… et véritable cauchemar aux yeux des professionnels IT et des entreprises.
Par Bénédicte Olivain, regional software sales manager chez Dell
Salariés des entreprises, fournisseurs et partenaires s’échangent régulièrement des fichiers qu’ils partagent et stockent dans des services de stockage cloud comme Box et Dropbox. Cette aide à la collaboration accroît la productivité, puisque chacun peut désormais travailler comme il l’entend via les terminaux de son choix. Mais de telles pratiques font que les services IT perdent finalement de vue l’utilisation qui est faite des fichiers de données internes et lesquels sont stockés dans le compte de service public de stockage et de partage de fichiers d’un salarié, ce qui soulève des interrogations quant à la sécurité et la conformité réglementaire.
Les salariés utilisent volontiers Dropbox et Google car ce sont des produits grand public très simples à utiliser, que l’on peut se procurer sans devoir faire une demande officielle d’une nouvelle infrastructure, ni justifier une dépense du budget, et que l’on installe quasi instantanément sur son terminal personnel sans même solliciter le service IT.
De nombreux salariés mobiles souhaitent pouvoir utiliser leurs terminaux portables pour lire et modifier des documents, examiner des demandes, partager du travail avec des collègues en toute sécurité et synchroniser les fichiers de plusieurs terminaux ; ils ne se contentent pas d’utiliser les services cloud comme des visionneuses des contenus stockés.
Pour toutes ces raisons, les salariés contournent fréquemment le VPN sécurisé de leur entreprise.
Aussi simples et pratiques qu’ils soient, les services de stockage en cloud public créent une faille importante pour la sécurité des données. Dès que des fichiers sont enregistrés dans un cloud public, l’IT perd immédiatement le contrôle de la sécurité des données, et ce de façon irrévocable. En effet, à partir de là, les utilisateurs peuvent librement partager les données avec qui que ce soit. Ils peuvent même continuer de communiquer l’information après avoir définitivement quitté l’entreprise, continuer de partager des données avec un ancien partenaire, et leur compte peut très bien être piraté. Dans ces scénarios trop fréquents, la sécurité des données ne tient qu’à l’espoir que les données resteront protégées. Le manque de sécurité est la problématique principale, à savoir la protection des données et la gestion des ID et des mots de passe. Les considérations de sécurité et de FSS [File Sync and Share] sont diamétralement opposées ; la sécurité a vocation à restreindre et contrôler les accès tandis que la technologie FSS donne accès à l’information.
Du point de vue d’une entreprise, les conditions de conformité supposent de connaître et de contrôler la position des données. Les responsables de l’infrastructure IT veulent que le système soit sûr et ultra disponible, avec des garanties de continuité de l’activité.
De nombreux services de partage de fichiers proposent des fonctions basiques de stockage, de synchronisation fixe et mobile, de contrôle de la sécurité et de gestion d’entreprise, au point qu’il est devenu difficile pour les administrateurs IT de décider quel produit sert le mieux les intérêts de leur entreprise.
Pour le moment, les données stockées dans les services de stockage cloud sont vulnérables aux risques de piratage de compte, au manque de contrôle des utilisateurs après la fin de leur contrat, au chiffrement SSL insuffisant ou laissé au bon vouloir du fournisseur.
Si de nombreux services grand public n’offrent pas exactement les caractéristiques attendues par les entreprises, beaucoup ont déjà investi dans des solutions de stockage déployées sur site et elles n’ont pas les moyens de migrer leurs serveurs de fichiers et leurs systèmes de gestion documentaire vers un service cloud.
Cette situation est devenue cauchemardesque pour les entreprises et professionnels IT qui envisagent d’adopter des services cloud. Les résultats d’une étude réalisée en 2014 par TechTarget Cloud Pulse (Tracking the cloud computing landscape in enterprise IT) montrent que 37 % des sondés qui ont préféré différer l’adoption du cloud par leur organisation déplorent une sécurité insuffisante de leur environnement.
Une solution cloud adaptée de protection des données des entreprises devrait permettre aux administrateurs IT de :
- Contrôler les partages de fichiers : création de listes blanches d’adresses e-mail que les utilisateurs sont autorisés à utiliser pour partager des fichiers ;
- Surveiller les pratiques d’usage : surveillance de toutes les adresses IP connues de services de stockage cloud et mise en correspondance avec le processus applicatif. Le monitoring opère indépendamment d’un navigateur et capture tout le trafic, quelle que soit l’application de stockage cloud utilisée ;
- Protéger : contrôle des données par chiffrement en totale transparence côté client, chiffrement du trafic capturé à destination du cloud et déchiffrement du trafic capturé en sortie du cloud ;
- Centraliser la gestion : administration centrale du chiffrement, des clés de chiffrement, de la restauration d’accès, des règles et des investigations ;
- Auditer les événements et produire des rapports : audit et reporting des activités liées aux fichiers, des fichiers synchronisés, des accès par qui, où et quand, et compilation des rapports de conformité ;
- Elargir le support aux terminaux mobiles : accès aux données chiffrées dans le cloud à partir des plateformes iOS et Android ;
- Appliquer les règles : application des règles d’accès aux services cloud, aux dossiers publics, aux applications, aux principales échéances et dates d’expiration et aux périodes de sondage. Pour les professionnels IT, il n’est pas difficile d’établir des règles d’autorisation de tels types d’utilisateurs à accéder à tels types de fichiers afin de prévenir le risque de perte de données. Et du point de vue des responsables de l’intégration, il peut être judicieux d’envisager l’intégration des utilisateurs du stockage cloud dans Active Directory (AD).
Pour éviter les pratiques de « Shadow IT », les entreprises doivent adopter des solutions capables de s’intégrer parfaitement aux services préexistants et qui n’obligent pas les utilisateurs à se soumettre à de longues formations ou à des méthodologies contraignantes. Bien sûr, il convient de sensibiliser les utilisateurs aux bonnes pratiques de sécurité des données. Mais des technologies de chiffrement transparent des fichiers à destination du cloud et de déchiffrement transparent en sortie du cloud sont incontestablement très utiles ! Les processus d’accès, de partage et de stockage de fichiers devraient pouvoir opérer en totale transparence aux yeux des utilisateurs de telle sorte qu’ils puissent continuer d’utiliser le stockage cloud comme ils l’ont toujours fait.
La protection des données dans le cloud devrait également pouvoir être administrée de façon centrale au moyen de solutions dédiées regroupées sur une console unique. De telles solutions confèrent une visibilité accrue aux équipes de sécurité sur les conditions d’accès, d’usage et d’application des règles, afin de soulager grandement leurs responsabilités de maintien de la conformité.