Partner Login
Tenant Manager Background

La Sécurité des Données dans le Cloud

Écrit par Hornetsecurity / 19.03.2025 / ,
Home » Blog » La Sécurité des Données dans le Cloud

Cet article explore la sécurité des données d’entreprise dans le cloud, en se concentrant sur l’écosystème cloud de Microsoft et les défis liés à la sécurité, à la dépendance excessive aux fournisseurs et à la gestion de multiples environnements

Il met en avant l’importance des méthodes d’authentification multifacteur résistantes au phishing, telles que Windows Hello for Business, les clés matérielles FIDO2 et les Passkeys, pour lutter contre les attaques sophistiquées. 

L’article souligne également la nécessité pour les entreprises de mettre en place leurs propres stratégies de protection, conformément au modèle de responsabilité partagée de Microsoft. Enfin, il aborde les difficultés de gestion des multiples environnements Microsoft 365 et l’importance d’une gouvernance efficace pour assurer la protection des données. 

Le paysage de la sécurité du stockage en nuage évolue

Le Cloud existe depuis plus de dix ans maintenant, mais nous commençons tout juste à voir les entreprises migrer en masse vers les services Cloud ou s’établir en tant qu’entreprises entièrement hébergées dans le cloud. Prenons l’exemple du stockage des données d’entreprise.

Il y a dix ans, la plupart des entreprises possédaient encore un serveur de fichiers sur site hébergeant les données essentielles de l’entreprise. Aujourd’hui, il est de plus en plus courant d’exploiter le stockage cloud à cette fin. SharePoint Online et OneDrive for Business deviennent de plus en plus le lieu où les données sont conservées et sécurisées grâce à des services tels que Microsoft Entra. La sécurité des données dans le cloud devient donc un sujet de discussion important, non seulement pour le cloud M365, mais aussi pour les services cloud en général.

Bien que nous portions notre attention sur Microsoft 365 et l’écosystème cloud de Microsoft tout au long de notre Cybersecurity Report, une grande partie de ce qui est discuté ici s’applique également à d’autres fournisseurs de cloud. 

Cybersecurity Report 2025

Les défenses de base dans le cloud Microsoft se sont améliorées au fil des ans, mais elles sont encore loin d’être parfaites. De plus en plus d’entreprises utilisent les nouvelles fonctionnalités de sécurité, telles que l’authentification multifactorielle (MFA) et la sécurité de base des e-mails grâce à des services tels qu’Exchange Online Protection, mais cela reste souvent insuffisant. Les cybercriminels sont en constante évolution, comme en témoignent les attaques de type « Adversary-in-the-Middle ». 

Attaques de type Passkeys et Adversary in the Middle (AitM) 

Là où vont les défenseurs, les attaquants suivent. Depuis plusieurs années, nous chez Hornetsecurity, ainsi que toutes les personnes et entreprises soucieuses de la sécurité, avons préconisé l’utilisation de l’authentification multi facteur (MFA) comme une alternative plus sécurisée aux traditionnels noms d’utilisateur et mot de passe pour se connecter aux systèmes.

L’adoption de diverses formes de MFA a augmenté lentement mais sûrement, allant des messages SMS aux clés de sécurité matérielles. Cependant, les criminels ne vont certainement pas abandonner leur “business” lucratif et se sont plutôt adaptés. 

Leur approche principale a été d’utiliser des kits d’hameçonnage de type reverse-proxy, qu’ils soient open source ou des packages « commerciaux » qui aident à créer des e-mails d’hameçonnage convaincants pour tromper les utilisateurs afin qu’ils cliquent sur un lien, et mettent également en place des services proxy avec des pages de connexion d’apparence légitime.

Lorsqu’un utilisateur clique sur le lien et est dirigé vers une fausse page de connexion pour entrer son nom d’utilisateur et son mot de passe, ces informations d’identification sont alors transmises au site réel (et capturées par l’attaquant). Lorsque la demande MFA est ensuite activée, ces kits reverse-proxy permettent à l’utilisateur final d’entrer son code MFA ou d’approuver la demande comme d’habitude, et cela aussi est transmis à la véritable page de connexion en coulisses.

