Comment faire face à l’évolution constante des menaces de sécurité dans le Cloud (Ctera)

David Darmon, VP ventes Europe, Ctera Networks

Lorsque l’on parle de partage de fichiers, les équipes IT doivent relever un sérieux défi. Il leur faut d’un côté répondre aux attentes du gouvernement d’entreprise qui souhaite protéger son activité et prévenir les cyber-attaques, et de l’autre, répondre à celles des utilisateurs qui désirent pouvoir travailler plus efficacement, grâce au partage et à la sauvegarde de leurs fichiers.

La meilleure solution pour résoudre ce dilemme est de trouver un terrain d’entente commun. C’est dans cette optique, que les entreprises doivent trouver le juste milieu entre sécurité IT et gouvernance d’une part, et les besoins des employés de l’autre. Pour garantir la protection des fichiers partagés ou stockés dans le Cloud, les entreprises doivent pouvoir offrir un chiffrement de bout en bout, conserver le contrôle de la résidence des données, gérer l’authentification des collaborateurs internes et externes et proposer une expérience utilisateur agréable.

Le premier élément essentiel a trait au chiffrement de bout en bout. Un chiffrement réussi doit s’exécuter sans latence afin de ne pas avoir d’impact négatif sur les performances.  L’entreprise doit également pouvoir rester propriétaire des clés de chiffrement. Bien que certaines entreprises ne voient aucune objection à ce qu’un fournisseur de services gère leurs clés de sécurité, leur évitant ainsi le stress de s’occuper de cette tâche, il existe des inconvénients à faire ce choix. Par exemple, un fournisseur tiers peut être contraint de transmettre des données à un gouvernement, compromettant ainsi la sécurité du document.

Existe-t-il une solution médiane pour éviter cette perte de contrôle ? La première option consiste à s’assurer que seul le propriétaire des clés de chiffrement puisse déchiffrer ces clés utilisées sur le service public. De cette manière, il contrôle non seulement le hardware, mais également les clés qui permettent de déchiffrer les données.

Ou encore une autre option consiste à conserver le hardware en interne. Cela signifie que les données et métadonnées sont conservées sur le site, ce qui a pour avantage d’être hyper sécurisé, et de rassurer les entreprises pour lesquelles la sécurité est une priorité absolue.

La solution choisie par une entreprise doit impérativement être poussée par ce qui correspond le mieux à ses besoins et à ses activités. Là où les entreprises d’une certaine taille souhaitent rester propriétaires des clés de chiffrement en raison de la flexibilité et de l’évolutivité que cela offre à leur activité, d’autres sont ravies de se délester de cette tâche, et de laisser ce soin à une tierce partie. La stratégie est avant tout déterminée par le niveau de contrôle requis et par la capacité d’adaptation des entreprises concernées.

Le deuxième élément a trait au contrôle total de la résidence des données – une nécessité absolue qu’aucune entreprise ne peut ignorer. Alors que la législation en la matière ne cesse d’évoluer, tant au niveau national que régional, la résidence des données est devenue encore plus critique.

Outre que cet aspect de la sécurité des données soit très important en Europe, et particulièrement auprès des 27 états membres de l’UE, la résidence des données est un facteur mondial. De nombreuses entreprises internationales visent à adopter une solution unique et standardisée, la conformité avec les règlementations internationales étant obligatoire pour les entreprises possédant des filiales dans différentes régions. Ainsi, une entreprise américaine ayant des bureaux à Londres et à Rome, devra se conformer à la législation britannique ainsi qu’aux lois de l’UE.

Et pour compliquer les choses encore davantage, différentes exigences et règlementations s’appliquent à différents types de données, pour déterminer le lieu où ces données peuvent être hébergées ainsi que l’approche à utiliser. Une entreprise peut ainsi, soit nécessiter une solution unique lui permettant d’être en conformité pour de multiples types de données, soit plus de deux solutions qui lui assureront la conformité.

Étant donné que l’évolution de ces règlementations est inévitable et régulière, il est grandement conseillé aux entreprises de rester propriétaires de leurs données et garder le contrôle de la résidence de leurs données. Avoir la flexibilité de s’adapter à des lois en constante évolution ne peut être que bénéfique pour une entreprise. Ces évolutions de la réglementation doivent être soigneusement prises en compte et intégrées aux stratégies de toute entreprise afin de lui donner une certaine souplesse au fil des changements législatifs.

Le troisième élément a trait à la mise en place de systèmes d’authentification pour les collaborateurs internes. Pour minimiser les risques de piratage des mots de passe, une première option consiste à utiliser l’authentification à deux facteurs.  En réutilisant le même mot de passe ou de légères variations de celui-ci, les utilisateurs s’exposent au piratage et aux brèches de sécurité. Pour éviter ce scénario, des mots de passe à deux facteurs ou multi-facteurs doivent être utilisés.

