Les services cloud semblent être un terrain connu pour les entreprises. Ils y obtiennent en effet de plus en plus de place. Ce n’est que suite à la publication d’un rapport d’une récente étude menée par l’Insee que l’on a pu constater que les professionnels avancent sur une voie qui leur est étrangère. 37% d’entre eux optent en fait pour une limitation de l’usage de ces services à cause des doutes sécuritaires.
Une question de responsabilité partagée
Aucune entreprise ne peut donc affirmer comprendre pleinement ce nouvel univers, notamment en ce qui concerne ses responsabilités sur la sécurité et la conformité des données. Et même les responsables de sécurité informatiques n’ont pas les mêmes avis sur les risques liés. En optant pour les applications cloud, les sociétés se tournent vers un nouveau modèle. La sécurité de ce dernier ne devra seulement pas être la responsabilité des fournisseurs d’applications cloud. Celle-ci devra être répartie entre le prestataire et la société cliente. Le fait de voir un fournisseur de services cloud indiquant que telle ou telle situation n’est pas de leur ressort est ainsi normal. Comment les responsables de sécurités informatiques des entreprises peuvent-ils remplir leur part de responsabilité ? Il est important de leur fournir quelques recommandations.
Identification des applications cloud utilisées, surveillance des données
Connaître toutes les applications cloud utilisées est un moyen de s’assurer que les dialogues entre les équipes informatiques et opérationnelles puissent bien commencer et bien se terminer. L’identification de ces applications peut se faire via la consultation des fichiers des journaux des produits de sécurité périmétrique. On peut également la réaliser à l’aide d’outils gratuits de découverte permettant d’inventorier les applications et les utilisateurs et de mesurer les risques liés. Dans la plupart des entreprises utilisant des services cloud, il y a généralement un surplus d’applications cloud utilisées.
Le responsable de la sécurité informatique n’est pas tenu de supprimer ou d’interdire l’accès à des applications non autorisées. Quelques-unes de ces dernières peuvent en effet favoriser la productivité des employés. On peut décider de permettre leur utilisation, en prenant le soin de vérifier régulièrement. Il est également nécessaire de connaître les services de partage des documents utilisés par les collaborateurs et les informations qui y transitent le plus. En effet, certaines entités sont souvent impliquées dans des problèmes de prolifération et de fuite de données.
Protection des identifiants de comptes utilisateurs
Office 365, NetSuite et Salesforce.com et les autres applications validées ne devront également être négligées dans la stratégie de sécurité de services cloud. Ils contiennent en fait diverses données sensibles. Comment assurer donc leur protection ? En prévenant tout vol d’identifiants, ces derniers étant une passerelle vers ces données. Cette prévention nécessite non seulement une sensibilisation, mais également une formation des collaborateurs. Elle est notamment indispensable avec des services basés sur l’utilisation d’applications se trouvant en dehors du pare-feu. Ainsi, pour l’environnement cloud, la sécurisation ne devra seulement plus passer par les firewalls et les passerelles web sécurisées traditionnelles. Elle nécessite un champ d’intervention plus large des équipes informatiques en entreprise et des collaborateurs. D’où la conception des Cloud Access Security Brokers.
