Est-il encore possible d’utiliser ses applications cloud, l’esprit tranquille ? 
Thierry Guenoun, Netskope

Heureusement, il suffit de quelques reflexes simples et des technologies adaptées pour permettre aux employés d’utiliser de façon sécurisées leurs applications Cloud préférées entre les murs de l’entreprise.

Les employés ont pris le pouvoir et sont de plus en plus nombreux à exploiter une application à titre personnel avant de l’utiliser pour consulter des données d’entreprise et les partager. Ce phénomène, le fameux Shadow IT, donne d’autant plus de fil à retordre aux entreprises qu’aujourd’hui, l’adoption des applications Cloud progresse à un rythme trop élevé pour que les politiques de sécurité mises en place par les DSI suivent. S’il n’est pas utile de céder à la panique, ce constat doit quand même amener les équipes informatiques à réfléchir à la protection des actifs numériques de l’entreprise.

Les organisations estiment généralement que 40 à 50 applications Cloud sont utilisées sur leur réseau interne, ce qui est très éloigné de la réalité. En moyenne, ce sont quelque 511 applications Cloud qui sont utilisées aujourd’hui au sein des entreprises européennes, chiffre qui atteint 730 au niveau mondial, et dans l90 % de ces applications ne sont pas conformes en matière de sécurité. Bien gérer ses applications implique d’avoir les outils de mesure nécessaires. La première étape consiste donc à conduire un audit complet de toutes les applications Cloud utilisées au sein de l’organisation, qu’elles soient approuvées ou non, y compris celles qui s’exécutent on-premise, à distance, sur PC ou sur terminaux mobiles.

Les technologies traditionnelles ne fournissent pas de données d’usage contextuelles pour les applications Cloud. Mais comprendre comment l’information est partagée via le Cloud est impératif pour préserver la sécurité de son environnement. Il convient donc d’évaluer qui dans l’organisation a partagé quelle information avec qui, à l’intérieur ou à l’extérieur. Disposer d’une visibilité sur les applications, les utilisateurs, les moments, les lieux et les activités va permettre d’assurer la sécurité des données sensibles.

Afin d’être en mesure d’identifier toute anomalie et de réagir rapidement, il est avant tout important d’être capable de distinguer une activité normale d’une activité qui ne l’est pas. Bien sûr, ce n’est pas évident et il est essentiel de procéder à des analyses en profondeur pour observer le comportement de chaque utilisateur. En plus de détecter les problèmes, cela aidera aussi à procéder à des enquêtes sur les comportements ayant conduit à des incidents ou à des failles.

La quantité de données sensibles confiées à des services Cloud est impressionnante. Aujourd’hui, si 88 % des applications ne sont pas conformes en matière de sécurité, c’est qu’il est probablement temps de mettre en place une politique de prévention des fuites de données (DLP, data loss prevention) pour les applications Cloud utilisées. Pour cela, il est nécessaire d’intégrer le contexte d’usage et de créer des profils DLP spécifiques aux réglementations en vigueur, tout en basant ces profils sur des standards de l’industrie.

Disposer d’un contrôle complet sur l’écosystème d’applications Cloud est essentiel pour en préserver la sécurité. La sécurité requière d’être continue pour être efficace. Il est donc important que les administrateurs IT définissent et fassent respecter des règles granulaires relatives aux activités et aux contenus en temps réel. Il convient donc de définir des règles une fois pour toutes et de s’assurer qu’elles sont appliquées pour chaque application et chaque catégorie.