Cinq façons sécuritaires d’utiliser vos applications en nuage

L’adoption du nuage par les entreprises semble se généraliser à en croire un récent sondage mené auprès de 930 professionnels des TI qui, à 93 %, affirment utiliser ou expérimenter certains services en nuage. Cependant, même si le nuage offre des possibilités d’économies, l’accès à une infrastructure extensible sur demande et un accès facile aux fichiers, 30 % des répondants de PME appartenaient en fait à des entreprises que l’on peut considérer comme ayant une faible maturité en ce qui a trait au nuage, c’est-à-dire qui en sont aux premiers stades de la planification de leurs premiers projets en nuage ou qui n’ont pas encore de plans officiels. Ces chiffres semblent indiquer une certaine hésitation à utiliser le nuage pour des fonctions névralgiques, surtout dans les petites entreprises.

Car la sécurité demeure une grande préoccupation pour de nombreuses entreprises. Quand on confie son information sensible à un tiers, il est tout à fait normal qu’on se soucie des mesures de sécurité mises en œuvre. La bonne nouvelle, c’est que la plupart des grands fournisseurs de services en nuage offrent une sécurité beaucoup plus robuste que ce que peuvent offrir la plupart des petites entreprises.

Il n’en demeure pas moins qu’il faut faire preuve de prudence lorsqu’on utilise le nuage. Voici cinq pratiques à adopter pour améliorer la sécurité de vos applications en nuage :

1. Utiliser des mots de passe forts

Cela peut paraître évident, mais la première mesure à prendre pour mieux sécuriser le nuage consiste à utiliser des mots de passe forts. Très forts. Voici ce qu’en dit Michael Nehall, expert en nuage chez Bell : « Les mots de passe sécurisés ne doivent pas contenir des combinaisons de chiffres de base ou des mots qui se trouvent dans les dictionnaires. Aujourd’hui, la plupart des ordinateurs et des téléphones intelligents ont la capacité de craquer les mots de passe simples en recourant à une attaque par force brute. »

Le Password Meter est un petit outil très utile pour évaluer la force de vos mots de passe. Le site recommande des mots de passe d’au moins huit caractères et contenant au moins trois des quatre éléments suivants :

• lettres majuscules
• lettres minuscules
• chiffres
• symboles

2. Utiliser un gestionnaire de mots de passe

En plus d’utiliser des mots de passe forts, vous devez les changer régulièrement et ne jamais utiliser le même pour plus d’une application.  Voici ce qu’en pense Michael : « De nombreux pirates possèdent des outils qui automatisent l’essai de votre mot de passe auprès de nombreux autres services en ligne. Ainsi, si vous utilisez le même mot de passe pour plusieurs services et sites Web en nuage, c’est l’ensemble de vos données qui est menacé. »

Le grand défi consiste à se souvenir de tous les mots de passe forts et complexes qu’on a créés. Heureusement, il existe plusieurs excellents outils, comme le service gratuit offert par l’entreprise montréalaise PasswordBox, récemment acquise par Intel, qui gère tout le processus pour vous. Il ne vous reste plus qu’à mémoriser votre mot de passe maître. Rappelez-vous qu’utiliser un gestionnaire de mots de passe pour créer des mots de passe suffisamment complexes est en fin de compte plus sécuritaire que de simplifier vos mots de passe afin de pouvoir vous en souvenir plus facilement.

3. Utiliser l’authentification en deux étapes lorsque cela est possible

L’authentification en deux étapes, également appelée vérification à deux facteurs, consiste à utiliser deux processus distincts et indépendants pour valider votre identité. Le premier processus, qui consiste à taper votre nom d’utilisateur et votre mot de passe (fort!), est celui que vous utilisez depuis longtemps. Le deuxième, lui, doit être totalement indépendant de votre processus d’ouverture de session et peut prendre différentes formes. Vous pourriez, par exemple, recevoir un courriel ou un message texte contenant un code unique généré au hasard que vous devez saisir, ou encore utiliser un code généré par une application ou un jeton de sécurité matériel. (J’utilise l’application gratuite Google Authenticator pour la vérification en deux étapes sur mes comptes Google, Dropbox et d’autres comptes en nuage.) À cet égard, Microsoft a récemment implanté une authentification multifactorielle native pour sa suite de productivité Office 365.

4. Utiliser le chiffrement

Beaucoup de services en nuage chiffrent automatiquement vos données pendant leur transfert entre votre appareil et leurs serveurs afin qu’on ne puisse pas les pirater pendant la transmission. Pour plus de sécurité, chiffrez vos données sensibles alors qu’elles sont encore dans votre appareil. Vous pouvez utiliser BitLocker si vous avez un système d’exploitation Windows ou FileVault si vous êtes un utilisateur Mac OS. Vos données seront encore mieux sécurisées dans le nuage et vos fichiers seront chiffrés sur votre propre système. Il sera ainsi beaucoup plus difficile à quiconque volerait votre appareil d’accéder à vos données.

5. Éviter d’utiliser les points d’accès publics

Les ordinateurs et les tablettes à accès public qu’on trouve dans les hôtels, les aéroports et les bibliothèques sont très pratiques, mais il est préférable de ne pas les utiliser pour accéder à vos comptes en nuage. Comme leur sécurité physique ne peut jamais être parfaitement assurée, ces appareils sont vulnérables aux outils utilisés par les cybercriminels, comme les enregistreurs de frappe qui peuvent enregistrer votre nom d’utilisateur et votre mot de passe à mesure que vous les tapez.

En toutes circonstances, soyez prudents avec tous les accès publics à Internet, y compris les réseaux Wi-Fi gratuits, car ils n’utilisent pas toujours des connexions sécurisées. Pour raccorder un ordinateur portatif de façon fiable et sécurisée lorsque vous êtes en déplacement, investissez dans une clé mobile comme la clé Novatel Wireless U679, qui offre une connexion haute vitesse 4G LTE. Michael recommande également ceci : « Si vous devez absolument accéder à un fichier sensible situé dans le nuage alors que vous êtes sur un réseau Wi-Fi public, utilisez toujours un logiciel RPV afin d’établir une connexion Internet privée et sécurisée. »

En conclusion

Le nuage, par son aspect pratique et potentiellement économique, et grâce aux robustes fonctions de sécurité offertes par la plupart des fournisseurs de services en nuage, constitue une option très attrayante pour les entreprises. Ne vous laissez cependant pas leurrer par cette facilité d’utilisation qui donne un faux sentiment de sécurité. Assurez-vous, vous et votre équipe, de suivre les meilleures pratiques afin de réduire les risques d’erreur humaine.

Que faites-vous pour améliorer la sécurité de vos services en nuage? Faites-nous part de votre approche dans la section des commentaires.