in

Etude : Forte augmentation des risques de sécurité pour les données d’entreprise stratégiques stockées dans le Cloud – Skyhigh Networks

Une étude menée par Skyhigh Networks auprès de 30 millions d’utilisateurs à travers le monde révèle des comportements à risque de la part des employés, une difficulté à détecter les menaces et une incapacité à appliquer les règles de gouvernance. 

Skyhigh Networks, principal éditeur de solutions CASB (Cloud Access Security Broker), publie l’édition du quatrième trimestre et le bilan 2016 de son rapport sur l’adoption du Cloud et les risques associés (Cloud Adoption and Risk Report), avec des données chiffrées sur les risques auxquels les entreprises sont exposées, notamment en matière de Shadow IT, les services informatiques autorisés et la vague actuelle de migration vers des applications Cloud personnalisées. Le rapport analyse les données relatives à l’utilisation du Cloud de plus de 30 millions d’employés à travers le monde dans les principaux secteurs d’activité.

L’étude met en évidence une progression des services Cloud dans le milieu professionnel par rapport à l’an dernier, avec pour conséquence des faiblesses concernant la sécurité du Cloud, les entreprises ne parvenant pas à faire face aux risques émergents de manière proactive. Par exemple, malgré le fait qu’une entreprise utilise en moyenne 1 427 services Cloud et télécharge quelque 18,5 To de données chaque mois vers des applications Cloud, moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises. Les entreprises peinent en particulier à sécuriser le comportement de leurs employés, à détecter avec précision les menaces et à maintenir les règles de gouvernance du Cloud.

Parmi les conclusions du rapport :

Sécuriser les nouveaux systèmes de fichiers

Maintenant qu’elles font autant confiance, sinon plus, aux fournisseurs de services Cloud professionnels qu’aux applications sur site pour leurs données, les entreprises doivent assurer la sécurisation de leurs systèmes Cloud dans des applications telles que Salesforce et ServiceNow. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques. Le Cloud facilite certes le partage des données, mais 9,3 % des fichiers partagés avec des tiers externes contiennent des données sensibles – 5 % des fichiers sont accessibles à n’importe qui via des liens – et 6,2 % sont partagés au moyen d’adresses e-mail personnelles ; ce qui montre que les entreprises n’ont pas adapté leurs règles de sécurité aux capacités de partage du Cloud.

Menaces internes et externes

Avec l’adoption généralisée des applications Cloud pour les activités métiers stratégiques, les équipes chargées de la sécurité des informations doivent non seulement détecter les menaces entrantes, mais aussi empêcher toute exfiltration de données. Une entreprise rencontre en moyenne 23,2 incidents de sécurité liés au Cloud par mois, plus de la moitié étant le fait d’actes de malveillance ou de négligence en interne. L’activité des employés dans le Cloud génère chaque mois 2,7 milliards d’événements, dont 2 542 jugés anormaux. Parmi eux, seuls 23,2 s’avèrent être des menaces, soit un ratio anomalies/menaces réelles de 110:1. Face à l’afflux de notifications erronées d’atteintes à la sécurité, les équipes de sécurité finissent par ignorer les alertes et passent ainsi à côté d’incidents, un phénomène illustré par le piratage subi par la société Target en 2013. 57,5 % des entreprises ont été victimes d’une menace impliquant un utilisateur privilégié, une catégorie d’incidents particulièrement dangereux compte tenu des droits d’accès étendus dont disposent les administrateurs d’applications. 

Le Shadow IT perdure

Seuls 8,1 % des services Cloud satisfont aux exigences de sécurité et de confidentialité des données établies par le programme CloudTrust de Skyhigh : moins d’un sur dix crypte les données au repos et un pourcentage équivalent s’engage à ne pas partager les données clients avec des tiers. Une majorité d’entreprises déclarent disposer de règles de gouvernance définissant l’usage acceptable des services Cloud. Malgré les efforts déployés par les entreprises pour appliquer ces règles, les données d’utilisation montrent qu’elles échouent bien souvent à faire barrage aux services à haut risque (elles tentent par exemple de bloquer le service de partage de fichiers à haut risque Mega 54 % du temps, mais n’y parviennent que dans 32,8 % des cas).

Le calme avant la tempête de l’IaaS

Alors que la première vague d’adoption du Cloud par les entreprises concernait les services SaaS, notamment les versions Cloud de logiciels existants tels qu’Office 365, une vague de migration au moins aussi importante est à prévoir lorsque les applications personnalisées migreront des datacenters d’entreprise vers le Cloud public. Ce n’est un secret pour personne, AWS (Amazon Web Services) est le principal fournisseur d’offres IaaS avec 35,8 % des parts de marché, mais Microsoft a considérablement réduit l’écart avec Azure et occupe actuellement 29,5 % du marché. Parallèlement, Google Cloud Platform et d’autres fournisseurs spécialisés représentent 34,7 % des nouveaux déploiements d’applications, sans compter des services PaaS tels que Force.com. Les entreprises devront adopter une approche indépendante des fournisseurs si elles veulent relever les prochains défis en matière de sécurité des services IaaS et PaaS.

Le rapport fournit également des informations essentielles pour comprendre le marché du Cloud d’entreprise : les applications d’entreprise les plus populaires, les applications grand public les plus plébiscitées, les services Cloud les plus prohibés, et la liste très attendue des services enregistrant la plus forte croissance, révélatrice des futurs innovateurs technologiques et leaders du marché.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.