rapport sur l'adoption du cloud et les risques associés€¦ · 18 perception contre...

RAPPORT

Rapport sur l'adoption du cloud et les risques associés2019

RAPPORT

2 Rapport sur l'adoption du cloud et les risques associés

L'analyse de milliards d'événements de cloud anonymisés, étudiés dans un large éventail d'entreprises*, nous a permis de dresser l'état des lieux de l'utilisation réelle du cloud et d'identifier où se situe le risque. Songez que près d'un quart des données dans le cloud sont sensibles, et que le partage des données sensibles dans le cloud a augmenté de 53 % d'une année sur l'autre. Si nous ne contrôlons pas correctement l'accès à nos données et si nous ne les protégeons pas efficacement contre les menaces, nous mettons nos entreprises en danger.

Les fournisseurs IaaS/PaaS tels que AWS améliorent la productivité de nos développeurs et rendent nos organisations remarquablement agiles. Cependant, les organisations possèdent à tout moment en moyenne au moins 14 instances IaaS mal configurées en cours d'exécution, ce qui génère tous les mois environ 2 269 incidents liés aux problèmes de mauvaise configuration. En particulier, 5,5 % de tous les compartiments S3 AWS utilisés sont mal configurés, à savoir qu'ils sont lisibles par tout le monde.

Rapport sur l'adoption du cloud et les risques associés

Résumé Les services de cloud permettent d'accélérer les activités de l'entreprise grâce à leur capacité à évoluer rapidement, à favoriser l'agilité dans la gestion des ressources et à offrir de nouvelles perspectives de collaboration. Cela étant, dans le cadre de cette large adoption du cloud, nous devons veiller à ne pas négliger un élément essentiel : nos données. Lorsque nous utilisons un logiciel en mode SaaS (Software-as-a-Service), nous sommes responsables de la sécurité de nos données et nous devons nous assurer que celles-ci sont accessibles de manière appropriée. Dans le cas des services IaaS (Infrastructure-as-a-Service) ou PaaS (Platform-as-a-Service), nous sommes en outre responsables de la sécurité de nos charges de travail et nous devons nous assurer que les composants d'application et d'infrastructure sous-jacents sont correctement configurés.

Gardez le contact

2019

*Bon nombre des données que nous citons dans ce rapport sont déterminées par la politique d'entreprise. À titre d'exemple, les classifications en « données sensibles » sont établies par les organisations de notre étude et non par McAfee. Notre visibilité se limite aux résultats de cette politique d'entreprise et non aux données réelles.

https://securingtomorrow.mcafee.com/

https://twitter.com/mcafee_business

https://www.linkedin.com/company/mcafee/

http://www.facebook.com/mcafee

http://www.youtube.com/mcafee

http://www.slideshare.net/mcafee


RAPPORT

Par conséquent, il est à craindre que le risque de fuite de données immédiate et à grande échelle ira croissant. Nous devons maîtriser nos bases si nous ne voulons pas être pris de court et manquer l'occasion d'accélérer l'activité des entreprises.

La majorité des menaces qui pèsent sur les données dans le cloud résultent de comptes compromis et de menaces internes. 80 % des entreprises rencontreront au moins une menace de type compte compromis dans le cloud ce mois-ci. 92 % déplorent actuellement des vols d'identifiants, lesquels sont revendus sur le Dark Web.

Fort heureusement, le cloud présente plus d'opportunités que de menaces. L'utilisation du cloud s'avère très intensive. En effet, la plupart des entreprises utilisent environ 1 935 services de cloud, ce qui représente une hausse de 15 % par rapport à l'année précédente. Malheureusement, la plupart de ces entreprises estiment n'en utiliser qu'une trentaine.

Principales observations ■ 21 % de tous les fichiers dans le cloud contiennent des

données sensibles, ce qui représente une hausse de 17 % sur les deux dernières années.

■ Le nombre de fichiers contenant des données sensibles partagées dans le cloud a augmenté de 53 % par rapport à l'année précédente.