Pendant ce temps, l’attaquant vole l’identifiant généré par le service d’identité cible (comme Entra ID par exemple) et peut maintenant l’utiliser pour se connecter en tant qu’utilisateur, d’où le nom d’attaque Adversary in the Middle (AitM). 

Pour contrer ces attaques plus sophistiquées, il vous faut une méthode MFA résistante à l’hameçonnage. Ces méthodes sont plus récentes et ne sont pas encore très largement adoptées dans l’industrie. Parmi elles, on trouve Windows Hello for Business, les clés USB matérielles FIDO2 et, plus récemment, les Passkeys.

Ces méthodes MFA verrouillent l’authentification à l’URL du site légitime uniquement, donc même si l’utilisateur est trompé en visitant une page de connexion qui semble légitime, la technologie elle-même refuse de fonctionner parce qu’elle voit que l’adresse du site ne correspond pas. 

Le problème est que Windows Hello for Business nécessite du matériel spécialisé (et ne fonctionne que pour Windows), tandis que les clés matérielles FIDO2 sont coûteuses, ce qui a malheureusement apporté des limites à leur adoption.

Cela dit, une Passkey utilise les mêmes technologies qu’une clé FIDO2 mais repose sur la puce de sécurité de votre iPhone ou téléphone Android, éliminant ainsi le besoin de matériel supplémentaire. Ici encore, l’adoption a été lente, mais de plus en plus de services la prennent en charge, et si vous êtes responsable de la sécurité dans votre organisation, vous devriez certainement commencer à la piloter dès aujourd’hui.

Nous prévoyons que maintenant qu’Entra ID de Microsoft, Google Workspace, AWS ainsi que Facebook et bien d’autres prennent en charge les Passkeys, l’adoption augmentera considérablement au cours des 12 prochains mois.  

Les préoccupations concernant la dépendance aux fournisseurs s’intensifient en matière de sécurité des données dans le Cloud

La dépendance aux fournisseurs consiste à confier de nombreux processus et procédures commerciaux, voire presque tous, à un partenaire fournisseur. Le problème avec cet arrangement est que si le fournisseur rencontre des problèmes (liés à la sécurité ou autres), l’entreprise en pâtit. 

Nous avons longuement discuté du problème potentiel de la dépendance aux fournisseurs que certaines entreprises pourraient rencontrer avec Microsoft, notamment via nos rapports de menaces mensuels et notre podcast « The Security Swarm ». Il va sans dire que ce problème persiste et risque de s’aggraver à mesure que Microsoft continue à gagner des parts de marché dans différents domaines. 

Cela dit, de nouvelles préoccupations ont émergé au cours de l’année écoulée, mettant encore plus en lumière cette question. Dans la série continue de violations réussies chez Microsoft, un article intéressant est apparu en juin 2024. 

En résumé, Andrew Harris, qui travaillait chez Microsoft à l’époque, a identifié une faille sérieuse dans les services de fédération Active Directory (AD FS) et a tenté désespérément de la corriger. Ses craintes ont été minimisées et, alors que le gouvernement fédéral américain était sur le point de signer un accord de plusieurs milliards de dollars avec Microsoft pour ses services Cloud, le problème a été mis sous le tapis.

Après son départ de Microsoft en 2020, l’attaque SolarWinds, probablement la plus grande attaque de la chaîne d’approvisionnement jamais réalisée, a été révélée – et alors que l’attention se concentrait sur SolarWinds et son produit Orion compromis, les attaquants russes se sont répandus dans les réseaux en utilisant la faille ADFS après leur attaque initiale.

Bien sûr, cela s’est produit bien avant le rapport du Cyber Safety Review Board (CSRB), et bien avant que l’Initiative pour un Futur Sécurisé (SFI) de Microsoft ne commence sérieusement, mais le temps nous dira si le « nouveau » Microsoft mettra effectivement la sécurité au-dessus des nouvelles fonctionnalités, ce qui incarne le vrai défi pour chaque entreprise commerciale. 

