Cloud : des données de plus en plus hors de contrôle ?

Les entreprises font-elles trop confiance aux fournisseurs de services cloud pour assurer la sécurité de leurs données ?

De rapport en rapport, McAfee renouvelle – plus ou moins explicitement – ce constat.

Le dernier en date n’y déroge pas.
L’éditeur américain fonde ses observations sur deux sources. D’une part, un sondage auprès de 1 000 professionnels de l’IT. De l’autre, l’analyse de données d’usage associées à sa gamme de solutions MVISION.

Quant à la sécurité des services cloud examinés, il ressort notamment que :

• 91 % ne chiffrent pas les données inactives
• 78 % ne prennent pas en charge l’authentification à multiples facteurs
• 87 %  ne suppriment pas les données immédiatement à la fermeture d’un compte
• 52 % des organisations utilisent au moins un service déjà victime d’une fuite de données rendues publiques.
  Sur ce point, référence est faite à Microsoft. La firme de Redmond estime que parmi ses comptes actifs, 44 millions d’utilisateurs emploient des identifiants ayant filtré par le passé.

Un défi d’uniformisation

McAfee ne fournit guère plus de détails sur la nature de ces services cloud. On peut néanmoins s’appuyer, entre autres, sur un rapport antérieur qui listait les principales applications SaaS utilisées en entreprise. OneDrive et Exchange Online y devancent Salesforce, SharePoint Online, ServiceNow, Box, Cisco WebEx, Yammer, Workday et Slack.

Une proportion croissante des fichiers qui transitent dans le cloud contiennent des données « sensibles » : 26 % en 2019, contre 21 % en 2017 comme en 2018 (et 16 % en 2016). Une dynamique impulsée en particulier par la messagerie électronique, avec Office 365 en tête de liste.

9 % de ces fichiers finissent par être partagés avec un lien public, c’est-à-dire accessible à quiconque en dispose (le taux était de 4 % en 2017 comme en 2018).

Dans l’absolu, la quasi-totalité des organisations interrogées (97 %) utilisent « une forme de sécurité cloud ». Mais assurer une application uniforme des politiques de prévention contre la fuite de données est une autre paire de manches. 31 % s’en jugent capables sur tout le cycle de vie de leur data.

L’une des grandes incertitudes porte sur les terminaux dits « personnels », au sens où les utilisateurs finaux en sont propriétaires.
79 % des entreprises ouvrent au moins une partie de leur périmètre cloud à ce type d’appareils. Mais seulement 41 % s’estiment en mesure de contrôler pleinement les accès qui en résultent. Et 25 % déclarent avoir déjà constaté la fuite de données vers des appareils non gérés par leurs soins.

Illustration principale via Shutterstock.com