Sécurité du cloud : Pas de temps à perdre

2
83

Pourquoi votre DSI ne peut se permettre de perdre une minute s’agissant du cloud en 2018.

Tribune par André Stewart, VP EMEA, Netskope – En ce moment même, les équipes de votre entreprise sont occupées à télécharger des fichiers vers/depuis le cloud et à les partager par ce biais. Les spécialistes des finances accèdent à une feuille de calcul partagée, les créatifs partagent des vidéos avec un client… En l’espace d’une minute, que pourrait-il bien se passer d’autre dans le cloud ?

Si les activités qui s’y déroulent sont extrêmement nombreuses, elles s’avèrent, dans leur grande majorité, anarchiques et échappent à tout contrôle. Il y a fort à parier que votre DSI et votre service informatique ignorent tout des données qui y sont partagées et ne savent pas, par conséquent, si ces opérations sont ou non sécurisées. Parce que vos collaborateurs ont accès à plusieurs milliers d’applications et participent à des activités en mode cloud, ces points d’accès constituent autant de vulnérabilités susceptibles d’être mises à profit par les auteurs de menaces pour faire irruption sur votre réseau.

Avec le RGPD se profilant, il est impératif que les DSI et les services informatiques soient en mesure de prouver qu’ils maîtrisent les données qui leur sont confiées. Le volume d’activités cloud en interne étant, dans une large mesure, anarchique et hors de contrôle, la sécurité dans le cloud risque d’être le talon d’Achille de l’entreprise en matière de conformité. 
Il est quatre domaines essentiels sur lesquels les DSI et autres leaders peuvent se recentrer pour renforcer la sécurité cloud de leurs entreprises en 2018. 

Les départements dans la ligne de tir de la sécurité cloud

D’après le dernier rapport Netskope consacré au cloud, les pôles RH et Marketing sont ceux qui utilisent le plus les services cloud, exploitant activement en moyenne 139 et 121 services respectivement. Il serait légitime d’être préoccupé par cette pole position du département RH, lequel met souvent à profit des applications pilotées par des utilisateurs stockant des informations nominatives. 

Le pôle marketing risque également de constituer une cible de choix pour les acteurs malveillants, puisque nombre d’applications marketing stockant de précieuses données relèvent à présent du « shadow IT » ou de catégories non approuvées. Les départements Finance et Comptabilité n’ont rien à envier aux pôles RH et Marketing, puisqu’ils exploitent 63 services en moyenne – dont 94 % ne sont pas prêts pour l’entreprise.

Les services non prêts pour l’entreprise

Dans l’entreprise, l’utilisation de 1 181 services cloud, en moyenne, en décembre 2017 représente une hausse notable par rapport à la moyenne de 1 022 observée en septembre 2017. Le plus stupéfiant, c’est que 93 % des services cloud utilisés dans l’ensemble des départements ne sont pas prêts pour l’entreprise. 

Pour dissiper cette zone d’incertitude et parvenir à un point de conformité, les DSI doivent commencer par introduire des règles contextuelles au niveau de chaque activité. Un CASB (Cloud Access Security Broker)permet de mettre à niveau les services qui ne sont pas prêts pour l’entreprise en leur appliquant un contrôle granulaire. Les DSI doivent également « éduquer » les collaborateurs et veiller à ce que ceux-ci mettent en praique la formation dont ils bénéficient pour renforcer la sécurité dans son ensemble.

Au quatrième trimestre 2017, 54 % des infractions relatives à la prévention des pertes de données ont été commises à l’encontre du stockage dans le cloud. Au vu de ce chiffre, les DSI doivent être conscients que le paysage des menaces fourmillera d’attaques ciblant le cloud en 2018.

Le raz-de-marée RGPD

À l’approche du raz-de-marée RGPD, les entreprises ferment les écoutilles et s’arc-boutent en prévision de la date-butoir fixée en mai. Bien que les chefs de file rallient leurs collaborateurs autour des objectifs de conformité et des autres défis de 2018, la sécurité cloud causera probablement la perte de nombre d’entre eux.
Le RGPD est actuellement au premier plan d’une réflexion sur l’encadrement, notamment chez les DSI, et il s’avère que la sécurité cloud est en mauvaise posture à plus d’un titre. D’abord, pour 68 % des services cloud utilisés par la clientèle Netskope, rien n’indique que le client est propriétaire des données, et 81 % des services ne gèrent pas le chiffrement au repos. 

Durant les quelques jours qui nous séparent de l’entrée en application du RGPD, il est essentiel que les DSI se mettent à pister la totalité des données, car le moindre oubli pourrait dissimuler une dangereuse entorse à la conformité.

La montée en puissance des logiciels malveillants autour des cryptomonnaies

S’il est un type d’attaque persistant qui devrait continuer à jouer un rôle en 2018, c’est celui des malwaresvisant les banques et les cryptomonnaies. Ceux basés sur PowerShell sont également utilisés depuis un moment, et très efficacement, contre les entreprises qui équipent leurs postes de travail de solutions antivirus, cette protection s’avérant incapable de garantir des résultats efficaces en termes d’analyse et de remédiation.

Les entreprises doivent mettre à l’œuvre plusieurs niveaux de protection contre les menaces. La présence de multiples points de contrôle complique énormément la tâche des assaillants, qui ont bien du mal à se dissimuler dans le trafic cloud. Autre approche tactique efficace permettant de créer un goulet d’étranglement en vue de se prémunir contre ces attaques : mettre en place des règles d’analyse des données pour les téléchargements de fichiers vers/depuis le cloud afin de détecter les logiciels malveillants.

L’impact des attaques ciblant le cloud peut également être grave. L’équipe Threat Research Labs de Netskope a établi que 81 % des attaques de malwares repérées dans le cloud s’inscrivaient dans une fourchette de gravité haute, 19 % seulement figurant dans une fourchette basse. 

Cette année, la sécurité cloud ne peut tout simplement pas être ignorée ; le paysage des menaces foisonne de dangers et il ne faut pas oublier que le couperet du RGPD tombera immédiatement pour ceux qui laisseront la porte ouverte. Les DSI peuvent réduire significativement les risques encourus en suivant les directives de Netskope. Adoptez des règles contextuelles au niveau de chaque activité, mettez à niveau des services qui ne sont pas prêts pour l’entreprise en accédant à un CASB, et multipliez les niveaux de protection contre les menaces !

2 Commentaires

  1. La sécurité du cloud devient de plus en plus inquiétant au fur et à mesure que les technologies évoluent. Cela ne veut pas dire que c’est impossible de le sécuriser, au contraire. La sécurisation est largement faisable mais ça va tenir combien de temps? Tant que les responsables se tiennent à l’affût des nouvelles et probables attaques, les données resteront protégées. La venue du rgpd n’a pas facilité leur tâche.

Les commentaires sont fermés.