Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Ponemon Institute pour le compte de SafeNet : les départements informatiques sont en train de perdre la bataille de la sécurité sur le Cloud

décembre 2014 par Ponemon Institute pour le compte de SafeNet

La majorité des départements informatiques (DSI) ne sont guère au fait des techniques de protection des données corporate en environnement Cloud, ce qui met en péril les informations confidentielles et sensibles de leur entreprise. C’est l’une des conclusions de la récente étude réalisée par le Ponemon Institute pour le compte de SafeNet, Inc., un des leaders mondiaux de la protection des données. Dans le cadre de cette étude publiée sous le titre « The Challenges of Cloud Information Governance : A Global Data Security Study », le Ponemon Institute a interrogé plus de 1 800 professionnels de la sécurité informatique à travers le monde.

Entre autres conclusions, cette étude indique que si les entreprises font de plus en plus appel aux ressources de Cloud computing, les employés des départements informatiques éprouvent des difficultés à maîtriser l’administration et la sécurité des données sur le nuage informatique. Ainsi, seulement 38 % des entreprises ont clairement défini les rôles et les responsabilités associés à la protection des informations confidentielles ou sensibles sur le Cloud. Pour ajouter à la confusion, 44 % des données corporate stockées sur le Cloud ne sont pas administrées ou contrôlées par la DSI. Et pour plus des deux tiers des personnes interrogées (71 %), il est plus difficile de protéger les données sensibles sur le Cloud en utilisant les techniques de sécurité classiques.

« Les conclusions de cette enquête révèlent que les entreprises du monde entier éprouvent des difficultés à sécuriser les données sur le Cloud, faute de pratiques en matière de gouvernance et de sécurité critique », a déclaré Larry Ponemon, président et fondateur de l’Institut Ponemon. « Pour créer un environnement de Cloud davantage sécurisé, les entreprises peuvent commencer par prendre des mesures simples, en intégrant par exemple la sécurité informatique dans l’établissement des règles et des procédures de sécurité ; en augmentant la visibilité quant à l’utilisation des applications, plateformes et infrastructures de Cloud ; et en protégeant les données au moyen d’outils de chiffrement et de contrôles d’accès plus stricts, tels que l’authentification multi-facteurs ».

Principales conclusions

De même que la popularité du Cloud, les risques liés aux données sensibles sont de plus en plus importants.

Près des trois quarts (71 %) des professionnels de l’informatique ont confirmé que le Cloud computing revêt une très grande importance aujourd’hui ; et plus des trois quarts (78 %) pensent que ce sera le cas au cours des deux prochaines années. Les personnes interrogées estiment également que 33 % des besoins de leur entreprise en matière d’informatique et de traitement de données sont actuellement satisfaits grâce au Cloud ; pour 41 % en moyenne, ce sera le cas d’ici à deux ans.

Cependant, la majorité des personnes interrogées (70 %) s’accordent sur le fait qu’il est plus complexe de gérer les réglementations de confidentialité et de protection des données dans un environnement de Cloud, et conviennent également que les données professionnelles stockées sur le Cloud (emails, par exemple), et les informations grand public, relatives aux clients et concernant les paiements sont exposées aux risques les plus élevés.

Sécurité sur le Cloud, informatique fantôme et nécessité d’une responsabilisation accrue

En moyenne, la moitié des services Cloud est déployée par des départements autres que la DSI, et en moyenne, 44 % des données d’entreprise stockées en environnement Cloud ne sont ni administrées ni contrôlées par le département informatique. Résultat, seulement 19 % des personnes interrogées sont convaincues de connaître l’ensemble des applications, plateformes ou services d’infrastructure Cloud computing actuellement déployées dans leur entreprise.

Outre cette absence de contrôle relatif à l’origine des services Cloud, les avis concernant la responsabilité de la sécurité des données sur le Cloud sont partagés. 35 % des personnes interrogées déclarent que cette responsabilité incombe à la fois aux utilisateurs du Cloud et au fournisseur de services Cloud ; 33 % aux utilisateurs ; et 32 % aux fournisseurs de services Cloud.

