Selon la Direction Générale de la Sécurité Intérieure (DGSI), l’utilisation massive de services Cloud et d’hébergement pendant le confinement a augmenté les cyber risques dans les entreprises, surtout quand ceux-ci sont gratuits, mal paramétrés, et non hébergés en France. Elle conseille d’éviter de recourir à un prestataire IT extérieur non validé par l’Anssi.
En novembre 2020, la Direction Générale de la Sécurité Intérieure (DGSI) souligne dans son Flash Ingérence Economique n°69 – « risques liés à l’hébergement de données dans le cloud » – que l’utilisation plus régulière des services Cloud, gratuits et mal paramétrés notamment, a augmenté les cyber risques pendant le confinement. Ce service du ministère de l’intérieur communique plusieurs cas concrets, sans donner de noms toutefois, d’entreprises françaises où « la fuite d’informations, organisées par les entreprises malgré elles, a permis à des sociétés concurrentes de récupérer des données stratégique ».
Stocker les données en France n’est pas toujours une garantie suffisante
La DGSI donne un autre exemple pour illustrer le fait que passer par un prestataire Cloud français et un stockage des données en France n’est pas toujours une garantie suffisante. Elle observe également qu’une attaque informatique du type ransomware a profité de l’obsolescence de certains systèmes d’exploitation et logiciels d’un prestataire Cloud français pour chiffrer une partie des données qu’il hébergeait pour ses clients… « Dépendant d’un prestataire extérieur, une entreprise peut être momentanément déstabilisée par l’indisponibilité du service informatique et par des failles techniques l’empêchant d’accéder à ses données ».
La DGSI met en garde contre le choix du « mauvais » prestataire Cloud
La DGSI donne plusieurs conseils aux entreprises pour limiter les risques si elles recourent régulièrement au Cloud. L’organisation leur recommande tout d’abord de classer leurs données en fonction de leur niveau de sensibilité afin d’assurer une meilleure sécurisation de leurs informations, puis de chiffrer en interne celles à stocker, tout en évitant de recourir à un prestataire extérieur, y compris celui qui prend en charge leur stockage ensuite.
Et si l’entreprise désire malgré tout utiliser des services Cloud avec un prestataire IT extérieur, la DGSI l’invite à se rendre sur le site web de l’Anssi (Agence nationale de la sécurité des systèmes d’information) pour trouver la liste des prestataires informatiques français « qualifiés ». Ceux-ci pourront aussi réaliser pour elle un audit de sécurité et lui préparer un plan de continuité d’activité (PCA).
Attention aux usurpations d’identité
Par ailleurs, la DGSI invite les entreprises à limiter les droits d’accès des utilisateurs aux services Cloud pour éviter une usurpation d’identité, et surtout, à ne pas utiliser le compte administrateur pour réaliser des tâches quotidiennes. Et en aucun cas, elles ne doivent « avoir recours aux services d’hébergement des données et autoriser l’accès aux données hébergées à des fins publicitaires ». Des conseils déjà prodigués en bonne partie par l’Anssi, mais qu’il est nécessaire de répéter si l’on en juge par le nombre de cyber attaques majeures qui ont encore réussi cet automne.