■ Le partage de données sensibles via un lien accessible publiquement a augmenté de 23 % au cours des deux dernières années.

■ 94 % de l'utilisation de services IaaS/PaaS se fait dans AWS, mais 78 % des organisations qui y recourent emploient à la fois AWC et Azure.

■ Les entreprises possèdent à tout moment en moyenne 14 instances IaaS/PaaS mal configurées en cours d'exécution, ce qui génère environ 2 269 incidents de type mauvaise configuration par mois.

■ 5,5 % des compartiments S3 AWS sont dotés d'autorisations d'accès en lecture sans restriction ; ils sont donc accessibles à tous.

■ Une entreprise lambda génère plus de 3,2 milliards d'événements par mois dans le cloud, dont 3 217 sont anormaux et 31,3 constituent des menaces réelles.

■ Les menaces dans le cloud, c'est-à-dire les comptes compromis, les utilisateurs avec privilèges ou les menaces internes, ont augmenté de 27,7 % par rapport à l'année précédente.

■ 80 % de toutes les organisations sont confrontées à au moins une menace de compte compromis par mois.

■ 92 % de toutes les organisations déplorent des vols d'identifiants, lesquels sont revendus sur le Dark Web.

■ Les menaces dans Office 365 ont augmenté de 63 % au cours des deux dernières années.

■ Une organisation lambda utilise 1 935 services de cloud uniques, ce qui représente une augmentation de 15 % par rapport à l'année dernière. La plupart des organisations pensent en utiliser une trentaine.

RAPPORT


Sommaire

5 Analyse des sources de risques pour les données dans le cloud

7 La collaboration dans le cloud, un danger autant qu'une bénédiction

9 Votre IaaS est probablement mal configuré, revenez aux fondamentaux

11 Menaces internes et externes12 Comptes compromis12 Menaces internes12 Utilisateurs avec privilèges 12 Menaces dans le cloud : modèle

de l'entonnoir13 Tendances de l'utilisation du cloud14 Nombre moyen de services15 Les contrôles de sécurité natifs

varient d'un fournisseur à l'autre16 Les services de cloud les plus

représentés

16 Les dix principaux services de cloud en entreprise

17 Les dix principaux services de collaboration et de partage de fichiers

17 Les dix principaux services de cloud grand public

18 Les dix principaux services de réseaux sociaux

18 Perception contre réalité : nombre total des services de cloud

19 Perception contre réalité : une confiance excessive accordée aux services de cloud sur le plan de la sécurité des données

19 Recommandations et perspectives20 Méthodologie20 Obtenez un audit personnalisé de

votre utilisation du cloud


RAPPORT

Analyse des sources de risques pour les données dans le cloudL'utilisation des services de cloud est omniprésente. Nous avons observé cet essor au cours des dix dernières années, au point que bon nombre de nos organisations ne pourraient plus fonctionner aujourd'hui sans le cloud. Dans le contexte de cette croissance, il est essentiel de comprendre que les données, et surtout les données sensibles, résident désormais dans le cloud et doivent, à ce titre, être protégées. Dans notre dernière étude menée sur l'adoption du cloud à la mi-2018, nous constations que 83 % des organisations dans le monde entier stockent des données sensibles dans le cloud1. Et si le nombre absolu de fichiers dans le cloud a augmenté rapidement, le pourcentage de fichiers contenant des données sensibles a également augmenté, pour atteindre aujourd'hui 21 % — une augmentation de 17 % au cours des deux dernières années.

Ainsi, non seulement la plupart des organisations font confiance à leurs fournisseurs de services de cloud public pour stocker leurs données sensibles, mais près d'un quart de l'ensemble des données dans le cloud sont supposées bénéficier d'une protection rigoureuse.

Entrons dans le détail et considérons les catégories de données sensibles ci-dessous :

27 % Données

confidentielles

20 %Données e-mail

17 %Données protégéespar mot de passe

16 %Données

à caractèrepersonnel

12 %Données de

paiement

9 %Données

médicales

Figure 1. Types de données sensibles dans le cloud.

