Cloud et Sécurité: une alliance nébuleuse
Un rapport qui décode les perceptions du stockage dans le cloud auprès de 300 responsables de la sécurité et découvre comment les PME surmontent ces problèmes de sécurité.
Publié le 13 mai 2019Le stockage dans le cloud existe depuis un certain nombre d'années et il est de plus en plus utilisé par les entreprises. Mais en quoi l'utilisation du cloud pour vos besoins de stockage affecte-t-elle la sécurité de vos données? Quelles sont les perceptions actuelles de la sécurité du stockage dans le cloud parmi les organisations? Et comment ces perceptions orientent-elles les décisions de sécurité concernant les données?
Pour répondre à ces questions, IS Decisions a réalisé une étude auprès de 300 responsables de la sécurité au sein de petites et moyennes entreprises au Royaume-Uni, aux États-Unis et en France. Les conclusions de la recherche ont par la suite mené à ce rapport. Et le message clé? Il reste encore du travail à faire pour assurer la sécurité des données stockées dans le cloud.
Il ne fait aucun doute que le cloud a changé la façon dont les PME mènent leurs activités. Mais traditionnellement, les entreprises considéraient le stockage dans le cloud avec scepticisme et pour cause.
La souveraineté des données, par exemple, était un problème majeur, les organisations se demandaient à juste titre si leurs données stockées sur un serveur situé en dehors de leur pays d'origine seraient soumises à un ensemble de lois différent.
La sécurité des données était évidemment un autre point d'achoppement, et de nombreuses organisations estimaient qu'il était plus sécurisé de stocker leurs données dans leurs propres locaux que de faire confiance à un tiers.
La conformité était un autre problème dans le sens où il était difficile de faire confiance à une tierce partie pour qu’elle vous rende conforme lorsque c’est vous qui paierez les pots cassés pour toute non-conformité.
Migration. Même si ces trois autres aspects du cloud n’étaient pas un problème, le mal de tête du passage au cloud aurait pu suffire à en dissuader beaucoup.
L'industrie du cloud a travaillé dur pendant des années pour contrer ces craintes. Certaines des plus grandes entreprises de cloud du monde ont commencé à construire des centres de données dans les pays qu’elles souhaitaient cibler, abordant ainsi la question de la souveraineté. Ils ont également investi (et investissent toujours) des millions dans la sécurité et la conformité des données - à tel point que vos données sont sous doute désormais plus sûres dans le cloud que sur site (de la même manière que votre argent est plus sûr dans une banque qu’en cash sous votre matelas), tout en facilitant la démonstration de la conformité. Et en ce qui concerne la migration, des organisations spécialisées ont perfectionné l'art de transférer des données d'un domicile à un autre, rendant le processus aussi simple que possible.
Mais ces peurs originales ont-elles bel et bien disparu?
Comment les perceptions sur la souveraineté, la sécurité, la conformité et la migration ont-elles changé?
Pour le savoir, IS Decisions a réalisé une étude auprès des responsables informatiques de petites et moyennes entreprises britanniques, américaines et françaises utilisant Dropbox for Business, Google Drive, Box et Microsoft OneDrive.
L'investissement et le marketing ont largement fonctionné. L'adoption du cloud augmente rapidement parmi les PME et celles qui l'utilisent en apprécient pleinement les avantages:
90% | 85% | 81% |
déclarent que l'utilisation d'un fournisseur de services cloud a aidé leur organisation à améliorer de manière significative leur productivité | disent que grâce au stockage dans le cloud, les employés aiment pouvoir accéder aux fichiers de n'importe où | affirment que le transfert de données vers un fournisseur de stockage dans le cloud a permis à leur organisation de faire des économies |
Bien que les avantages soient évidents, nos recherches montrent que les anciennes peurs sont toujours très présentes.
