permettre aux décisionnaires de comprendre l’impact financier des événements liés aux risques du cloud.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.