Le Cloud est-il Sécurisé ? Comment Garantir la Sécurité dans le Cloud ?

Les applis Cloud sont parfaites pour la productivité, elles sont simples à utiliser, mais vous devez savoir qu'il y a des risques en matière de sécurité. Bienvenue dans la Génération Cloud. Voici les cinq étapes à suivre pour réussir à protéger votre entreprise.

Étape 1 : Faites un Inventaire des Applis Cloud

Tout service de Cloud qui traite ou enregistre des données pour vous est considéré comme une appli Cloud, même si ce n'est qu'un simple convertisseur PDF. La première étape clé qui vous garantira la sécurité et la conformité du Cloud est de connaitre les applis Cloud utilisées par vos employés.

Une grande entreprise devrait utiliser la Passerelle d'Accès Cloud Sécurisée (CASB) pour avoir l'inventaire de toutes les applis utilisées. Les petites entreprises, faute de ressources informatiques pour l'utilisation de la CASB, peuvent faire leur inventaire en demandant aux employés et aux volontaires de lister les applis Cloud qu'ils utilisent.

Étape 2 : Éviter les Erreurs de Partage de Fichiers

Dans le dernier Rapport Alternatif de Données, Symantec a découvert que 29 % des e-mails et pièces jointes, ainsi que 13 % de tous les fichiers stockés dans le Cloud sont très largement partagés, et présentent un risque important de fuite.

Voici un exemple type. Un employé crée un compte Microsoft Office 365, Google Drive, Box, ou Dropbox. Ensuite, cet employé télécharge un fichier contenant des données confidentielles, et partage ce lien avec quelqu'un en dehors de l'entreprise, qui n'a pas de compte lié à ce service de partage de fichiers. Le service du Cloud donne alors un lien qui peut être utilisé par toute personne le possédant. Votre employé envoie ensuite ce lien à un partenaire, un fournisseur, ou toute autre personne qui pourrait avoir besoin de ces données.

Bien que ce scénario puisse paraitre anodin, ce lien est public, ce qui veut dire qu'il peut représenter une menace pour la sécurité de votre entreprise. Le lien d'accès aux fichiers peut être découvert via un robot qui recherche des termes particuliers. Des tiers malveillants utilisent souvent cette méthode, pour faire des découvertes sur des entreprises. Il est important de former régulièrement vos employés, pour leur apprendre à ne pas laisser des fichiers sur le Cloud au-delà du strict nécessaire.

Faites attention aux fichiers qui contiennent des informations confidentielles. Les entreprises peuvent mettre en œuvre certaines techniques simples, comme, par exemple, écrire sur tous les fichiers contenant des informations confidentielles « confidentiel » ou « privé ». Ils peuvent également utiliser un filigrane « confidentiel » dans les fichiers, pour que ce soit visible et flagrant pour toute personne utilisant un fichier contenant des informations confidentielles.

Étape 3 : Identifier les Employés à Haut Risque

Les employés à haut risque ont plusieurs caractéristiques : certaines virtuelles et certaines physiques. Un employé à haut risque utilise le même mot de passe pour tous ses comptes. Un employé à haut risque déplace des données confidentielles hors du système de l'entreprise, vers des comptes e-mail personnels, pour travailler de son domicile ou pendant un voyage. Un employé à haut risque ne verrouille pas son ordinateur ou son téléphone portable avec un mot de passe, et laisse ses appareils ouverts avant de s'en éloigner.

Pour gérer les employés à haut risque, les grandes entreprises peuvent utiliser la technologie CASB pour éviter la divulgation d'information, contrôler l'accès et le partage, ainsi que surveiller les actions à haut risque. Même les petites entreprises, sans posséder les ressources informatiques nécessaires, peuvent utiliser les capacités sécuritaires intégrées dans les applis Cloud comme Microsoft Office 365, Google G Suite, Box, et Dropbox. Apprenez également à vos utilisateurs à repérer les comportements à faible risque ainsi que les comportements à haut risque — toutes les entreprises peuvent faire cela, quelle que soit leur taille.

Pour vos applis Cloud officielles, assurez-vous que vos employés utilisent des comptes dédiés à l'entreprise, et non pas un mélange de comptes personnels et professionnels. Facilitez également l'accès à distance pour vos employés. Pour assurer la sécurité de vos données, vos employés doivent pouvoir accéder à des données privées sur des systèmes que vous surveillez plutôt que sur leurs comptes personnels, qui eux, sont sans surveillance.

Enfin, obtenez une solution de gestion de l'identité ainsi qu'une authentification multifacteur. Si vous gérez une petite entreprise, vous pouvez faire en sorte que tous vos employés utilisent un logiciel de gestion de mots de passe. Vous avez peut-être déjà implémenté cette solution pour la protection de vos terminaux, mais si ce n'est pas le cas, il existe des produits abordables que vous pouvez vous procurer.

Étape 4 : Attention aux « Mauvais Joueurs »

Si les informations de connexion sont faciles à deviner ou non-sécurisées, il est alors facile pour les pirates ou les malwares d'avoir accès aux applis Cloud, et, par conséquent, aux données confidentielles qui s'y trouvent. Un employé mécontent, ou un volontaire peuvent divulguer des données sensibles, télécharger un malware, envoyer des informations confidentielles, ou supprimer des données avant de quitter une entreprise.

Comment pouvez-vous faire face à ces mauvais joueurs ? Vous pouvez protéger vos terminaux contre les malwares, pour que l'infection ne nuise pas au groupe d'utilisateurs entier, ou à d'autres systèmes. Vous pouvez exiger des mots de passe complexes, et les modifier chaque trimestre. Cette solution peut bloquer l'accès des comptes à un acteur malveillant, qui vient de vous quitter pour votre concurrent.

Profitez des avantages de l'authentification multifacteur partout où vous êtes. Et enfin, assurez-vous d'avoir une liste de contrôle standard, pour que, lorsque les employés ou les volontaires — quel que soit leur rôle dans votre entreprise — quittent l'entreprise, vous puissiez désactiver leurs permissions d'accès et supprimer les données.

Étape 5 : Soyez Vigilants aux Fuites de Données

Tous les jours, vous pouvez voir dans les journaux un article parlant de tel ou tel fournisseur d'applis Cloud qui a été victime de fuites. Si l'un des services Cloud de votre entreprise fait l'objet d'un article semblable, vous devriez recevoir un e-mail ou une notification vous parlant de vos données. Ceci est particulièrement vrai si vos données ont peut-être été corrompues.

S'il y a une faille dans l'une de vos applis Cloud, demandez à tous vos employés de changer tous leurs mots de passe pour cette appli immédiatement. Ensuite, renseignez-vous sur les données présentes dans cette appli Cloud, et déterminez si la divulgation de ces données poserait un problème à votre entreprise.

Si des données confidentielles sont présentes dans cette faille, et que ces données appartiennent à vos clients, vos sponsors ou vos constituants, vous devriez les en notifier. Impliquez votre équipe juridique ou vos équipes de sécurité informatique dans la décision concernant la notification de la faille, et prenez conseil auprès d'eux.

Après avoir fait cela, vous devriez décider si vous voulez continuer à utiliser cette appli Cloud ou non. Vous pourriez alors trouver une autre appli Cloud, plus sécurisée, et qui remplirait les mêmes fonctions que la précédente.

Les applis Cloud améliorent votre flux de travail, réduisent vos dépenses et rendent votre entreprise plus efficace. Par contre, il est important d'en connaitre les risques, de s'informer sur vos options de surveillance, et de prévoir vos réponses.

SOYEZ SÉCURISÉS

BACK TO TOP