Dans une récente étude de l'Insee, les sociétés qui achètent des services de cloud déclarent en limiter l’utilisation principalement en raison des coûts élevés (37 %), des incertitudes liées à la sécurité (31 %) ou à la localisation des données (31 %).
En y regardant de plus près, il devient clair que le cloud demeure un territoire inconnu pour la plupart des entreprises. Ses implications sur la sécurité et la conformité des données ne sont sans doute pas encore pleinement comprises en entreprise, et les risques associés font toujours débat parmi les équipes de sécurité informatique. Que faire dans ces conditions pour gérer les risques ? Comment, dans la pratique, dire « oui » à l’adoption des applications cloud ?
L’adoption des applications cloud – qu’elles soient validées par la direction informatique ou bien introduites par les employés sans avoir été autorisées – fait migrer les entreprises vers un nouveau modèle. Il est fondamental pour ce modèle que les fournisseurs d’applications cloud ne soient pas à eux seuls unilatéralement responsables de la sécurité de vos utilisateurs et de vos données dans le cloud. La sécurité du cloud doit être une responsabilité partagée entre le prestataire et l’entreprise cliente. De fait, de nombreux grands fournisseurs d’applications cloud font leur part du travail en précisant exactement ce qui est et n’est pas de leur ressort en matière de sécurité. Dans cette optique, voici quatre recommandations afin que les équipes informatiques des entreprises prennent leur part dans la sécurisation des applications cloud et des données :
Identifiez toutes les applications cloud utilisées
Les discussions entre équipes informatiques et opérationnelles partiront ainsi du bon pied. Si vous ne savez pas au départ quelles applications cloud sont utilisées, explorez les fichiers journaux de vos produits de sécurité périmétrique. Ou bien faites appel à des outils gratuits de découverte pour dresser l’inventaire des applications et des utilisateurs, tout en évaluant les risques associés. Si vous êtes comme la plupart des entreprises, vous recenserez quatre à huit fois plus d’applications cloud en usage que vous ne l’imaginiez.
Prenez des décisions concernant les applications non validées
Il n’est pas pratique pour l’informatique de bloquer purement et simplement l’utilisation des applications cloud non autorisées, dont le nombre peut atteindre plusieurs dizaines et qui aident les collaborateurs à être plus productifs, souvent à moindre coût. Il est peut-être préférable d’autoriser l’accès à ces applications tout en adoptant le principe « faire confiance, mais vérifier ». Dialoguez avec les employés pour connaître leurs applications favorites.
Surveillez les données qui migrent dans le cloud
Vos collaborateurs apprécient les services de partage de documents. Il vous faut donc déterminer s’ils partagent des informations réglementées ou sensibles et au moyen de quelles applications : Dropbox, Box, Google Drive… Celles-ci peuvent en effet créer de nouveaux « angles morts » pour la prolifération et la fuite des données. Vous devrez également découvrir les données non structurées déjà présentes dans le cloud et étudier les solutions permettant d’étendre au cloud votre infrastructure existante de prévention des pertes de données.
Protégez les identifiants des comptes utilisateurs
Les applications validées, telles que Office 365, NetSuite et Salesforce.com, renferment une grande quantité de données sensibles. Le vol d’identifiants va continuer de se développer à mesure que les pirates ciblent des utilisateurs naïfs et crédules. Les identifiants sont la porte d’entrée vers les données, qu’elles soient cryptées ou non. La formation peut revêtir une grande importance dans ce domaine. La sensibilisation des employés à la protection des identifiants doit faire partie intégrante de toute stratégie de sécurisation du cloud.
Aujourd’hui, le modèle cloud signifie que les utilisateurs accèdent à des applications qui, de plus en plus fréquemment, se trouvent en dehors du pare-feu. Les firewalls et passerelles web sécurisées classiques ne suffisent donc plus. Gartner a identifié une nouvelle catégorie de produits, les Cloud Access Security Brokers, conçus pour permettre aux équipes informatiques des entreprises de faire leur part du travail dans le modèle de sécurité partagée. Les entreprises peuvent adopter le cloud tout en rapatriant la sécurité « en interne ». Les fondamentaux de la sécurité n’ont pas changé mais la sécurisation des applications cloud exige un modèle entièrement nouveau, qui mobilise l’équipe informatique, le prestataire SaaS et l’utilisateur final.