Selon l'étude McAfee intitulée « Enterprise Supernova: The Data Dispersion Cloud Adoption and Risk Report », 79% des entreprises interrogés stockent des données sensibles sur un cloud public, ce qui représente 26% des fichiers.
Cette situation résulte notamment du Shadow IT, ces services utilisés sans accord préalable des DSI et RSSI. En moyenne, les répondants ont approuvé 41 services cloud différents en 2019, un taux en hausse de 33% par rapport à 2018. Cependant, beaucoup de services sont encore sans contrôle. Ainsi, plus de la moitié (52%) des entreprises s'appuient sur des services ayant déjà subi des fuites de données. Faire aveuglément confiance aux fournisseurs de cloud s'avère donc un pari risqué : 91% des services cloud étudiés ne chiffrent pas les données et 87% ne suppriment pas les données de leurs clients quand ceux-ci ferment leur compte. Par ailleurs, les 37% d'entreprises ayant mis en oeuvre des solutions de prévention des fuites de données (DLP) pour le cloud constatent en moyenne plus de 45 000 incidents par mois.
Collaboration et BYOD accroissent les risques
Parmi les risques associés à ces services cloud, l'usage de terminaux personnels (BYOD) représente une menace concrète : en effet, si 79% des organisations étudiées autorisent l'accès aux services cloud approuvés à partir de périphériques personnels, dans 25% des cas il s'agit de terminaux non gérés, ce qui empêche l'entreprise de contrôler ce qu'il advient des données téléchargées sur ces derniers.
Les fonctionnalités de collaboration, favorisant le partage de fichiers, sont également une source de risques. En effet, près de la moitié (49%) des fichiers hébergés sur un service cloud sont partagés, dont 12% contiennent des données sensibles. Plus gênant, un fichier partagé sur dix contenant de telles données utilise un lien public d'accès vers le fichier.
En termes de responsabilités, 93% des RSSI interrogés reconnaissent que sécuriser les données sur le cloud fait partie de leur rôle. Ils sont cependant 30% à manquer de profils qualifiés dans leurs équipes pour assurer la sécurité des services cloud, un taux en hausse de 33% par rapport à l'année précédente. Cette situation ne devrait pas s'améliorer à court terme, la pénurie de compétences en cybersécurité se heurtant à l'expansion rapide du cloud.
Commentaire