Dans la dernière édition de son rapport sur les menaces cloud, qui analyse des données clients anonymisées collectées entre janvier et juin 2021, l'éditeur Netskope souligne la proportion écrasante de shadow IT dans les applications et services cloud utilisés : au total, 97% des applications et services cloud utilisés par les entreprises ne sont ni approuvés, ni pris en charge, ni sécurisés par les équipes informatiques. Le rapport pointe également une hausse marquée du volume d'applications cloud dans les organisations de taille intermédiaire (entre 500 et 2000 salariés), dont le nombre a grimpé de 22% par rapport à l'édition précédente, pour atteindre le nombre de 805.
Sans surprise, la sécurité en pâtit toujours plus. La part des logiciels malveillants diffusés par les applications cloud est ainsi passée à 68%, contre 61% un an plus tôt. Les applications les plus problématiques sont les services de stockage, qui représentent 67% des vecteurs d'infection, l'autre grand canal étant les documents Office (43%). Le rapport pointe un autre problème, celui de la gestion des accès sur les applications cloud autorisées et IaaS. L'analyse des données montre que plus d'un tiers (35 %) de toutes les tâches au sein d'AWS, d'Azure et de Google Cloud Platform ne sont pas en accès restreint, exposant les entreprises aux cyberattaques. L'étude soulève aussi un risque spécifique aux organisations utilisant Google Workspace : 97% des utilisateurs du service se servent de leurs identifiants pour accéder à des applications tierces, ces dernières pouvant alors en retour obtenir un certain nombre d'autorisations - dont l'accès aux fichiers Google Drive - si les utilisateurs n'y prennent pas garde. Enfin, le rapport met en évidence les tentatives d'exfiltration de données émanant d'employés sur le point de quitter leur poste : les collaborateurs qui partent téléchargent trois fois plus de données sur des outils personnels au cours de leur dernier mois, et 15 % de ces données proviennent d'une instance d'entreprise ou violent directement une politique de données d'entreprise.
Commentaire