Comme on pouvait s'y attendre, la catégorie des « données confidentielles » occupe la plus grande part de toutes les données sensibles dans le cloud, soit 27 %. Plus intéressant : l'augmentation de la confiance. Ainsi, la quantité totale de données confidentielles stockées dans le cloud a augmenté de 28 % au cours des deux dernières années. Au cours de cette période, nous avons observé des services tels que Box et Microsoft Office 365 gagner en popularité, entraînant avec eux le transfert des données d'entreprise vers le cloud.

de tous les fichiers dans le cloud contiennent des données sensibles.

21 %


RAPPORT

Pour

cent

age

des

donn

ées

tota

les

dans

le c

loud

3,00 %

3,50 %

4,00 %

4,50 %

5,00 %

5,50 %

6,00 %

2016 2017 2018

4,4 %

5,6 % 5,64 %

Figure 2. Données confidentielles dans le cloud – pourcentage du total des données dans le cloud.

Plus précisément, avec la popularité grandissante d'Office 365, nous constatons une augmentation encore plus importante des données sensibles transmises par messagerie électronique dans le cloud, principalement par Exchange Online. Aujourd'hui, 20 % de toutes les données sensibles dans le cloud transitent par des services e-mail tels qu'Exchange Online dans Office 365, et ce volume a augmenté de 59 % au cours des deux dernières années. La messagerie électronique reste l'un des vecteurs les plus évidents de fuite de données. De plus, sa migration vers le cloud supprime la visibilité pour les équipes informatiques qui pouvaient autrefois surveiller le trafic SMTP sur leurs propres serveurs. Nous verrons quelques autres tendances liées au flux des données par e-mail dans la prochaine section. Pour l'heure, la croissance et la perte de visibilité consécutive à celle-ci demeurent des facteurs importants en tant que tels.

Pour

cent

age

des

donn

ées

tota

les

dans

le c

loud

2,00 %

2,50 %

3,00 %

3,50 %

4,00 %

4,50 %

5,00 %

2016 2017 2018

2,7 %

4,1 % 4,3 %

Figure 3. Données e-mail sensibles dans le cloud - pourcentage du total des données dans le cloud.

Examinons les autres types de données sensibles que nous avons relevés :

Figure 4. Types de données sensibles dans le cloud – pourcentage du total des données dans le cloud.

Pour

cent

age

des

donn

ées

tota

les

dans

le c

loud

1,00 %

2,00 %

3,00 %

3,50 %

5,50 %

6,00 %

1,50 %

2,50 %

4,00 %

4,50 %

5,00 %

Donnéesconfidentielles

Donnéese-mail

Données protégées parmot de passe

Donnéesà caractèrepersonnel

Donnéesde paiement

Donnéesmédicales

2016 2017 2018


RAPPORT

Premier enseignement que nous tirons des autres types de données : une baisse notable de 20 % par an des données à caractère personnel dans le cloud, qui pourrait résulter de plusieurs tendances. D'une part, l'utilisation du cloud dans les environnements d'entreprise est de plus en plus consacrée aux activités métier, par opposition à l'utilisation personnelle. En effet, de nombreux services de cloud, tels que Dropbox, ont émergé en tant que services pour particuliers et sont rapidement passés au rang d'outils professionnels lorsque leur utilité est devenue évidente en entreprise. La vigilance de l'utilisateur final qui, par souci de sécurité, évite d'envoyer des données à caractère personnel dans le cloud pourrait également contribuer à justifier ce renversement de tendance. Nous devrions peut-être accorder à nos utilisateurs finaux le bénéfice du doute sur ce point.

Ensuite, nous constatons une augmentation graduelle des données médicales et des données protégées par mot de passe, à hauteur de 16 % et 13 % respectivement au cours des deux dernières années. Bien que les données médicales ne représentent que 9 % de toutes les données sensibles dans le cloud, il est encourageant de voir la confiance augmenter dans ce secteur strictement réglementé. Enfin, les données de paiement restent stables à environ 12 % de l'ensemble des données sensibles dans le cloud, sur une base annuelle.