Chiffrement des données et authentification multi-facteurs : de solides alternatives aux méthodes de sécurité conventionnelles

Pour plus des deux tiers (71 %) des personnes interrogées, il est plus difficile de protéger les données sensibles en environnement de Cloud en utilisant les outils de sécurité traditionnels, et près de la moitié (48 %) jugent qu’il est plus difficile de contrôler ou de limiter l’accès des utilisateurs aux données qui y sont stockées. Résultat, plus d’un tiers (34 %) des professionnels de l’informatique interrogés déclarent que leur entreprise a déjà déployé une politique exigeant l’utilisation de techniques de sécurité telles que le chiffrement pour accéder à certaines ressources de Cloud computing. Pour 71 % des personnes interrogées, il est important de pouvoir crypter ou « tokenizer » les données sensibles ou confidentielles, tandis que 79 % estiment que ces méthodes seront plus importantes au cours des deux prochaines années.

En ce qui concerne les mesures effectivement prises par les entreprises pour sécuriser leurs données sur le Cloud, 43 % des personnes interrogées indiquent que leur entreprise utilise un réseau de données privé. Près des deux cinquièmes des personnes interrogées (39 %) affirment que leur entreprise fait appel à des méthodes de chiffrement, de tokenization et autres outils de chiffrement pour protéger les données sur le Cloud. 33 % déclarent ne pas savoir quelles solutions de sécurité sont utilisées, et 29 % qu’elles utilisent les services de sécurité premium mis à leur disposition par leur fournisseur de services Cloud.

Les personnes interrogées ont également noté que la gestion de leurs clés de chiffrement est importante pour sécuriser les données sur le Cloud, compte tenu du nombre croissant de plateformes de chiffrement et de gestion des clés que leur entreprise utilise. Si 54 % des personnes interrogées déclarent que leur entreprise contrôle les clés de chiffrement lorsque les données sont stockées sur le Cloud, 45 % précisent que les clés de chiffrement sont stockées dans le même environnement logiciel que leurs données — 27 % déclarant stocker leurs clés dans des environnements davantage sécurisés, tels que les périphériques matériels.

En ce qui concerne l’accès aux données sur le Cloud, 68 % des personnes interrogées ont également déclaré que la gestion de l’identité des utilisateurs est plus complexe en environnement Cloud, et 62 % que des tiers accèdent au Cloud de leur entreprise. Près de la moitié (46 %) indiquent que leur entreprise utilise l’authentification multi-facteurs pour sécuriser l’accès de tiers aux données stockées sur le Cloud. Un pourcentage similaire (48 %) précise que leur entreprise utilise l’authentification multi-facteurs pour permettre à leurs employés d’accéder au Cloud.

« Si le Cloud a révolutionné la façon dont les services et applications informatiques sont distribués, un grand nombre de DSI ont du mal à faire face à la demande que suscitent ces services, ainsi qu’aux implications pour la sécurité lorsque des données critiques sont stockées dans le Cloud », a déclaré Tsion Gonen, Directeur de la stratégie de SafeNet. « Et comme nous l’avons vu en 2014 avec les nombreuses failles de données qui ont fait la une de l’actualité, les entreprises sont attaquées fréquemment et sous des angles différents. Pour minimiser les risques, elles doivent concentrer leurs efforts sur la coordination et le déploiement de nouvelles approches pour sécuriser les données sur le Cloud, et les DSI doivent être au cœur de cette migration ».

Recommandations clés pour la sécurité des données en environnement Cloud

· Le rôle des services informatiques est en train de changer : ils doivent s’adapter aux nouvelles réalités du Cloud en formant les employés aux aspects liés à la sécurité, en mettant en place des règles globales de gouvernance des données et de conformité, en définissant des instructions concernant l’approvisionnement en services de Cloud, et en établissant des règles relatives aux données qui peuvent — ou non — être stockées sur le Cloud.

· Les DSI peuvent remplir leur mission de protection des données corporate tout en validant le concept d’informatique fantôme (Shadow IT), en mettant en œuvre des mesures de sécurité des données telles que le « Chiffrement en tant que Service », ce qui leur permettra de gérer la protection des données sur le Cloud selon une approche centralisée, tandis que les départements internes pourront diffuser des services basés sur le Cloud en fonction de leurs besoins.

· Alors que les entreprises stockent de plus en plus de données sur le nuage informatique et utilisent de plus en plus de services basés sur le Cloud pour leurs employés, les DSI doivent mettre davantage l’accent sur le renforcement du contrôle d’accès des utilisateurs avec authentification multi-facteurs. C’est encore plus important pour les entreprises qui autorisent des tiers et des fournisseurs à accéder à leurs données en environnements de Cloud. Des solutions d’authentification multi-facteurs peuvent être gérées de manière centralisée afin de mieux sécuriser l’accès à toutes les applications et données, que ce soit sur le Cloud ou sur site.


Voir les articles précédents

    

Voir les articles suivants