Encore une fois, chaque organisation doit prendre sa propre décision en ce qui concerne la dépendance aux fournisseurs, mais si l’on prend en compte des années de préoccupations diverses en matière de sécurité à de multiples niveaux, et le fait de savoir où s’arrête la responsabilité de Microsoft en ce qui concerne vos données, le choix devient clair. 

De quoi Microsoft est-il responsable ? 

Nombreux sont ceux qui se demandent : « Si Microsoft ne s’occupe pas de mes données et de ma sécurité, de quoi est-elle vraiment responsable ? » La position actuelle de Microsoft sur cette question n’a pas changé en 2024. Pour bien comprendre, il faut connaître le modèle de responsabilité partagée de Microsoft. 

Le point important est que le modèle de responsabilité partagée stipule que « la responsabilité est toujours conservée par le client pour » : 

  • Informations et données 
  • Appareils (mobiles et PC) 
  • Comptes et identifiants 

En substance, le client est responsable de la sécurisation et de la protection de ses informations et de ses données. Microsoft ne l’est pas. À mesure que les entreprises adoptent la technologie cloud, elles sont de plus en plus confrontées à des problèmes de sécurité et d’intégrité. 

Un autre point qui mérite d’être mentionné est un élément que nous avons inclus dans ce rapport l’année dernière. De nombreux clients de M365 en sont encore surpris et il convient donc de le mentionner également dans ce rapport annuel. Microsoft a modifié en 2023 sa position de longue date sur l’utilisation d’applications de sauvegarde avec M365.

Lors d’une conférence Microsoft l’année dernière, Microsoft a annoncé Microsoft 365 Backup. Un service a été exposé dans le but de fournir des capacités de sauvegarde de base pour M365. L’élément important de cette annonce n’est pas le service en lui-même, mais le changement de la position de longue date de Microsoft, à savoir que « vous n’avez pas besoin de sauvegarder vos données dans M365 ».

De nombreux acteurs du secteur considèrent que ce changement est motivé par l’une des deux raisons suivantes : 

  • Microsoft a finalement capitulé et admet désormais que l’accent mis sur la conservation des données n’est PAS suffisant dans le cadre de M365.
  • Microsoft veut simplement s’approprier une part du marché de la sauvegarde M365, maintenant qu’il a constaté l’existence d’un vaste marché pour ce type de service. 

Les deux options semblent probables, l’option 2 étant renforcée par le fait que Microsoft a également publié une API de sauvegarde que les fournisseurs peuvent également utiliser, moyennant paiement. Quoi qu’il en soit, le message est plus clair que jamais. Les entreprises SONT responsables de la protection de toutes les données qu’elles placent dans les services Microsoft Cloud. 

Les difficultés posées par les multiples tenants dans le Cloud Microsoft

Alors que les principaux services cloud de Microsoft sont disponibles depuis une dizaine d’années ou plus, de nombreuses entreprises se retrouvent dans une situation où elles doivent gérer et maintenir plusieurs environnements Microsoft 365. Il peut s’agir d’une entreprise qui a procédé à plusieurs fusions et acquisitions, ou d’un fournisseur de services gérés (MSP) qui fournit des services informatiques à plusieurs clients.

Dans les deux cas, beaucoup de ces entreprises se rendent compte des difficultés liées à la gestion de plusieurs environnements M365. 

Lorsqu’on parle des ressources humaines nécessaires à cette charge de gestion accrue, il peut y avoir des répercussions directes sur la sécurité des données dans le cloud. En tant qu’entreprise, des normes pour les meilleures pratiques de sécurité et l’activation des fonctionnalités au sein des environnements M365 sous gestion ont probablement été définies.

De nombreux administrateurs trouvent qu’il est très difficile d’appliquer ces normes et de limiter les divergences de configuration ou les erreurs dans plusieurs tenants M365 disparates. Avec la nature des services cloud, une mauvaise configuration peut faire la différence entre une entreprise sécurisée et une grave violation de données. 

La gestion des environnements devient de plus en plus importante pour les entreprises qui cherchent à sécuriser leurs données M365. Bien que Microsoft fournisse un utilitaire appelé Lighthouse, il présente certaines limites et de nombreux MSP trouvent qu’il manque de fonctionnalités et d’échelle.