En ce qui concerne la souveraineté des données, 51% s’inquiètent toujours du pays (ou des pays) dans lequel (lesquelles) leurs données résident physiquement. Le chiffre des répondants américains (53%) était plus élevé que ceux du Royaume-Uni (46%) et de la France (43%), peut-être en raison de discussions de haut niveau et de la complexité de la juridiction des États. Cela dit, les organisations britanniques et françaises doivent se conformer au RGPD, qui stipule que les organisations doivent supprimer les données client à la demande du client. Les entreprises européennes sont donc clairement préoccupées par les données stockées dans d'autres pays, qu'il peut être difficile d'effacer si les clients le demandent.
Lorsqu’on parle de la sécurité, malgré les énormes investissements des hyperscalers, 61% des PME pensent toujours que les données de leur entreprise ne sont pas sécurisées dans le cloud. De plus, exactement la moitié croit en principe que le stockage dans le cloud est intrinsèquement moins sûr que le stockage sur site et, chose encore plus inquiétante, 45% affirment que le transfert de leurs données dans le cloud a réellement porté atteinte à leur sécurité.
Il est également difficile de gérer ensemble la sécurité du stockage sur site et dans le cloud dans un environnement hybride.
56% ont du mal à sécuriser l'intégralité de leur environnement de fichiers hybride.
Ceux qui possèdent une infrastructure de stockage hybride (sur site et dans le cloud) sont particulièrement confrontés à la sécurité. La raison pour laquelle ils se débattent est qu’ils ne disposent pas d’une sécurité cohérente sur toutes les infrastructures informatiques. Il est donc difficile de suivre la sécurité dans les environnements de stockage sur site et dans le cloud sans avoir une seule vue consolidée.
Les choses ne s'améliorent pas en ce qui concerne la conformité. 50% des personnes interrogées pensent que l'utilisation du stockage dans le cloud a rendu la conformité à la réglementation plus difficile, pas plus facile.
Bien que les hyperscalers se soient efforcés de respecter les réglementations majeures telles que HIPAA, FISMA, ISO 27001 et bien d’autres, les problèmes subsistent, car il est toujours possible que les données stockées sur cette infrastructure soient susceptibles d’être interceptées ou modifiées par des utilisateurs non autorisés à le faire.
Un certain nombre de questions subsistent encore:
Qui va gérer mes données?
Qui va pouvoir les voir?
Est-ce que ce seront les gens qui gèrent l'infrastructure pour nous?
Est-ce que ce sera des personnes internes et externes?
Nos données dans un cloud public vont-elles être séparées des données appartenant à d'autres organisations?
Enfin, trois entreprises sur cinq (60%) ont eu des problèmes difficiles lors de la migration de leurs données vers le cloud, de la même manière que beaucoup de personnes trouvent que le déménagement est un problème difficile. Les données doivent subir un niveau de nettoyage et de dé doublonnage, de la même manière que lors du déménagement, vous voulez vous assurer que vous prenez les biens dont vous avez réellement besoin, en jetant tout ce qui est inutile, tout en donnant à chaque possession un endroit approprié pour habiter dans votre nouvelle maison.
Une fois que vous avez commencé à dissocier ces perceptions du stockage dans le cloud, les raisons pour lesquelles elles existent toujours deviennent claires.
L'utilisation abusive des identifiants des employés et les contrôles d'accès inappropriés font de la détection des accès non autorisés l'un des plus gros problèmes de sécurité du cloud aujourd'hui (même si le fournisseur de cloud dispose d'outils de base vous indiquant quelle personne a accédé à quels fichiers). 31% des PME disent que depuis le passage au cloud pour le stockage, il est plus difficile de détecter les accès non autorisés. Un répondant britannique a même déclaré: "Mon responsable sur site a réussi à se faire pirater par une personne qui prétend être sa femme."
Traditionnellement, lorsque les entreprises stockent leurs données sur des serveurs de fichiers locaux, elles sont «relativement» protégées de toute utilisation non autorisée. La sécurité native ne permet qu'un accès approuvé aux données pour des utilisateurs ou des groupes d'utilisateurs spécifiques au sein de l'organisation. La nécessité d'être physiquement au bureau pour accéder aux fichiers crée une limite naturelle contre les accès non autorisés provenant de l'extérieur de l'organisation. Même pour les employés et les partenaires tiers utilisant des réseaux privés virtuels (VPN), qui permettent un accès en dehors de cette limite, les données restent relativement sécurisées car les équipes informatiques peuvent restreindre l'accès qu'à quelques périphériques spécifiques.
Mais avec le stockage dans le cloud, la facilité de partage des données entre les équipes, et les intégrations simples que leur stockage peut avoir avec d'autres applications dans le cloud augmentent considérablement la possibilité d'un accès non autorisé. Du point de vue de la productivité, c’est tout à fait logique, mais du point de vue de la sécurité, c’est un casse-tête pour les équipes informatiques.
Et sans les bons contrôles d’accès en place, si les informations de connexion d’un employé tombaient entre de mauvaises mains, son auteur pourrait, en théorie, accéder aux fichiers et dossiers sensibles de n’importe où dans le monde, avec n’importe quel appareil.
Depuis le passage au cloud pour le stockage, 27% ont déclaré qu’il était plus difficile d’empêcher les employés de voler des fichiers sensibles avant leur départ.
Encore une fois, avec le stockage sur site et juste un ordinateur de bureau, le risque de se faire remarquer (par des regards indiscrets) est beaucoup plus grand si quelqu'un tente de voler des informations sensibles. Mais comme les employés utilisent des ordinateurs portables, des smartphones et des tablettes (parfois leurs propres appareils) pour accéder aux informations dans le cloud, ce qu’ils peuvent faire depuis n’importe où, il est presque trop facile de voler des informations avant de partir. En fait, même lorsque les employés partent officiellement, le problème persiste - des études antérieures d’IS Decisions ont révélé qu’un tiers des ex-employés ont toujours accès aux données de la société après leur départ (en anglais).
Depuis le passage au cloud pour le stockage, 29% ont subi une violation de fichiers ou de dossiers stockés dans le cloud.
De plus, pour 22% des entreprises, un pirate informatique externe a réussi à accéder à leurs systèmes à l’aide des informations de connexion d’un employé. Les conséquences des violations ont été extrêmement dommageables. En effet, 15% des personnes interrogées ont déclaré avoir subi un préjudice sérieux en termes de réputation en raison d’un accès non autorisé à des données d'entreprise sensibles stockées sur des réseaux dans le cloud.
L'utilisation du cloud est désormais presque une partie obligatoire de l'entreprise. Les entreprises doivent donc trouver des moyens de surmonter ces problèmes de sécurité.
Les conséquences de l’utilisation du cloud sur la sécurité ne suffisent certainement pas pour dissuader les entreprises de l’utiliser. Utiliser le cloud maintenant est presque une partie obligatoire du monde des affaires, et ceux qui ne profitent pas de ses avantages se tirent une balle dans le pied au niveau de la productivité.
Mais ce que cela implique en termes de sécurité, c’est que les entreprises recherchent des moyens détournés d’équilibrer sécurité et productivité, principalement de deux manières.
21% sont allés jusqu’à dire qu’ils gardaient leurs données les plus sensibles stockées sur une infrastructure locale parce qu’ils ne faisaient pas confiance à sa sécurité dans le cloud.
Lorsqu'on leur a demandé ce qui constitue des données sensibles, la plupart des entreprises ont estimé que leurs propres données étaient plus importantes que celles de leurs clients - ce qui est inquiétant, vu que les attaques de la chaîne logistique sont en hausse.
