Face à l’utilisation croissante des services Cloud grand public dans l’entreprise, les départements métiers et l’équipe IT ont une responsabilité partagée dans la protection des données. Joël Mollo, directeur Europe du Sud Skyhigh Networks, revient sur le phénomène avec des chiffres pour le moins inquiétants.
Les applications logicielles mises à disposition via Internet, le plus souvent via le Cloud computing, sont en train de transformer la façon dont les entreprises travaillent. Plusieurs études du cabinet Vanson Bourne ont montré que les entreprises qui profitent des avantages des services Cloud pour améliorer leur productivité se développent 19,6 % plus rapidement que celles qui ne le font pas. C’est l’une des raisons qui attire chaque jour plus d’entreprises vers le Cloud.
La disponibilité de plus de 16 000 applications Cloud permet aux employés, aux groupes de travail et à des départements entiers de dialoguer directement avec leurs fournisseurs de services pour mettre en place les applications dont ils ont besoin en quelques heures, voire quelques minutes. Mais si le Cloud computing permet de gagner en productivité, il comporte aussi des zones à risque, en particulier lorsque les applications sont déployées à l’insu du service informatique.
¼ des salariés utilisent des services Cloud grand public
La récente « Etude sur l’adoption du Cloud et les risques associés » de Skyhigh Networks montre que les entreprises utilisent désormais en moyenne 1 154 services Cloud – un nombre qui a plus que doublé en deux ans seulement. De nouveaux services Cloud sont lancés chaque semaine, offrant des fonctionnalités et des capacités innovantes, qui incitent les employés à les essayer. Les entreprises n’ont jamais eu autant de choix en termes d’applications Cloud bénéficiant de niveaux de sécurité élevés pour leurs données. Cependant, dans 27 % des cas, les salariés choisissent, dans le cadre professionnel, d’utiliser des services Cloud grand public moins sécurisés.
Si auparavant le département informatique était le seul décisionnaire en termes de ressources IT pour l’entreprise, il est aujourd’hui davantage considéré comme un partenaire à consulter pour aider les départements métiers à évaluer et sélectionner les services Cloud appropriés. L’une des principales préoccupations est donc la sécurité des données de l’entreprise, qui se retrouvent envoyées dans diverses applications Cloud. Les départements métiers et l’équipe IT ont une responsabilité partagée dans la protection des données, grâce à des mesures qui répondent aux politiques de sécurité de l’entreprise.
Les comportements à risque
Parmi les types d’applications Cloud les plus fréquemment utilisées figurent les services de travail collaboratif et de partage de fichiers. Beaucoup étaient à l’origine employées comme des solutions permettant de synchroniser des fichiers entre les terminaux, mais désormais, elles offrent souvent la possibilité de partager des fichiers avec des collègues et des partenaires et permettent également aux utilisateurs de modifier le même fichier en temps réel. L’entreprise télécharge en moyenne 5,6 téraoctets de données vers des services de partage de fichiers chaque mois. Sachant que 5,6 téraoctets représente environ 480 millions de pages de documents Microsoft Word chaque mois.
Ce n’est pas tant le volume des données partagées qui est préoccupant, mais plutôt la nature de ces données et la manière dont elles sont protégées. Environ 15 % des documents téléchargés sur des services de partage de fichiers basés sur le Cloud contiennent des informations sensibles, telles que des données confidentielles sur l’entreprise, des informations d’identification personnelles, des données de paiement ou des informations de santé privées. Ces différentes données ont besoin de mesures de sécurité strictes pour être protégées en cas de vol, de corruption ou de perte.
« L’entreprise télécharge en moyenne 5,6 téraoctets de données vers des services de partage de fichiers chaque mois. Sachant que 5,6 téraoctets représente environ 480 millions de pages de documents Microsoft Word chaque mois. Et 15 % des documents téléchargés sur des services de partage de fichiers basés sur le Cloud contiennent des informations sensibles. »
Certains, mais pas tous, des services de Cloud offrent intrinsèquement des fonctionnalités de protection des données, incluant le chiffrement, la tokenisation, et la prévention contre la perte de données. Il est de la responsabilité des départements concernés par ces services de mettre en place des mesures de sécurité des données en phase avec la politique de sécurité de l’entreprise.
Dans l’utilisation de services de partage de fichiers et de collaboration, l’autre préoccupation est de savoir « qui partage les fichiers avec qui ». Skyhigh Networks a constaté que 28 % des documents partagés via un service dédié sont partagés avec des partenaires professionnels extérieurs. Sur ces fichiers partagés, 5 % sont accessibles par toute personne ayant accès au lien. Ces liens sont facilement transmis et peuvent entrainer un risque, surtout si l’entreprise ne peut pas vérifier ou contrôler qui a accès au document. Sachant que 2,7 % de ces fichiers sont publiquement accessibles et indexés par Google.
Quand les hackers agissent comme des employés via des comptes compromis
Les voleurs de données savent très bien que les entreprises mettent des informations de plus en plus sensibles dans les applications Cloud. Le piratage des identifiants des applications SaaS est un moyen pratique pour un attaquant externe d’accéder aux applications critiques de l’entreprise, en laissant croire qu’il est l’utilisateur légitime. Comment ces identifiants sont compromis ? En grande partie avec des attaques de phishing et des piratages de bases de données. L’étude menée par Skyhigh a montré que 92 % des entreprises ont des identifiants de services Cloud en vente sur le Darknet. 3 entreprises sur 4 ont au moins un compte compromis par mois.
« L’étude menée par Skyhigh a montré que 92 % des entreprises ont des identifiants de services Cloud en vente sur le Darknet. 3 entreprises sur 4 ont au moins un compte compromis par mois. »
En 2012, un service d’archivage de données dans le Cloud célèbre a connu une faille de sécurité grâce à laquelle les comptes des utilisateurs étaient facilement accessibles. Les hackers ont utilisé des informations de comptes et des mots de passe volés à partir d’autres sites Web pour accéder aux comptes d’archivage. Le dommage aurait pu être limité si les utilisateurs n’avaient pas réutilisés leurs identifiants sur plusieurs sites, mais cela montre aussi que l’authentification multi-facteur (AMF) aurait pu être un bon moyen de contrer l’attaque. Celle-ci exige une seconde forme d’authentification, telle que la saisie d’un code envoyé par SMS, e-mail ou téléphone. L’utilisation de l’AMF est une bonne méthode pour toutes les applications, et particulièrement pour les applications Cloud basées en dehors du périmètre d’un pare-feu d’entreprise.
Des responsabilités partagées
Si les applications Cloud sont indispensables pour accompagner le développement de l’entreprise, l’adoption de ces services doit être une responsabilité partagée entre les départements métiers et l’IT. D’un côté, les départements métiers déposent leurs données dans le Cloud, mais les équipes IT doivent aider à les sécuriser. De l’autre, l’IT peut aider les employés et les départements métiers à choisir les applications Cloud professionnelles et vérifier que des contrôles adéquats sont en place pour assurer la conformité, la gouvernance et la sécurité des données. La sécurité des données ne devant jamais être un compromis dans l’utilisation d’applications basées dans le Cloud.
Aucune entreprise ne souhaite être la prochaine victime d’une attaque, et tous les employés ont la responsabilité de protéger les données de leur entreprise, où qu’elles se trouvent.