Nous retenons en particulier de cette analyse l'accroissement de la confiance à l'égard du stockage dans le cloud de grandes catégories d'informations de

nature délicate. À mesure que la proportion des données confiées aux serveurs qui nous appartiennent se réduit, en faveur de services que nous ne faisons qu'utiliser, le risque potentiel évolue lui aussi. Il est indispensable de savoir quelles données exactement nous transférons vers le cloud, pour les protéger efficacement en ayant ce facteur de risque à l'esprit.

La collaboration dans le cloud, un danger autant qu'une bénédictionNos données résident dans le cloud et, comme nous l'avons appris, près d'un quart d'entre elles doivent être protégées afin de limiter les risques encourus. Cependant, le risque d'exposition est à la mesure de l'un des principes clés de nombreux services de cloud : la collaboration. L'utilisation de services de stockage dans le cloud, comme Box, ou de suites de productivité telles qu'Office 365 permet d'augmenter la fluidité de la collaboration. Mais à l'évidence, collaboration signifie partage, et ce partage précisément peut entraîner la fuite de données sensibles.

Si l'on considère l'utilisation globale du cloud aujourd'hui, on constate que 22 % de ses utilisateurs partagent activement des fichiers dans le cloud et que 48 % de tous les fichiers dans le cloud finissent par être partagés. Les deux tendances sont à la hausse. Le nombre d'utilisateurs qui partagent activement dans le cloud a augmenté de 33 % au cours des deux dernières années, et le nombre total de fichiers partagés a également augmenté de 12 % au cours de la même période.


RAPPORT

Figure 5. Pourcentage d'utilisateurs du cloud qui partagent des fichiers.

Figure 6. Pourcentage de fichiers partagés dans le cloud.

Si les 48 % de fichiers partagés se limitaient à des invitations à des soirées et à des photos de chatons, la gestion des risques associés au cloud nous poserait infiniment moins de problèmes.

Il est deux domaines sur lesquels il convient d'attirer l'attention : les types de données qui sont partagées et leur destination. Commençons par le deuxième point, la destination des données :

Figure 7. Destinations des partages de fichiers dans le cloud.

Deux catégories doivent immédiatement déclencher un signal d'alarme : les adresses e-mail personnelles et toute personne utilisant un lien hypertexte. Quiconque utilise un compte cloud d'entreprise et envoie des données à une adresse e-mail personnelle soustrait invariablement ces données à la surveillance de l'équipe de sécurité des informations. Pire encore, lorsque des données sont partagées au moyen d'un lien hypertexte sans restrictions d'accès, la propagation de ces données à des personnes ou organisations inconnues devient tout à fait incontrôlable. Lorsque, dans un service tel que Box ou OneDrive, vous rendez un fichier accessible « à toute personne disposant d'un lien », c'est comme si vous établissiez un service d'hébergement web ouvert au monde entier, puisque n'importe qui peut cliquer sur ce lien et obtenir les données.

62 % Partenaires commerciaux

14 % Adresses

e-mailpersonnelles

12 % Autres

12 % Toute personne

disposant d’un lien

16 %

17 %

18 %

21 %

19 %

20 %

2016

23 %

22 %

2017 2018

16,76 %

18,45 %

22,3 %

40 %

41 %

42 %

46 %

43 %

45 %

2016

48 %

47 %

2017 2018

44 %

49 %

43,1 %

46,6 %

48,3 %


RAPPORT

Certes, la nature et l'importance du risque résident dans le contenu de ce qui est partagé et dans la destination du partage. À l'heure actuelle, 8 % de tous les fichiers partagés dans le cloud contiennent des données sensibles. Au cours des deux dernières années, le partage sous forme de liens de fichiers contenant des données sensibles a augmenté de 23 %. Les fichiers envoyés à une adresse e-mail personnelle ont augmenté de 12 %, et ceux partagés avec des partenaires commerciaux de 10 %. Il est essentiel de comprendre et de contrôler la manière dont les données sensibles sont partagées, pour à la fois réduire les risques et continuer de favoriser l'accélération des activités grâce à l'utilisation du cloud.