Certains éditeurs de logiciels ont conçu des solutions pour répondre à ce besoin de gestion pour les MSP, comme 365 Multi-Tenant Manager pour les MSPs d’Hornetsecurity.

Une gestion et une gouvernance adéquates deviennent d’une importance cruciale dans le monde d’aujourd’hui où l’informatique dématérialisée est reine, et les équipes dirigeantes doivent être conscientes des dangers que ces défis posent pour la sécurité des données dans l’informatique du Cloud.

Pourquoi choisir 365 Multi-Tenant Manager ? 

  • Un gain de temps considérable : l’automatisation permet de réduire considérablement les efforts manuels, ce qui se traduit par une économie annuelle de plus de 2800 heures, soit l’équivalent de 1,47 employé à temps plein. 
  • Une conformité améliorée : maintenez la conformité et la sécurité de tous les clients grâce à des analyses automatisées et à des mesures correctives en temps réel. 
  • Des solutions sur mesure : la possibilité de créer et de mettre en œuvre des politiques personnalisées permet de répondre de manière transparente aux besoins spécifiques de chaque client. 

Rejoignez l’avenir de la gestion des clients dès aujourd’hui. Demandez une démonstration dès aujourd’hui et découvrez comment 365 Multi-Tenant Manager for MSPs peut transformer vos opérations, vous faire gagner du temps et améliorer la sécurité de vos clients. 

365 Multi Tenant Manager icon

Les fonctionnalités clés de 365 Multi-Tenant Manager 

  • Une intégration sans effort : simplifiez l’ajout de nouveaux clients grâce à la découverte et à l’intégration automatique, en tirant parti de la connexion au Microsoft Partner Center. 
  • Une gouvernance complète : surveillez et gérez tous les clients Microsoft 365 sans effort grâce à un tableau de bord détaillé, des analyses de conformité récurrentes et des mesures correctives automatiques en cas de non-conformité. 
  • Une automatisation conviviale : utilisez des assistants qui guident les prestataires de services lors de l’intégration, de la configuration et de la surveillance, ce qui permet de gagner du temps et de réduire les erreurs. 
  • Une gestion standardisée : appliquez rapidement les meilleures pratiques de configuration M365 grâce à des modèles prêts à l’emploi ou personnalisez les politiques pour répondre aux besoins spécifiques de vos clients. 
  • Une efficacité accrue : gagnez du temps et des ressources en permettant à votre équipe de se concentrer sur la création, l’amélioration et la vente, plutôt que sur les tâches de configuration manuelle. 
Le Guide pour les MSP: Optimisez vos tâches et augmentez votre rentabilité

Dévoilez les secrets d’une croissance facile pour les MSP !

Prêt à surmonter les défis liés à la croissance de votre MSP ? Téléchargez notre MSP Playbook et découvrez des stratégies conçues pour simplifier l’intégration, automatiser les tâches, renforcer la sécurité et standardiser vos opérations. Ne laissez plus les processus manuels et les contraintes de conformité vous freiner—commencez à travailler plus intelligemment dès aujourd’hui !

Conclusion 

La sécurité des données dans le cloud reste un sujet majeur alors que les organisations continuent de migrer vers des services dans le cloud. Bien que les défenses de base de Microsoft Cloud se soient améliorées, elles ne sont pas infaillibles, surtout contre les menaces évolutives telles que les attaques de type « Adversary-in-the-Middle » (AitM). La mise en œuvre de méthodes MFA résistantes au phishing, telles que les Passkeys, est essentielle pour renforcer la sécurité. 

Cependant, à mesure que l’adoption de l’informatique dématérialisée augmente, le défi de la gestion de multiples clients s’accroît, surtout pour les organisations qui ont subi des fusions ou pour les fournisseurs de services gérés (MSP). Une gestion et une gouvernance adéquates de ces environnements sont essentielles pour éviter les erreurs de configuration qui pourraient entraîner des violations de données. 

365 Multi-Tenant Manager for MSPs de Hornetsecurity offre une solution efficace pour simplifier la gestion de plusieurs clients Microsoft 365, en garantissant la cohérence.  

Vous pourriez aussi être intéressé par