Le quatrième élément a trait à l’authentification des collaborateurs externes. Il existe des risques inhérents à ce type d’authentification. Inévitablement, le partage de données avec des partenaires externes, des fournisseurs et des clients, est critique au bon fonctionnement et à la réussite d’une entreprise. Le département IT doit jouer un rôle majeur dans le contrôle de ce qui est partagé, avec qui et de quelle façon. Les équipes IT doivent impérativement savoir depuis combien de temps les données sont partagées, pouvoir contrôler les permissions de partage afin de les arrêter si nécessaire. Il existe de nombreux exemples de la façon dont le partage et l’accès aux fichiers peuvent présenter des risques pour la sécurité. L’un de ces exemples porte sur les participants à un webinaire qui ont eu un accès continu au dossier partagé d’une entreprise pendant plus de cinq ans. Durant cette période, l’entreprise a changé de propriétaire mais l’accès aux informations partagées est resté en place.

La raison pour laquelle cet élément revêt une grande importance réside dans le risque de perte de propriété intellectuelle au profit d’une tierce partie.  En travaillant avec des tiers sur différents projets, le partage de données est plus que fréquent. Des garde-fous doivent être mis en place afin que tous les intervenants sachent qui a le droit d’accéder à un fichier ou de partager des informations spécifiques, et quels sont les termes et conditions régissant cet accès. L’IT doit mettre à disposition les outils adéquats pour permettre aux personnes concernées de gérer les permissions. L’équipe de sécurité doit avoir connaissance de toutes les données partagées, quel que soit leur point d’origine.

Lorsqu’il existe une collaboration avec les utilisateurs d’une entreprise externe, il est bon de savoir que les risques sont dans une certaine mesure maîtrisés, car les données restent dans le périmètre de l’entreprise. Néanmoins, dans bien des cas, les équipes IT doivent se conformer aux exigences de collaborateurs externes pour les projets sous-traités et travailler avec des entrepreneurs indépendants, des designers et beaucoup d’autres.

Le principal défi pour l’équipe IT est de préserver la confidentialité et l’intégrité des données hors de son contrôle. Pour y parvenir, les entreprises doivent mettre en place des politiques rigoureuses d’authentification des collaborateurs, et avoir une vue d’ensemble complète des permissions accordées.

Le dernier élément à prendre en compte a trait aux services de partage de fichiers conviviaux qui impliquent des risques pour les données confidentielles et sensibles d’une entreprise. L’augmentation de la collaboration entre employés et les changements comportementaux de ceux-ci peuvent avoir un impact significatif sur l’activité d’une entreprise. Le partage de fichiers sécurisés et contrôlés par l’entreprise doit être attrayant pour les utilisateurs afin qu’ils puissent aisément renoncer aux méthodes de partage de fichiers qu’ils utilisent habituellement et qui sont porteurs de risques réels pour l’entreprise.

Les utilisateurs d’entreprise ont la possibilité de recourir à des services de partage de fichiers pratiques tels que Google Drive et Dropbox.  Ces outils leur permettent d’accéder aux fichiers à n’importe quel moment, via n’importe quel appareil et depuis n’importe quel endroit, et d’y apporter des modifications en temps réel. Le défi pour les entreprises consiste à mettre en place des outils et des politiques de synchronisation des fichiers d’entreprise avant que les utilisateurs ne commencent à utiliser des solutions non autorisées.  Mais ce n’est là qu’une partie de la solution. Les entreprises doivent également garder à l’esprit que s’occuper uniquement de l’aspect lié au partage des fichiers sans prendre en compte le défi posé par les fichiers de données dans leur ensemble ne fera que créer des problèmes à long terme. Ce qu’il faut, c’est une solution capable de créer un environnement de travail collaboratif entièrement sécurisé.

Veiller à ce que l’expérience utilisateur du service soit aussi agréable que celle de Google Drive, par exemple, est crucial. Si ce n’est pas le cas, les utilisateurs ne voudront tout simplement pas l’utiliser.  Les utilisateurs ont certaines attentes vis-à-vis d’un service de partage de fichiers, et les entreprises doivent pouvoir y répondre pour encourager les utilisateurs à migrer vers des plateformes plus sécurisées.

Lorsqu’il s’agit de mettre en œuvre une stratégie de partage de fichiers associée à une approche à bureau virtuel, il faut impérativement que l’expérience utilisateur soit supérieure à celle d’un ordinateur portable pour qu’elle puisse réussir. Pour le partage des fichiers, la stratégie doit intégrer ce que les utilisateurs considèrent comme la norme. L’une des façons d’y parvenir est de proposer davantage de capacités.

Une technique efficace consiste à offrir un mode de partage des fichiers plus rapide, avec protection et sauvegarde des données, tout en autorisant les fonctions bureau distant et NAS de filiale. Vous atteindrez ainsi un double objectif : créer un environnement sécurisé pour l’entreprise et proposer une expérience utilisateur de haute qualité.

Tous ces points sont importants, quand il s’agit de garantir un partage de fichiers sécurisés à l’échelle d’une entreprise. Les techniques définies permettent au département IT de faire son travail efficacement et assurent la continuité des activités de l’entreprise.

Haut