Hausse des risques de sécurité pour les données d’entreprise stockées dans le Cloud

0

Détecter les menaces est de plus en plus difficile pour les entreprises à cause de l’augmentation de vecteurs et d’attaques sur la Toile. Les entreprises font face chaque jour à un certain nombre de défis qui se multiplient. La sophistication des attaques a provoqué que les incidents ne menacent pas seulement les données primaires, mais aussi les sauvegardes des entreprises. Une étude menée par Skyhigh Networks auprès de 30 millions d’utilisateurs à travers le monde révèle précisement des comportements à risque de la part des employés, une difficulté à détecter les menaces et une incapacité à appliquer les règles de gouvernance.

La plupart des entreprises utilisent des applications d’affaires clés dans le nuage, mais ne sont pas prêtes, ni protégées contre la suppression ou la corruption de données. C’est pour cela que Skyhigh Networks a publié l’édition du quatrième trimestre et le bilan 2016 de son rapport sur l’adoption du Cloud et les risques associés (Cloud Adoption and Risk Report), avec des données chiffrées sur les risques auxquels les entreprises sont exposées, notamment en matière de Shadow IT, les services informatiques autorisés et la vague actuelle de migration vers des applications Cloud personnalisées.

Et 70% des entreprises interrogées ne savent pas si elles seraient en mesure de récupérer leurs systèmes ou de recevoir des données en cas de cyber-attaque ou perte de données. Donc, les risques informatiques peuvent avoir des conséquences désastreuses pour toute entreprise qui ne les a pas anticipées. Le coût moyen de la perte de données est estimée à environ 914,000 dolars.

Le rapport analyse les données relatives à l’utilisation du Cloud de plus de 30 millions d’employés à travers le monde dans les principaux secteurs d’activité et met en évidence une progression des services Cloud dans le milieu professionnel par rapport à l’an dernier. L’adoption du Cloud a pour conséquence des faiblesses concernant la sécurité du Cloud, les entreprises ne parvenant pas à faire face aux risques émergents de manière proactive.

moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité

L’étude montre qu’une entreprise utilise en moyenne 1 427 services Cloud et télécharge quelque 18,5 To de données chaque mois vers des applications Cloud, mais, malgré cette realité, moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises.

Nous sommes particulièrement enthousiastes face aux promesses que nous dévoile le futur mais nous devons être encore plus enthousiastes à protéger ce monde à venir car les attaques sont de plus en plus sophistiqués. Les entreprises peinent en particulier à sécuriser le comportement de leurs employés, à détecter avec précision les menaces et à maintenir les règles de gouvernance du Cloud.

Parmi les conclusions du rapport :

  • Sécuriser les nouveaux systèmes de fichiers

Maintenant qu’elles font autant confiance, sinon plus, aux fournisseurs de services Cloud professionnels qu’aux applications sur site pour leurs données, les entreprises doivent assurer la sécurisation de leurs systèmes Cloud dans des applications telles que Salesforce et ServiceNow. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques.

Le Cloud facilite certes le partage des données, mais 9,3 % des fichiers partagés avec des tiers externes contiennent des données sensibles – 5 % des fichiers sont accessibles à n’importe qui via des liens – et 6,2 % sont partagés au moyen d’adresses e-mail personnelles ; ce qui montre que les entreprises n’ont pas adapté leurs règles de sécurité aux capacités de partage du Cloud.

  • Menaces internes et externes

Avec l’adoption généralisée des applications Cloud pour les activités métiers stratégiques, les équipes chargées de la sécurité des informations doivent non seulement détecter les menaces entrantes, mais aussi empêcher toute exfiltration de données. Une entreprise rencontre en moyenne 23,2 incidents de sécurité liés au Cloud par mois, plus de la moitié étant le fait d’actes de malveillance ou de négligence en interne. L’activité des employés dans le Cloud génère chaque mois 2,7 milliards d’événements, dont 2 542 jugés anormaux.

Parmi eux, seuls 23,2 s’avèrent être des menaces, soit un ratio anomalies/menaces réelles de 110:1. Face à l’afflux de notifications erronées d’atteintes à la sécurité, les équipes de sécurité finissent par ignorer les alertes et passent ainsi à côté d’incidents, un phénomène illustré par le piratage subi par la société Target en 2013. 57,5 % des entreprises ont été victimes d’une menace impliquant un utilisateur privilégié, une catégorie d’incidents particulièrement dangereux compte tenu des droits d’accès étendus dont disposent les administrateurs d’applications.

  • Le Shadow IT perdure

Seuls 8,1 % des services Cloud satisfont aux exigences de sécurité et de confidentialité des données établies par le programme CloudTrust de Skyhigh : moins d’un sur dix crypte les données au repos et un pourcentage équivalent s’engage à ne pas partager les données clients avec des tiers. Une majorité d’entreprises déclarent disposer de règles de gouvernance définissant l’usage acceptable des services Cloud. Malgré les efforts déployés par les entreprises pour appliquer ces règles, les données d’utilisation montrent qu’elles échouent bien souvent à faire barrage aux services à haut risque (elles tentent par exemple de bloquer le service de partage de fichiers à haut risque Mega 54 % du temps, mais n’y parviennent que dans 32,8 % des cas).

  • Le calme avant la tempête de l’IaaS

Alors que la première vague d’adoption du Cloud par les entreprises concernait les services SaaS, notamment les versions Cloud de logiciels existants tels qu’Office 365, une vague de migration au moins aussi importante est à prévoir lorsque les applications personnalisées migreront des datacenters d’entreprise vers le Cloud public. Ce n’est un secret pour personne, AWS (Amazon Web Services) est le principal fournisseur d’offres IaaS avec 35,8 % des parts de marché, mais Microsoft a considérablement réduit l’écart avec Azure et occupe actuellement 29,5 % du marché.

Parallèlement, Google Cloud Platform et d’autres fournisseurs spécialisés représentent 34,7 % des nouveaux déploiements d’applications, sans compter des services PaaS tels que Force.com. Les entreprises devront adopter une approche indépendante des fournisseurs si elles veulent relever les prochains défis en matière de sécurité des services IaaS et PaaS.

Le rapport fournit également des informations essentielles pour comprendre le marché du Cloud d’entreprise : les applications d’entreprise les plus populaires, les applications grand public les plus plébiscitées, les services Cloud les plus prohibés, et la liste très attendue des services enregistrant la plus forte croissance, révélatrice des futurs innovateurs technologiques et leaders du marché.

cloud-3

About Author

Globb Security France

Leave A Reply