De nombreuses entreprises n’ont pas conscience que la sécurité de leurs données dans le Cloud leur incombe et ne sont pas de l’unique responsabilité du service cloud auquel elles font confiance. Les conseils de Bruno Labidoire, expert cybersécurité McAfee
Plus de doute, le Cloud est incontournable dans le monde de l’entreprise. Le numérique a dépassé les frontières du monde professionnel et s’est répandu bien au-delà des murs de l’entreprise. Popularisé dans les années 2000 avec l’avènement d’internet, le Cloud accompagne la révolution technologique qui a chamboulé les habitudes des sociétés notamment en matière de stockage et de privatisation des données.
A tel point qu’une entreprise utilise, de nos jours, en moyenne 1 935 services Cloud ! Qu’il s’agisse de services clés en main fournis par les professionnels de l’informatique (tels qu’Office 365) ou de services bien moins connus et plus risqués (comme Mega)(1), ils sont désormais omniprésents. Et pourtant, une entreprise pense n’en utiliser en moyenne qu’une trentaine…
Cette méconnaissance criante montre que les données d’entreprises sont sorties de leurs frontières sécurisées et sont sujettes à de nombreux comportements à risque tels que le shadow IT, le partage de liens sensibles, l’export de documents confidentiels et bien d’autres mauvaises pratiques qui, faute d’être connues et encadrées, ouvrent la porte à d’éventuels compromissions des données et de la performance de l’entreprise… On estime d’ailleurs qu’en 2022, plus de 95 % des incidents Cloud seront d’origine humaine(2), prouvant bien que le facteur humain reste le maillon faible de la chaîne de sécurité.
L’adoption rapide des services Cloud ne s’est pas arrêtée aux services SaaS tels que Office 365, Box ou Salesforce. Un service tel que Amazon Web Services (AWS) participe à la transformation de l’infrastructure des serveurs et des services Cloud, catégorisés en Infrastructure-as-a-Service (IaaS) et Platform-as-a-Service (PaaS). Ainsi, 65 % des entreprises dans le monde utilisent une certaine forme de IaaS, et 52 % utilisent du PaaS. Cependant, les services individuels que les clients peuvent utiliser sur les plateformes IaaS possèdent des paramètres de configuration de sécurité profonds et souvent complexes. Ainsi, l’entreprise rencontre en moyenne 2 200 incidents de mauvaise configuration IaaS par mois(3).
Avec la croissance colossale du Cloud, à quels risques se heurtent les entreprises d’aujourd’hui en termes d’hébergement et de stockage ?
De nombreuses entreprises n’ont pas conscience que la sécurité de leurs données dans le Cloud leur incombe et ne sont pas de l’unique responsabilité du service cloud auquel elles font confiance. La société cliente reste responsable de ses données dans le Cloud. Le Cloud n’a plus de frontière et la sécurité doit donc s’intégrer dès le choix du modèle. Pour faciliter cette intégration, il est fortement conseillé aux entreprises de se pencher sur des solutions de type Cloud Access Security Broker (CASB) qui leur offrent une sécurité avancée en termes de visibilité, de contrôle d’accès utilisateurs et de monitoring d’activités par exemple.
En outre, le Cloud est une extension des infrastructures existantes des entreprises. Il doit donc répondre aux mêmes objectifs et règles de sécurité que pour l’information ‘dans les murs’. La stratégie de sécurité déployée doit prendre en compte le fait que 92 % des entreprises voient certains de leurs identifiants Cloud dérobés et en vente sur le Dark Web. Et les vols de données peuvent coûter très chers aux entreprises avec un coût moyen de 3,5 millions d’euros en moyenne. Les attaques sans précédent qui ont marqué l’année 2017 n’en sont que quelques exemples. Et la France se classe en quatrième position du classement mondial en termes de volume de données subtilisées avec près de 25 000 données volées en moyenne.
C’est donc bien à l’échelle de toute l’entreprise que doit se régir la sécurité du Cloud. Il est urgent de prendre de bonnes habitudes, à la fois en termes de réglementations mais aussi de comportements des salariés. Ne pas partager des liens ouverts, ne pas partager ses mots de passe, accéder à ses données d’entreprise via des réseaux sécurisés sont autant de bonnes pratiques à mettre en place et surtout à adopter. En instaurant des modèles sûrs, et en incitant l’ensemble de leurs collaborateurs à ajuster leur conduite, les directeurs informatiques pourront ainsi presque dormir sur leurs deux oreilles.
Source : www.usinenouvelle.com