Le volume de données des entreprises ne cesse d’augmenter ; informations sur les produits et les prix, les prospects et les clients, les employés et les partenaires d’affaires – il ne semble pas y avoir de fin aux informations confidentielles qui ont besoin d’être contrôlées et gérées et qui sont confiées aux employées. Les gestionnaires de risques doivent faire confiance aux départements informatiques pour déployer les mesures de sécurité nécessaires. Mais avec une innovation informatique constante, même les informaticiens soutiennent parfois la demande des utilisateurs pour de nouvelles méthodes et des applications plus innovantes. Et l’une d’entre-elles est l’utilisation du cloud computing.
Une atteinte de sécurité au niveau des données peut être catastrophique. Nous pouvons tous nommer les principales failles qui ont coûté cher aux entreprises touchées (Target, Sony, Ashley Madison, Talk Talk) et les amendes, résultant de la perte de confiance des clients, et des problèmes d’image de marque inhérents, qui peuvent hanter une entreprise pendant des années. Le nouveau Règlement Européen relatif à la Protection des Données (EU GDPR) augmentera les amendes, permettra les procès en recours collectifs et demandera à ce que les organismes de contrôle soient informés. Il n’y a pas de temps à perdre.
Comme on l’entend dire régulièrement, les employés pensent souvent qu’ils ne possèdent aucune donnée confidentielle, du moins jusqu’à ce que vous leur posiez les bonnes questions. Les solutions informatiques que nous utilisons impliquent que chaque employé ait accès à beaucoup plus d’informations que par le passé. Nous devons accepter que les employés fassent des erreurs et agissent de manière inappropriée. Étonnamment, les seules données qui sont souvent négligées sont celles relatives à vos propres employés. Morrisons est actuellement poursuivi en justice par ses employés après que toutes leurs données aient été transférées sur un service cloud par un collègue mécontent.
Tout le monde sous-estime l’utilisation du cloud, même l’équipe informatique – le groupe le plus susceptible d’être questionné. Nos statistiques, comprenant plus de 500 clients, montre que les départements informatiques ne sont conscients que d’environ 5 % des services cloud utilisés au sein de leur entreprise, laissant 95% de zones d’ombre qui sont généralement les plus risquées. Comme il est rare que les départements informatiques partagent les mauvaises nouvelles et qu’en plus ils ne connaissent pas les réels usages du cloud, ce point est trop important pour ne rester qu’une supposition. Sincèrement, si quelqu’un vous dit qu’il n’y a pas d’utilisation du cloud dans son entreprise, il ne cherche pas vraiment et prend le risque de la laisser en plein somnambulisme. Nous avons effectué des centaines d’évaluations des risques liés au cloud en Europe et nous n’avons jamais trouvé moins de 300 services cloud différents – et dans ce cas pour une entreprise de seulement 150 employés.
Comme la plupart des fournisseurs de services cloud sont basés en dehors de l’espace économique européen, les entreprises doivent vérifier le cadre juridique utilisé pour le transfert des données et plus particulièrement des données personnelles. Et avec la récente invalidation de Safe Harbor par la Cour de justice Européenne, tous les contrats actuels vont devoir être revus.
A ce stade, vous pourriez être pardonnés de penser « il nous suffira d’interdire toute utilisation du cloud», mais ce n’est techniquement pas possible, ni désirable, car cela peut conduire à l’opposé du résultat souhaité – et induire un plus grand risque. Si vous bloquez les services cloud connus, alors qu’il en existe plus de 19 000 différents disponibles, les utilisateurs vont tout simplement en chercher et en trouver un autre – et ce sont souvent les moins connus qui sont les plus dangereux.
Pour terminer je vous propose six recommandations pour traiter les besoins de sécurité du cloud :
- Demandez au département informatique une évaluation des services cloud utilisés par les employés, montrant leur utilisation, le volume des données transférées et l’estimation des risques pour chaque fournisseur de cloud.
- Créez une équipe d’intégration du cloud au sein de l’entreprise allouant une place pour les employés de plusieurs services : risques, IT, finances, RH, juridique…
- Définissez vos politiques en matière de services cloud, par quels moyens les utilisateurs peuvent demander l’accès à de nouveaux services et les critères de décision à prendre en compte pour ajouter au catalogue les services validés.
- Informer vos employés des risques de pertes de données, des dangers inhérents au cloud et des procédures à respecter.
- Même les services cloud de confiance peuvent avoir des zones de faiblesse, telles que les transactions de logs et le chiffrement des données. Demandez au département informatique quels services de sécurité supplémentaires ils déploient.
- Et enfin, gardez en tête que dans une entreprise type les employés décident d’utiliser un nouveau service cloud presque chaque jour – il y a donc un problème constant à prendre en considération pour valider et gérer le cloud computing.