Durant les douze derniers mois, selon nos recherches, près d’un tiers (28 %) des téléchargements de malwares sur le cloud provenaient de Microsoft OneDrive. Pourtant, de nombreux professionnels de la cybersécurité traitent Microsoft 365 comme une exception dans leur sécurité cloud car il s’agit d’une application managée. Cette démarche peut sembler raisonnable du fait des références de l’éditeur en matière de sécurité et de chiffrement. Et cela permet aussi de libérer du temps aux équipes de sécurité car d’autres applications cloud, non-managées, utilisées en tant que shadow IT demeurent chronophages. Or, la protection des données sur chaque application, même les plus reconnues, est essentielle pour que les cybercriminels n’aient aucune porte d’entrée disponible sur les réseaux de l’organisation.
Ce n’est donc pas parce que des applications émanent de fournisseurs de confiance qu’elles doivent être une exception de sécurité, surtout lorsqu’elles représentent une part significative du trafic de l’organisation.
L’exception dans la sécurité
Les exceptions existeront toujours, mais elles devraient être accordées en fonction de leur impact sur la vie privée, plutôt que sur la confiance qui est accordée aux fournisseurs. À titre d’exemple, si l’accès à des applications bancaires personnelles à partir d’appareils professionnels infogérés est autorisé, les pratiques en matière de protection de la vie privée doivent déterminer qu’il n’est pas opportun de déchiffrer ces données pour satisfaire pleinement les politiques de sécurité. Dans ce cas, la recommandation pourrait être simplement de bloquer l’utilisation de ces applications personnelles sensibles et de faire savoir aux employés que, pour des raisons de confidentialité, l’organisation leur recommande d’utiliser un appareil personnel pour protéger leurs données contre le déchiffrement et la surveillance de l’entreprise.
Une autre raison pour laquelle les individus ont tendance à créer des exceptions est la difficulté technique à faire passer le trafic par le processus de déchiffrement/chiffrement. En fait, ces problèmes tendent à se présenter plus souvent dans les applications cloud de niveau 3, soit provenant de fournisseurs moins connus ou lorsque les fournisseurs ont créé un plug-in ou un add-on sans tenir compte du contexte d’utilisation de l’entreprise. Or, ces points constituent une raison supplémentaire d’appliquer une sécurité rigoureuse, et ne justifient pas le contournement des contrôles.
La gestion des exceptions, maintien ou suivi ?
Au début d’une collaboration avec de nouveaux clients, il est important de ne pas migrer les exceptions de sécurité existantes. Cependant, la tenue d’un registre est une idée judicieuse, qui nécessite d’en justifier les raisons et d’obtenir l’approbation d’un responsable de la sécurité. Ce membre de l’équipe dirigeante peut également demander une évaluation du pourcentage de trafic de données sur lequel l’exception aura un impact, dans le but d’éclairer sa décision. Souvent, lorsque les organisations passent en revue leurs exceptions historiques, personne ne se rappelle pourquoi, à l’époque, le contournement d’une application particulière a été autorisé dans le processus.
En fin de compte, la gestion des exceptions demande du temps et des ressources, et elle crée des failles dans le dispositif de sécurité de l’organisation. Les cybercriminels ont conscience qu’ils sont susceptibles de trouver des portes laissées ouvertes à la suite de décisions de confiance injustifiées dans les grandes applications réputées fiables. Pourtant, il est crucial de ne pas leur faciliter la tâche, en ne laissant pas les exceptions devenir la règle dans l’infrastructure de sécurité de l’organisation.
___________________
Par Neil Thacker, RSSI EMEA chez Netskope
puis