Votre IaaS est probablement mal configuré, revenez aux fondamentauxLes données ne résident pas uniquement dans les applications SaaS comme Salesforce ou Office 365. Amazon Web Services (AWS) a mené tambour battant la transformation de l'infrastructure basée sur les serveurs et les centres de données en services basés sur le cloud. Ceux-ci se déclinent en deux modes de fonctionnement : IaaS (Infrastructure-as-a-Service) et PaaS (Platform-as-a-Service, c.-à-d. une plate-forme informatique sans serveur, à l'instar d'AWS Lambda). Aujourd'hui, 65 % des organisations dans le monde utilisent une forme ou une autre de services IaaS ; elles sont 52 % pour ce qui est des PaaS1.

Les avantages sont indéniables. Les serveurs coûtent cher à l'achat et à la maintenance, sans parler de la lenteur de leur déploiement. Les services IaaS et PaaS éliminent ces problèmes, offrant aux équipes informatiques la possibilité d'exploiter à volonté des machines virtuelles, des conteneurs ou des fonctions sous forme de services. La capacité d'évoluer rapidement et l'augmentation de l'agilité se révèlent des arguments bien trop convaincants pour être ignorés.

Naturellement, AWS n'est pas seul sur ce terrain. Entre autres concurrents, citons Microsoft et sa plate-forme Azure, ou encore Google Cloud Platform (GCP). La dynamique du marché est intéressante sur deux plans, l'un d'entre eux concernant surtout la stratégie informatique. Tout d'abord, si l'on considère l'utilisation des services IaaS/PaaS dans le monde, AWS mène sans conteste le peloton avec 94 % de tous les accès, laissant 3,7 % à Azure et 1,3 % à GCP. Néanmoins, 78 % des organisations utilisent actuellement à la fois AWS et Azure, généralement dans le cadre d'une stratégie multicloud officielle. Ainsi, AWS est plus utilisé, mais les employés de la grande majorité des organisations possèdent également des comptes Azure. Les implications s'expriment en termes de visibilité et de gestion. Lorsque notre infrastructure fonctionne avec deux fournisseurs ou plus, tout comme lorsque nous utilisons plusieurs applications SaaS, disposons-nous d'une sécurité cohérente sur l'ensemble de ces prestations ?

94 % AWS

4 % Azure 1 % GCP

Figure 8. Part de l'utilisation de services IaaS.


RAPPORT

Figure 9. Comparaison multicloud / cloud unique.

Notre étude révèle qu'en moyenne, les entreprises qui utilisent des services IaaS/PaaS possèdent à tout moment 14 services mal configurés en cours d'exécution, d'où il résulte environ 2 269 incidents de type mauvaise configuration par mois. Voici les dix principaux types de mauvaises configurations d'AWS que nous constatons :

1. Le cryptage des données EBS n'est pas activé.

2. L'accès sortant est illimité.

3. L'accès aux ressources n'est pas configuré à l'aide des rôles IAM.

4. Le port d'un groupe de sécurité EC2 est mal configuré.

5. L'accès entrant d'un groupe de sécurité EC2 est mal configuré.

6. Certains AMI ne sont pas chiffrés.

7. Certains groupes de sécurité sont inutilisés.

8. Les journaux de flux VPC sont désactivés.

9. L'authentification multifacteur n'est pas activée pour les utilisateurs IAM.

10. Le chiffrement des compartiments S3 n'est pas activé.

Les erreurs de configuration sont évidemment répréhensibles en soi, mais pourquoi s'en soucier ? Nous en revenons une nouvelle fois aux données. Lorsque les entreprises avec lesquelles nous travaillons activent la fonction de prévention des fuites de données (DLP), elles enregistrent en moyenne 1 527 incidents DLP par mois dans leur stockage IaaS/PaaS. Cela signifie que des données sensibles ont été détectées alors qu'elles ne devraient pas être présentes ou qu'elles nécessitent une surveillance et des contrôles de sécurité supplémentaires. Au total, 27 % des organisations qui utilisent des services PaaS ont été victimes de vol de données dans leur infrastructure de cloud1.

