Mardi 17 Octobre 2017

Les risques de sécurité pour les données d’entreprise stratégiques stockées dans le Cloud sont en forte hausse

Jeudi 15 Décembre 2016
Une étude menée par Skyhigh Networks auprès de 30 millions d’utilisateurs à travers le monde révèle des comportements à risque de la part des employés, une difficulté à détecter les menaces et une incapacité à appliquer les règles de gouvernance. Tel est le constat de Skyhigh Networks qui vient de publier l’édition du quatrième trimestre et le bilan 2016 de son rapport* sur l’adoption du Cloud et les risques associés (Cloud Adoption and Risk Report). L'éditeur de solutions CASB (Cloud Access Security Broker)

L’étude met en évidence une progression des services Cloud dans le milieu professionnel par rapport à l’an dernier, avec pour conséquence des faiblesses concernant la sécurité du Cloud, les entreprises ne parvenant pas à faire face aux risques émergents de manière proactive. Par exemple, malgré le fait qu’une entreprise utilise en moyenne 1 427 services Cloud et télécharge quelque 18,5 To de données chaque mois vers des applications Cloud, moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises. Les entreprises peinent en particulier à sécuriser le comportement de leurs employés, à détecter avec précision les menaces et à maintenir les règles de gouvernance du Cloud.

Le rapport Skyhigh Networks livre d'autres conclusions :

· Sécuriser les nouveaux systèmes de fichiers
Maintenant qu’elles font autant confiance, sinon plus, aux fournisseurs de services Cloud professionnels qu’aux applications sur site pour leurs données, les entreprises doivent assurer la sécurisation de leurs systèmes Cloud dans des applications telles que Salesforce et ServiceNow. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques. Le Cloud facilite certes le partage des données, mais 9,3 % des fichiers partagés avec des tiers externes contiennent des données sensibles - 5 % des fichiers sont accessibles à n’importe qui via des liens - et 6,2 % sont partagés au moyen d’adresses e-mail personnelles ; ce qui montre que les entreprises n’ont pas adapté leurs règles de sécurité aux capacités de partage du Cloud.


· Menaces internes et externes
Avec l’adoption généralisée des applications Cloud pour les activités métiers stratégiques, les équipes chargées de la sécurité des informations doivent non seulement détecter les menaces entrantes, mais aussi empêcher toute exfiltration de données. Une entreprise rencontre en moyenne 23,2 incidents de sécurité liés au Cloud par mois, plus de la moitié étant le fait d’actes de malveillance ou de négligence en interne. L’activité des employés dans le Cloud génère chaque mois 2,7 milliards d’événements, dont 2 542 jugés anormaux. Parmi eux, seuls 23,2 s’avèrent être des menaces, soit un ratio anomalies/menaces réelles de 110:1. Face à l’afflux de notifications erronées d’atteintes à la sécurité, les équipes de sécurité finissent par ignorer les alertes et passent ainsi à côté d’incidents, un phénomène illustré par le piratage subi par la société Target en 2013. 57,5 % des entreprises ont été victimes d’une menace impliquant un utilisateur privilégié, une catégorie d’incidents particulièrement dangereux compte tenu des droits d’accès étendus dont disposent les administrateurs d’applications.

· Le Shadow IT perdure
Seuls 8,1 % des services Cloud satisfont aux exigences de sécurité et de confidentialité des données établies par le programme CloudTrust de Skyhigh : moins d’un sur dix crypte les données au repos et un pourcentage équivalent s’engage à ne pas partager les données clients avec des tiers. Une majorité d’entreprises déclarent disposer de règles de gouvernance définissant l’usage acceptable des services Cloud. Malgré les efforts déployés par les entreprises pour appliquer ces règles, les données d’utilisation montrent qu’elles échouent bien souvent à faire barrage aux services à haut risque (elles tentent par exemple de bloquer le service de partage de fichiers à haut risque Mega 54 % du temps, mais n’y parviennent que dans 32,8 % des cas).

· Le calme avant la tempête de l’IaaS
Alors que la première vague d’adoption du Cloud par les entreprises concernait les services SaaS, notamment les versions Cloud de logiciels existants tels qu’Office 365, une vague de migration au moins aussi importante est à prévoir lorsque les applications personnalisées migreront des datacenters d’entreprise vers le Cloud public. Ce n’est un secret pour personne, AWS (Amazon Web Services) est le principal fournisseur d’offres IaaS avec 35,8 % des parts de marché, mais Microsoft a considérablement réduit l’écart avec Azure et occupe actuellement 29,5 % du marché. Parallèlement, Google Cloud Platform et d’autres fournisseurs spécialisés représentent 34,7 % des nouveaux déploiements d’applications, sans compter des services PaaS tels que Force.com. Les entreprises devront adopter une approche indépendante des fournisseurs si elles veulent relever les prochains défis en matière de sécurité des services IaaS et PaaS.

Le rapport fournit également des informations essentielles pour comprendre le marché du Cloud d’entreprise : les applications d’entreprise les plus populaires, les applications grand public les plus plébiscitées, les services Cloud les plus prohibés, et la liste très attendue des services enregistrant la plus forte croissance, révélatrice des futurs innovateurs technologiques et leaders du marché.


* A propos
Ce rapport comporte des données chiffrées sur les risques auxquels les entreprises sont exposées, notamment en matière de Shadow IT, les services informatiques autorisés et la vague actuelle de migration vers des applications Cloud personnalisées. Il analyse les données relatives à l’utilisation du Cloud de plus de 30 millions d’employés à travers le monde dans les principaux secteurs d’activité.
Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse