L’usage croissant par les employés d’applications cloud, notamment celui d’applications non autorisées, peut mettre les données en danger. Eduard Meelhuysen, vice-président EMEA de Netskope (sécurisation du Cloud), livre ses 5 conseils…
Il suffit de lister rapidement les outils que nous utilisons quotidiennement sur notre ordinateur professionnel pour se rendre compte que les entreprises d’aujourd’hui sont inondées d’applications cloud. Les raisons de ce succès sont une rapidité d’installation et une simplicité d’utilisation quasi imbattables, qui en ont fait de véritables alliés pour les employés et les dirigeants en quête de productivité.
Cependant, le nombre d’applications cloud utilisées a atteint des niveaux astronomiques – en moyenne, les organisations européennes comptabilisent 483 applications cloud, voire plus de 1000 pour 21 % d’entre elles (source : Netskope Cloud Report 2015). Face à une telle déferlante, est-il seulement possible pour une organisation d’avoir une complète visibilité sur les applications utilisées par ses collaborateurs ? Les applications cloud sont un moyen rentable d’augmenter la productivité, mais leur usage croissant par les employés, notamment celui d’applications non autorisées, peut mettre les données en danger.
Le stockage cloud est la deuxième catégorie d’application cloud la plus populaire (derrière les applications de marketing), mais il n’existe aucune garantie que ces applications soient sécurisées. 69 % des applications de stockage cloud ne sont pas adaptées aux entreprises, ce qui est inquiétant quand on sait le nombre de documents critiques échangés chaque jour via ce type de service.
Alors, comment les entreprises peuvent-elles obtenir le beurre et l’argent du beurre, en bénéficiant de la simplicité et de la productivité des applications cloud, tout en protégeant leurs données ? Voici cinq mesures pratiques pour les entreprises cherchant à utiliser les applications de stockage cloud en toute sécurité :
1) Sauvegarder les données sensibles dans du stockage cloud d’entreprise
Nombre d’organisations choisissent de fonctionner avec une seule solution de stockage cloud comme Google Drive, Egnyte, Dropbox, Box ou Microsoft OneDrive. Ces entreprises doivent commencer par établir quelles sont les données importantes hébergées dans cette application.
Près de 10 % des fichiers présents dans les applications de stockage cloud d’entreprise violent une politique de données d’une sorte ou d’une autre, car ils contiennent des informations sur la santé, des données personnelles, du code source ou autre chose de valeur ou d’importance similaire.
2) Standardiser avec une seule application de stockage (ou en réduire au moins le nombre)
Sur les 37 applications de stockage cloud présentes dans une entreprise moyenne, à peine un peu plus d’un tiers sont adaptées à un usage professionnel.
Alors, plutôt que de multiplier les options, pas toujours compatibles entre elles, choisissez-en une seule basée sur l’avis des employés et les exigences de l’entreprise. Formez les employés à l’utilisation des applications choisies pour garantir à 100 % leur bonne réception et leur bon usage.
3) Surveiller l’utilisation des applications de stockage cloud
En plus de déterminer quelles applications sont utilisées par les employés, il est important de surveiller l’activité de ces applications – téléchargements upload et download, partages, etc – pour mettre en place une vision des risques encourus. Surveillez les données en transit depuis et vers les applications d’entreprise, et gardez un œil attentif sur l’activité des applications non autorisées et de leurs environs.
Il est également important de surveiller tout risque ou activité inhabituelle, ce qui implique de définir en amont ce qu’est un usage « normal ». Car sans cela, il est pratiquement impossible de détecter une activité anormale. Soyez attentifs à l’accès aux applications par des employés dont les certificats ont été compromis lors d’une violation de données : êtes-vous sûr que la personne accédant à l’application de stockage cloud est vraiment votre employé ? Pourrait-il s’agir d’un pirate utilisant des certificats volés lors de la violation de données d’un autre système ?
4) Sécuriser l’écosystème
L’écosystème des applications autour des applications de stockage cloud d’entreprise doit également être contrôlé. Il s’agit par exemple des applications fournissant une signature sécurisée de documents, d’outils de gestion de projet ou de portails de visualisation de données. Il existe des dizaines d’applications nécessaires dans tout cloud d’entreprise, qui aident à un fonctionnement plus fluide, mais certaines de ces applications sont susceptibles de ne pas offrir de sécurité adaptée à l’entreprise. Si des applications ne sont pas provisionnées par le personnel informatique, les contrôler ou mettre en place des politiques afin de contrôler leur utilisation devient plus difficile.
5) Considérer les utilisateurs comme des clients ou des partenaires
Même formés et sensibilisés, la plupart des employés ne s’intéressent pas beaucoup à la sécurité. Par conséquent, il est préférable de limiter leurs responsabilités dans ce domaine, au profit de la DSI. L’entreprise pourra fonctionner plus librement.
En pratique, cela signifie que l’entreprise réalise une sélection des applications à conserver puis la direction informatique met en place et fait exécuter des politiques granulaires pour en garantir un usage sécurisé. Dans le cas d’une application de stockage par exemple, on peut imaginer de bloquer les téléchargements de fichiers contenant certains types de données, comme des noms et adresses de clients. Les utilisateurs sont libres de travailler à leur guise les limites invisibles définies par la DSI.
Le Règlement européen général sur la protection des données, qui acquerra le statut de loi en 2017, est un rappel opportun pour les entreprises du fait qu’elles doivent contrôler leurs données. Garantir un usage sécurisé des applications de stockage cloud est le parfait moyen de commencer, et peut permettre d’éviter de lourdes amendes par la suite.
