Les spécialistes le martèlent régulièrement : l’un des points les plus sensibles de la sécurité en entreprise reste l’employé et la manière dont il utilise les outils informatiques mis à sa disposition, ainsi que ce qu’il fait des données auxquelles il peut accéder. Ces comportements à risques, on les retrouve aussi bien au niveau des matériels (clés USB, connexion à des réseaux non protégés), que de la messagerie (phishing, rançongiciels, etc.) et via l’utilisation des applications web.
Pour partager des fichiers, convertir un fichier au format PDF, réaliser une présentation sous un format particulier, etc. une simple recherche sur le web permet de trouver toute une liste d’applications que l’employé peut utiliser, parfois même sans avoir à créer de compte. Cette facilité est appréciée par les employés car ils n’ont plus l’obligation de passer par le service informatique ou leur direction pour formuler une demande afin de bénéficier d’une application ou d’un service répondant à un besoin ponctuel. Le problème c’est que ces nouvelles pratiques se font le plus souvent sans le consentement de l’équipe informatique et que cela échappe même à leurs radars. C’est ce que l’on appelle plus communément le Shadow IT.
Les statistiques de l’étude Cloud Adoption & Risk Report de Skyhigh Networks basées sur les observations de plus de 500 clients, montrent ainsi que les départements informatiques ne sont conscients que d’environ 5 % des services cloud utilisés au sein de leur entreprise, laissant 95 % de zones d’ombre. Ce rapport mettait également en avant le fait que 28,1 % des employés ont déjà téléchargé un fichier contenant des données sensibles vers le Cloud et qu’une entreprise partage en moyenne des documents avec 849 domaines via les services Cloud.
Or les services Cloud utilisés n’offrent pas tous le niveau de protection et de garantie de confidentialité défini par la politique de sécurité de l’entreprise. Fuite ou vol de données sont des menaces sérieuses qui pèsent alors sur les données de l’entreprise.
Jusqu’à présent, lorsque la DSI identifiait l’utilisation de services non-conformes par un salarié, c’est le plus souvent qu’un problème en avait découlé. Cela se traduisait au mieux par un rappel de la politique de l’entreprise en la matière, au pire par des sanctions pouvant parfois aller jusqu’à un licenciement.
La sensibilisation : un facteur clé de la sécurité
Comme le soulignait Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, « La cybersécurité n’est pas qu’un travail réservé aux experts. Tout le monde doit se sentir concerné. Du dirigeant à l’employé, chacun doit avoir les bons réflexes face à son environnement de travail. ». Pour cela, il convient néanmoins que l’entreprise fasse le nécessaire pour sensibiliser ses employés aux différentes problématiques de sécurité et les informe des bonnes pratiques à respecter et des outils à utiliser.
Côté sensibilisation justement, il y a encore des progrès à faire. Ainsi, une récente étude de l’institut Ponemon pour Experian montre que le phishing ou l’ingénierie sociale figurent parmi les sujets les plus souvent abordés en formation aux risques de sécurité, mais que l’utilisation sûre des services Cloud ne serait évoquée que pour 29 % des sondés.
L’intérêt d’une solution CASB pour participer à la sensibilisation
Le Gartner définit un Cloud Access Security Broker ou CASB comme « un point d’accès unique au Cloud permettant de contrôler simultanément plusieurs services Cloud pour tout utilisateur ou dispositif d’accès ». Un CASB permet d’ajouter des fonctions de sécurité qui sont devenues courantes pour les services sur site, telles que l’authentification unique, l’enregistrement complet de l’utilisateur, le chiffrement et la détection d’anomalies, permettant ainsi aux entreprises de migrer vers le cloud à moindre risque. Ces solutions répondent tout particulièrement à la problématique du shadow IT.
L’utilisation d’un CASB permet en effet de détecter l’utilisation intempestive de services Cloud par les employés. Cependant, outre le blocage de l’application non conforme, le CASB permet de faire parvenir à l’utilisateur un message qui permettra premièrement, de l’informer du motif du blocage et dans un deuxième temps, de l’orienter vers un choix de solutions conformes à la politique de l’entreprise.
Il y a donc un double intérêt à l’utilisation d’une solution CASB. A la fois pour le personnel informatique qui récupère ainsi pleinement le contrôle des services web utilisés au sein de l’entreprise et lui donne la possibilité d’entamer le dialogue avec les utilisateurs. Ensuite pour sensibiliser les utilisateurs à la problématique de sécurité des services cloud gratuits, et en même temps mieux les informer des solutions à leur disposition.
« Mieux vaut prévenir que guérir » dit le dicton. C’est exactement ce que permettent