74% ont indiqué que les données de leurs cartes de crédit étaient sensibles et 71% ont indiqué que les informations personnelles de leurs employés étaient sensibles - alors que seulement 62% ont déclaré que les coordonnées des clients étaient sensibles, et plus inquiétant, seuls 53% ont déclaré que les données de leurs clients étaient sensibles!
La deuxième façon dont les entreprises tentent de concilier sécurité et productivité consiste à surveiller l'accès aux fichiers (mais pas très bien)
La plupart des organisations (80%) ne font que s'appuyer sur la sécurité native du fournisseur de cloud.
Un peu moins de la moitié d'entre eux surveillent l'accès manuellement tous les jours (42%), ce qui est une tâche extrêmement longue et complexe à faire, et bien sûr, sujette à des erreurs humaines.
Un peu plus d'un tiers surveille l'accès sur une base ad hoc (38%), ce qui prend moins de temps mais est plus susceptible de rater une attaque ou de la découvrir trop tard.
Et, ce qui est inquiétant, 9% ne contrôlent pas du tout l’accès, ce qui rend l’identification de la source d’une violation incroyablement difficile lorsque cela se produit inévitablement.
Il est difficile de blâmer les PME qui ne surveillent pas l’accès aux fichiers tous les jours. Les PME manquent généralement de ressources, de compétences, d'informations et de temps pour le faire correctement.
Pour toutes ces raisons, il n’est pas étonnant que près de la moitié des PME (49%) pensent que la sécurité native de leur fournisseur de stockage en cloud actuel n’est pas assez solide pour protéger leurs données.
Il est clairement nécessaire de mettre en place un moyen plus puissant et plus efficace de garantir la sécurité des données dans le cloud. Passer au cloud ne diminue en rien le besoin d’une entreprise de sécuriser l’accès et l’utilisation des données de fichiers car, après tout, les audits de sécurité, les mandats de conformité et les réglementations gouvernementales exigent toujours des organisations qu’elles gardent leurs données en sécurité.
67% affirment qu'il serait extrêmement utile de recevoir des alertes pour un accès non autorisé ou suspect aux données sensibles stockées dans le cloud.
C'est ici qu'intervient FileAudit.
FileAudit assure le suivi, audit et génère des rapports de manière proactive sur tous les accès aux fichiers et aux dossiers - et alerte les équipes informatiques dès lors qu’une activité de fichiers suspecte se produit. Traditionnellement, FileAudit surveillait les fichiers et les dossiers sur les serveurs Windows Active Directory, mais maintenant, IS Decisions a étendu les fonctionnalités de surveillance de FileAudit à Dropbox for Business, Google Drive, Box and Microsoft OneDrive.
À présent, si vous gérez le stockage de votre entreprise avec une combinaison de stockage sur site et dans le cloud, FileAudit vous offre une vue cohérente de la sécurité de vos données sur tous vos serveurs de stockage, à partir d’un outil et d’un tableau de bord consolidé.
FileAudit vous permet également de faciliter la surveillance de l'accès aux fichiers grâce à la délégation, ce qui contribue à la productivité et à la sécurité. Les équipes informatiques ne savent parfois pas quels utilisateurs ont besoin de quel accès et se demandent si l'utilisation des fichiers est appropriée ou non. En déléguant la responsabilité de la gestion de l'accès aux fichiers à ceux qui sont plus activement impliqués dans l'organisation, les responsables peuvent prendre de meilleures décisions concernant ce à quoi ressemble un accès «normal», tout en facilitant la détection des anomalies plus rapidement - ce qui permet de protéger les fichiers en toute sécurité tout en allégeant le fardeau de l'équipe informatique.
IS Decisions a commandé l'étude citée dans ce rapport en 2019 à 300 personnes en charge de la sécurité au sein d'organisations de petite et moyenne taille au Royaume-Uni, aux États-Unis et en France. Les organisations des répondants devaient être des utilisateurs de Dropbox for Business, de Google Drive, de Box ou de Microsoft OneDrive pour participer à la recherche.