Quelques autres erreurs de configuration courantes ne sont pas répertoriées dans la liste, mais présentent de sérieuses répercussions en matière de fuites de données et de risques pour les environnements IaaS/PaaS. Tout d'abord, si nous considérons l'univers AWS, nous constatons que 5,5 % de tous les compartiments de stockage S3 affichent des autorisations de lecture sans restriction, ce qui signifie qu'ils sont en accès public. En dépit des nombreux d'incidents d'exposition de données dans des compartiments S3 ouverts, largement médiatisés au cours des dernières années, cette erreur de configuration à la fois courante et grave perdure.

Enfin, nous relevons une tendance particulière qui, malgré sa faible fréquence relative, mérite pourtant qu'on la commente. En moyenne, nous observons que les entreprises disposent d'au moins un ensemble de compartiments AWS S3 avec autorisation d'accès en écriture, permettant littéralement à n'importe qui d'injecter ses propres données dans l'environnement concerné.

des compartiments de stockage S3 possèdent des autorisations en lecture sans aucune restriction.

5,5 %

78 %AWS + Azure

22 %AWSseul

Par ailleurs, la plupart des organisations accèdent à 25 de ces compartiments accessibles publiquement en écriture à partir de leur réseau d'entreprise, le plus souvent par l'intermédiaire d'un tiers. (Imaginons le cas d'un internaute consultant un site d'actualités où le contenu diffusé provient d'un compartiment S3 configuré erronément pour être accessible en écriture.) L'accès en écriture, c'est comme une journée portes ouvertes permanente à tous ceux qui s'efforcent de compromettre nos organisations. Vous avez envie de modifier nos enregistrements S3 ? Allez-y, ne vous gênez pas. Vous voulez injecter un code malveillant ? Pas de souci. Pour éviter ce genre de problèmes, il est impératif de contrôler et de fermer à la fois les compartiments S3 que nous possédons et ceux des intervenants externes.

Menaces internes et externesLes incidents de sécurité ne sont plus limités aux PC et aux applications du réseau, principalement en raison de l'ampleur des données d'entreprise stockées dans le cloud aujourd'hui, ainsi que du nombre élevé d'événements qui se produisent dans le cloud. Une organisation lambda subit 31,3 menaces liées au cloud chaque mois, ce qui représente une augmentation de 27,7 % par rapport à la même période l'an dernier. Ventilées par catégories, il s'agit de menaces internes (accidentelles et malveillantes), de menaces d'utilisateurs avec privilèges et de menaces provenant de comptes potentiellement compromis.

Figure 10. Menaces dans le cloud par mois et par organisation.

Nous continuons d'observer une croissance constante des services de cloud en termes de nombre de nouveaux services approuvés par les services informatiques, de nombre d'utilisateurs qui y recourent et de quantité de données hébergées. Compte tenu de la tendance générale à la migration des ressources informatiques sur site vers le cloud, une augmentation des menaces ne devrait pas être surprenante.


RAPPORT

2016 2017 2018

20,4

24,5

31,3


RAPPORT

Figure 11. Menaces dans le cloud par catégorie.

Comptes compromisEn moyenne, les entreprises connaissent 12,2 incidents par mois au cours desquels un tiers non autorisé exploite des identifiants de compte volés pour accéder aux données d'entreprise stockées dans un service de cloud. Ces incidents touchent 80,3 % des organisations au moins une fois par mois. En outre, les identifiants de cloud de 92 % des entreprises se retrouvent en vente sur le Dark Web. Cela peut sembler une bataille perdue d'avance, mais de nombreux services de cloud essentiels à l'activité économique prennent en charge l'authentification multifacteur, laquelle peut contribuer à réduire les risques liés aux comptes compromis.

Menaces internesLes organisations connaissent en moyenne 14,8 menaces internes par mois, et 94,3 % d'entre elles en subissent au moins une par mois en moyenne.

