Près de 80 % des entreprises ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, révèle une étude récente d’Ermetic. Même s’il convient de relativiser la portée de ce genre d’étude menée par un éditeur dont la spécialité est la protection des données dans le cloud, elle confirme que les entreprises ne maitrisent pas assez bien cette problématique.
Microsoft corrobore l’étude d’Ermetic en indiquant que parmi ses comptes actifs, 44 millions d’utilisateurs emploient des identifiants ayant filtré par le passé.
Lorsqu’il s’agit de responsabilité dans le cloud, les fournisseurs de services comme Amazon ou Microsoft et les utilisateurs s’appuient sur le « modèle de responsabilité partagée » : les premiers s’occupent de la sécurité de l’infrastructure et les seconds de la configuration des outils et des ressources achetés.
Malheureusement, de nombreux utilisateurs n’ont pas les connaissances ou les compétences nécessaires pour gérer leur part de responsabilités… C’est la raison pour laquelle le cabinet d’analystes Gartner prévoit que 95 % des problèmes de sécurité dans les clouds seront imputables aux utilisateurs.
Si les entreprises commencent à cerner les différentes facettes du cloud (SaaS, IaaS et PaaS pour ne citer que les principales), elles sont très loin d’appliquer les regles de base en matière de cybersécurité.
Selon une récente étude de l’éditeur de sécurité McAfee, la majorité (91 %) ne chiffre pas les données inactives, ne prend pas en charge l’authentification à multiples facteurs, ne supprime pas les données immédiatement après la fermeture d’un compte…
Plus que jamais, il est urgent de renforcer la sécurité de ses données dans le cloud. Trois raisons peuvent être mises en avant :
1 – N’attendez plus !
La plupart des providers de services dans le cloud font un excellent travail en intégrant plusieurs niveaux de sécurité dans leurs plates-formes. Mais parallèlement, elles facilitent tellement le stockage de données et l’accès aux collaborateurs, qu’il est urgent de mettre en place une stricte politique des identités. La démocratisation du cloud implique l’instauration de règles sous peine de voir, tôt ou tard, des données sensibles piratées.
2 – Faites un inventaire
De nombreuses entreprises ne savent pas où se trouvent toutes leurs données dans leur périmètre originel (celui d’avant l’intégration du cloud). Et la situation devient kafkaïenne avec le cloud : de nombreux métiers utilisent eux-mêmes des applications dans le cloud sans en informer leur DSI ou responsable informatique. C’est le fameux Shadow IT, bête noire des experts en cybersécurité.
Une cartographie exhaustive est donc indispensable. Pour deux raisons majeures. Premièrement, on ne peut protéger que ce que l’on connait. Deuxièmement, on ne peut être en conformité avec le RGPD, en particulier, sans savoir exactement qui traite des données à caractère personnel.
3 – Colmatez les fuites internes
Dans son livre, Philippe Trouchaud, associé au sein du cabinet PwC estime que « 35 % des incidents sont générés par des collaborateurs internes », invitant à repenser la cybersécurité en se réappropriant l’humain.
La facilité d’accès aux données est un argument en faveur du cloud. Mais c’est aussi une arme à double tranchant. Pour éviter que le cloud ne se retourne contre vous, il est indispensable de prioriser les accès en fonction des métiers et des responsabilités.
Ces trois raisons poursuivent un seul but : prendre conscience que le cloud est une opportunité de croissance, mais qu’il doit être exploité avec méthode et vigilance.