Applications cloud déployées à l’insu du service IT: ou quand le partage de fichiers devient risqué – Joël Mollo, Directeur Europe du Sud Skyhigh Networks

Les applications logicielles mises à disposition via Internet, le plus souvent via le cloud computing, sont en train de transformer la façon dont les entreprises travaillent. Plusieurs études du cabinet VansonBourne ont montré que les entreprises qui profitent des avantages des services cloud pour améliorer leur productivité se développent 19,6 % plus rapidement que celles qui ne le font pas. C’est l’une des raisons qui attire chaque jour plus d’entreprises vers le cloud.

La disponibilité de plus de 16.000 applications cloud permet aux employés, aux groupes de travail et à des départements entiers de dialoguer directement avec leurs fournisseurs de services pour mettre en place lesapplications dont ils ont besoin en quelques heures, voire quelques minutes. Mais si le cloud computing permet de gagner en productivité, il comporte aussi des zones à risque, en particulier lorsque les applications sont déployéesà l’insu du service informatique. 

La récente « Etude sur l’adoption du Cloud et les risques associés » de Skyhigh Networks montre que les entreprises utilisent désormais en moyenne 1 154 services cloud – un nombre qui a plus que doublé en deux ans seulement. De nouveaux services cloud sont lancés chaque semaine, offrant des fonctionnalités et des capacités innovantes, qui incitent les employés à les essayer. Les entreprises n’ont jamais eu autant de choix en termes d’applications cloud bénéficiant de niveaux de sécurité élevés pour leurs données. Cependant, dans 27 % des cas, les salariés choisissent, dans le cadre professionnel, d’utiliser des services cloud grand public moins sécurisés.
Si auparavant le département informatique était le seul décisionnaire en termes de ressources IT pour l’entreprise, il est aujourd’hui davantage considéré comme un partenaire à consulter pour aider les départements métiers à évaluer et sélectionner les services cloud appropriés. L’une des principales préoccupations est donc la sécurité des données de l’entreprise, qui se retrouvent envoyées dans diverses applications cloud. Les départements métiers et l’équipe IT ont une responsabilité partagée dans la protection des données, grâce à des mesures qui répondent aux politiques de sécurité de l’entreprise.
 

Les comportements à risque

Parmi les types d’applications cloud les plus fréquemment utilisées figurent les services de travail collaboratif et de partage de fichiers. Beaucoup étaient à l’origine employées comme des solutions permettant de synchroniser des fichiers entre les terminaux, mais désormais, elles offrent souvent la possibilité de partager des fichiers avec des collègues et des partenaires et permettent également aux utilisateurs de modifier le même fichier en temps réel. L’entreprise télécharge en moyenne 5,6 téraoctets de données vers des services de partage de fichiers chaque mois. Sachant que 5,6 téraoctets représente environ 480 millions de pages de documents Microsoft Word chaque mois.

Ce n’est pas tant le volume des données partagées qui est préoccupant, mais plutôt la nature de ces données et la manière dont elles sont protégées. Environ 15 % des documents téléchargés sur des services de partage de fichiers basés sur le cloud contiennent des informations sensibles, telles que des données confidentielles sur l’entreprise, des informations d’identification personnelles, des données de paiement ou des informations de santé privées. Ces différentes données ont besoin de mesures de sécurité strictes pour être protégées en cas de vol, de corruption ou de perte.

Certains, mais pas tous, des services de cloud offrent intrinsèquement des fonctionnalités de protection des données, incluant le chiffrement, la tokenisation, et la prévention contre la perte de données. Il est de la responsabilité des départements concernés par ces services de mettre en place des mesures de sécurité des données en phase avec la politique de sécurité de l’entreprise.

Dans l’utilisation de services de partage de fichiers et de collaboration, l’autre préoccupation est de savoir « qui partage les fichiers avec qui ». Skyhigh Networks a constaté que 28% des documents partagés via un service dédié sont partagés avec des partenaires professionnels extérieurs. Sur ces fichiers partagés, 5% sont accessibles par toute personne ayant accès au lien. Ces liens sont facilement transmis et peuvent entrainer un risque, surtout si l’entreprise ne peut pas vérifier ou contrôler qui a accès au document. Sachant que 2,7 % de ces fichiers sont publiquement accessibles et indexés par Google.

Quand les hackers agissent comme des employés via des comptes compromis

Les voleurs de données savent très bien que les entreprises mettent des informations de plus en plus sensibles dans les applications cloud. Le piratage des identifiants des applications SaaS est un moyen pratique pour un attaquant externe d’accéder aux applications critiques de l’entreprise, en laissant croire qu’il est l’utilisateur légitime. Comment ces identifiants sont compromis ? En grande partie avec des attaques de phishing et des piratages de bases de données. L’étude menée par Skyhigh a montré que 92 % des entreprises ont des identifiants de services cloud ​​en vente sur le Darknet. 3 entreprises sur 4 ont au moins un compte compromis par mois.

En 2012, un service d’archivage de données dans le cloud célèbre a connu une faille de sécurité grâce à laquelle les comptes des utilisateurs étaient facilement accessibles. Les hackers ont utilisé des informations de comptes et des mots de passe volés à partir d’autres sites Web pour accéder aux comptes d’archivage. Le dommage aurait pu être limité si les utilisateurs n’avaient pas réutilisés leurs identifiants sur plusieurs sites, mais cela montre aussi que l’authentification multi-facteur (AMF) aurait pu être un bon moyen de contrer l’attaque. Celle-ci exige une seconde forme d’authentification, telle que la saisie d’un code envoyé par SMS, e-mail ou téléphone. L’utilisation de l’AMF est une bonne méthode pour toutes les applications, et particulièrement pour les applications cloud basées en dehors du périmètre d’un pare-feu d’entreprise.

Des responsabilités partagées

Si les applications cloud sont indispensables pour accompagner le développement de l’entreprise, l’adoption de ces services doit être une responsabilité partagée entre les départements métiers et l’IT. D’un côté, les départements métiers déposent leurs données dans le cloud, mais les équipes IT doivent aider à les sécuriser. De l’autre, l’IT peut aider les employés et les départements métiers à choisir les applications cloud professionnelles et vérifier que des contrôles adéquats sont en place pour assurer la conformité, la gouvernance et la sécurité des données. La sécurité des données ne devant jamais être un compromis dans l’utilisation d’applications basées dans le cloud.

Aucune entreprise ne souhaite être la prochaine victime d’une attaque, et tous les employés ont la responsabilité de protéger les données de leur entreprise, où qu’elles se trouvent.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?