Accueil Cloud computing Failles de sécurité : les applis Cloud montrées du doigt

Failles de sécurité : les applis Cloud montrées du doigt

Le nombre d’applications Cloud utilisés par les entreprises augmentent (stockage, réseaux sociaux, CRM, Webmail…), alors même que la très grande majorité d’entre elles n’offrent pas la protection nécessaire des données. Les failles de sécurité concernent en priorité les données de santé, pointe une étude.

Selon l’étude Autumn 2015 Netskope Cloud Report, le nombre moyen d’applis Cloud utilisées par entreprise a augmenté de 26 % pour atteindre le nombre total de 608 au lieu de 483 lors du rapport précédent (Summer 2015 Netskope Cloud Report). La technologie et les services informatiques affichent de loin le plus grand nombre d’applications de Cloud utilisées, avec en moyenne 1 157 applications par entreprise. Le secteur de la santé et des sciences de la vie se positionne au deuxième rang, avec 1 017 applications pour le Cloud.

Les applications Cloud les plus utilisées par les entreprises
Les applications Cloud les plus utilisées par les entreprises

Au-delà du nombre d’applications Cloud utilisées, l’étude montre que quasiment 90 % (89,8 %) de ces applications ne sont pas adaptées aux environnements d’entreprise, faute de fonctionnalités-clés telles que la sécurité, l’audit et la certification, la gestion des accords de niveau de service (SLA), les aspects juridiques, la confidentialité, la viabilité financière et la lutte contre les vulnérabilités.

Haut niveau de risque pour les informations médicales confidentielles

Le secteur de la santé et des sciences de la vie totalise 76,2 % des failles concernant les règles de prévention des pertes de données sur le Cloud, et ce pour des milliards d’instances d’applications suivies. Ce sont les informations médicales protégées (Protected Health Information — PHI) qui sont principalement ciblées, atteignant le chiffre alarmant de 68,5 % des failles dont sont victimes les applications Cloud dans le domaine de la santé ou des sciences de la vie. Ces données médicales confidentielles incluent des informations sensibles associées à une personne : état de santé, prestations de santé ou règlement de soins. Les informations personnellement identifiables (Personally-Identifable Information — PII) représentent pour leur part 13,7 % des failles. Le segment des technologies et des services IT arrive en deuxième position avec 14,2 % du total des failles.

Prévention des pertes de données (DLP) 

Lors de l’étude de données agrégées et anonymisées dans la plate-forme Netskope Active Platform, Netskope a identifié des failles DLP concernant les contenus confidentiels « au repos » dans des applis de Cloud « validées » et échangées avec un large éventail d’applications Cloud « validées » et « non validées ». Dans l’ensemble, 9,4 % des fichiers scrutés dans les applications Cloud validées ont déclenché une faille des règles DLP, contre 17,9 % selon l’étude publiée cet été. Cette forte baisse montre que les entreprises sont de plus en plus proactives en matière de détection et de protection des données sensibles sur le cloud grâce à la combinaison d’outils d’e-discovery, de chiffrement et de mise en quarantaine des workflows. Le tableau ci-dessous indique la répartition des failles DLP concernant les contenus « au repos » dans des applications de Cloud validées, ainsi que le pourcentage par secteur industriel.

Secteur industriel       Pourcentage du total de fichiers victimes d’une faille DLP

 

Santé et sciences de la vie 21,1 %
Technologie et services informatiques 14,2 %
Services financiers, bancaires et assurances 5,7 %
Grande distribution, restauration et hôtellerie 2,5 %
Fabrication 1,7 %

 

 

Principales failles de règles DLP dans la plate-forme Netskope Active Plaform

Si l’on creuse de façon plus profonde dans les différents types de failles, les données médicales protégées (PHI) constituent le gros des failles de règles DLP dans des applications Cloud associées à la plate-forme Netskope, à savoir 68,5 %. La loi américaine sur les soins de santé HIPAA (Health Insurance Portability and Accountability Act) répertorie 18 catégories de données sensibles en tant que données médicales protégées (PHI), parmi lesquelles les informations détaillées relatives à l’assurance maladie et aux informations de contact personnelles. Comme indiqué ci-dessus, les entreprises des secteurs de la santé et des sciences de la vie (qui totalisent 27,6 % de la base d’utilisateurs dans la plate-forme Netskope Active Plaform) représentent la grande majorité du nombre total de failles de règles DLP. La grande distribution, la restauration et l’hôtellerie (6,5 % des utilisateurs Netskope) atteignent 6,7 % de l’ensemble des failles.

 

Type de faille des règles DLP                       Pourcentage du total des failles DLP
  1. Informations médicales protégées (PHI)                                          68,5 %
  2. Informations personnellement identifiables (PII)                              13,7 %
  3. Informations au standard PCI (Payment Card Industry)                    7,5 %
  4. Confidentiel, Top Secret ou une autre expression ordinaire          5,9 %
  5. Code source    4,4 %

 

Le rapport Netskope Cloud a été réalisé à partir de données anonymisées et agrégées provenant de la Netskope Active Platform, entre le 1er juin et le 31 août 2015.

 

 

Juliette Paoli