Découvrez les risques de protection des données dans le stockage en nuage 2021

Découvrez les risques de protection des données dans le stockage en nuage 2021

Dans une ère numérique où le stockage en nuage est utilisé massivement, cela comporte de nombreux risques pour la protection des données.

Le stockage en nuage – une opportunité exceptionnelle à l’ère du Big Data, ou un risque majeur en matière de protection des données ?

Les solutions de stockage de quantités massives de données sont une nécessité absolue en cette ère moderne – c’est un type de mécanisme dont une entreprise ne peut tout simplement pas se passer. D’autre part, l’importance de la protection des données fait l’objet d’un soutien et d’une prise de conscience de plus en plus importants de la part des industries du monde entier – à juste titre. Les deux peuvent-ils aller de pair – ou se contredisent-ils ?

Il ne fait aucun doute que les informations juridiques sont l’un des types d’informations les plus confidentielles et les plus sensibles qui soient. Leur divulgation peut avoir des conséquences néfastes – outre l’atteinte massive à la réputation de l’entreprise, elle comporte des implications et des risques juridiques graves, entre autres :

  • Violation des restrictions de confidentialité imposées par la loi aux bases de données en général, et aux informations juridiques en particulier.
  • L’accès non autorisé à ces informations peut donner lieu à une action en responsabilité civile pour l’objet de l’information.

Bien que les cabinets d’avocats soient ceux qui guident leurs clients à travers une réglementation lourde concernant la conformité des politiques de confidentialité, il semble que leurs propres processus de protection des données ne reçoivent pas une considération appropriée, dans leur propre travail en cours.

La cyberattaque avec demande de rançon contre le cabinet d’avocats Grubman Shire Meiselas & Sacks

Ces derniers temps, des événements assez troublants se sont produits dans le monde, qui soulignent l’importance de la protection des données. L’une d’entre elles est la cyberattaque contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, au cours de laquelle des pirates ont utilisé un ransomware (un type de logiciel malveillant) pour conserver jusqu’à 756 Go d’informations juridiques sensibles concernant des célébrités de premier plan, demandant une rançon de plus de 40 millions de dollars américains pour ne pas divulguer ces informations.

Ce type de logiciel malveillant est généralement utilisé sur des informations stockées sur un réseau privé, et la demande de rançon se fait généralement via Bitcoin, en échange des clés de chiffrement.

Le stockage des données sur le cloud est-il la solution adéquate pour les informations juridiques en termes de protection des données ?

Les avantages du stockage des données sur le nuage sont clairs :

  • Les informations sont accessibles depuis n’importe quel ordinateur disposant d’une autorisation – partout.
  • Pas besoin d’une énorme salle de serveurs
  • Création d’une capacité à gérer une énorme quantité d’informations, à les analyser et à en tirer des conclusions fascinantes.
  • En général, les plus grandes sociétés de services en nuage sont extrêmement expérimentées et professionnelles, car elles font leur travail à la plus grande échelle sur le marché, ce qui rend ce type de stockage de données moins cher à long terme.

Mais couvre-t-il vraiment et fournit-il une solution holistique aux risques de protection des données mentionnés ci-dessus ?

La réponse à la question de savoir si l’utilisation du cloud computing atténue ou aggrave les problèmes de protection des données est assez simple : cela dépend de l’exécution.

Cela peut être démontré à l’aide d’une étude de cas : Au cours de l’été 2019, un ancien ingénieur AWS (Amazon Web Services) a été arrêté pour avoir violé une quantité massive de comptes Capital One Bank. En raison d’une mauvaise configuration du pare-feu du cloud, une quantité massive de données sensibles a été accessible, notamment des demandes de crédit, des numéros de sécurité sociale et des numéros de comptes bancaires.

De nombreuses failles de sécurité sont dues à de mauvaises configurations.

De nombreuses failles de sécurité sont dues à de mauvaises configurations. Afin de sécuriser les informations dans un environnement en nuage, il est nécessaire de mettre en place un système d’autorisations permettant à certains utilisateurs d’effectuer certaines tâches.

Dans certains cas, ces autorisations sont accordées par un service externe, tel qu’un système de pare-feu, qui est censé filtrer et refuser l’accès aux demandes ne disposant pas d’une autorisation suffisante, et protéger les informations stockées. Une fois que ces autorisations ont été utilisées à mauvais escient, un accès libre au seau AWS a été accordé.

Dans le passé, le processus de configuration des pare-feu était plus complexe, et incluait l’utilisation d’un mécanisme compliqué – CLI (Command Line Interface – affichage de texte uniquement). Ce type de système décourageait de nombreux utilisateurs (surtout les inexpérimentés), si bien que de nombreux pare-feu ont décidé de transférer le processus vers un mode d’affichage des données plus graphique (GUI – Graphical User Interface), le rendant ainsi beaucoup plus convivial.

Le problème est que plus l’utilisation est facile, plus les personnes non professionnelles se sentent à l’aise pour l’utiliser, ce qui cause des dommages importants au mécanisme d’autorisation, donnant accès à des personnes non pertinentes, un accès qui n’est clairement pas lié à leur travail.

Comme la technologie semble accessible et relativement simple à utiliser, les gens pensent qu’elle est moins complexe et dénigrent le processus en termes de professionnalisme, de temps et d’efforts. Or, ce n’est pas le cas. Il faut être très compétent et attentif lorsqu’on utilise des pare-feu, des mécanismes d’autorisation et le cloud.

L’environnement en nuage est un système extrêmement solide et fiable.

L’environnement en nuage est un système extrêmement solide et fiable une fois qu’il est configuré et défini correctement. Il faut décider exactement ce que chaque membre est autorisé à faire et à quelles informations il est qualifié pour être exposé.

Par défaut, l’accès doit être refusé à tout le monde (« politique de refus par défaut »), puis l’accès pertinent pour chaque individu doit être autorisé progressivement. Cela réduit la possibilité que des personnes soient exposées à des informations dont elles n’ont tout simplement pas besoin pour faire leur travail, et d’autres autorisations seront bloquées pour elles.

Par exemple, dans les grands cabinets d’avocats, les données interservices ne devraient pas circuler sans raison valable. Les exceptions doivent être traitées de manière spécifique. En outre, il est important que les spécialistes de la protection des données, qui travaillent en étroite collaboration avec le cabinet, surveillent les erreurs et envisagent les cas limites. Cela semble compliqué et peut-être inefficace, mais ce type de comportement permet d’éviter bien des désordres par la suite, comme illustré ci-dessus.

Commentaires de l'article