Les menaces internes comprennent les comportements qui exposent involontairement une organisation à des risques, comme le partage par erreur d'une feuille de calcul comportant les numéros de sécurité sociale des employés à l'extérieur de l'entreprise. Elles incluent également les activités malveillantes, comme le téléchargement par un vendeur de la liste complète de ses contacts avant de quitter une entreprise pour rallier les rangs d'un concurrent.

Utilisateurs avec privilèges Des menaces de type utilisateurs avec privilèges sévissent chaque mois dans 58,2 % des organisations, la moyenne d'occurrences étant de 4,3 par mois. Ces menaces peuvent prendre différentes formes, allant de l'accès d'un administrateur aux données du compte d'un dirigeant, à la modification des paramètres de sécurité réduisant involontairement le niveau de protection. Bien qu'elles ne soient pas aussi courantes que les menaces internes associées aux utilisateurs réguliers, le niveau élevé d'autorisation accordé aux utilisateurs avec privilèges peut rendre ces menaces particulièrement dommageables.

Menaces dans le cloud : modèle de l'entonnoirLes activités dans le cloud croissent à mesure qu'augmente le nombre de services et d'utilisateurs de cloud. Une organisation lambda génère aujourd'hui plus de 3,2 milliards de transactions uniques dans les services de cloud chaque mois (connexion des utilisateurs, téléchargements de fichiers, édition de documents, etc.).

Nombre moyen de menacesde type comptes compromisdans le cloud, par mois et par organisation

Nombre moyen de menaces de type utilisateurs avec privilèges dans le cloud, par mois et par organisation

Nombre moyen de menaces internes dans le cloud, par mois et par organisation

2017

12,3

3,6

8,6

2016

10,9

3,3

6,2

2018

14,8

4,3

12,2


RAPPORT

Compte tenu de cet imposant volume de données, il serait impossible d'effectuer une recherche manuelle dans une piste d'audit de l'activité des utilisateurs pour identifier les menaces potentielles. En réaction, les organisations investissent dans des outils d'analyse comportementale des utilisateurs et des entités (UEBA), qui utilisent l'apprentissage automatique pour identifier les événements saillants dans le bruit de fond de l'activité quotidienne.

Figure 12. Les événements conduisant à des menaces dans le cloud : le modèle de l'entonnoir.

Plus de 30 menaces dans le cloud par mois, et ce mois après mois : le chiffre ne saurait passer inaperçu. Toute menace véritable peut compromettre nos organisations et nos marques. Les données exposées ci-dessus démontrent les deux aspects

de l'analyse comportementale. D'une part, une analyse comportementale efficace nous a permis de détecter ces 30 menaces et d'y réagir. D'autre part, elle a produit un rapport signal/bruit de 100 millions, ramenant les 3,2 milliards d'événements à 31 menaces. Sans ce niveau d'automatisation, le volume de faux positifs aurait noyé notre capacité de réaction.

Tendances de l'utilisation du cloudDe plus en plus de services de cloud sont lancés chaque semaine. Comme on pouvait s'y attendre, le nombre de services de cloud différents réellement utilisés a augmenté au même rythme que le nombre de services de cloud commercialisés.

Figure 13. Utilisation du cloud dans le temps : nombre moyen de services de cloud utilisés par organisation et par type.

3 263 144 325Nombre total

d'événements par mois

3 217Événementsanormauxpar mois

31,3Menacespar mois

2013

457

169

626

638

259

2014

897

854

333

2015

1 187

1 018

409

2016

1 427

1 169

513

2017

1 682

1 353

582

2018

1 935

Applications de cloud de particuliers

Applications de cloud d'entreprise


RAPPORT

Nombre moyen de servicesUne organisation lambda utilise 1 935 services de cloud uniques, ce qui représente une augmentation de 15 % par rapport à l'année dernière. Ventilées par type de service, les applications d'entreprise (Office 365, Salesforce, etc.) représentent 70 % des services de cloud utilisés, tandis que les services de cloud destinés aux particuliers (tels que Facebook ou Pinterest) représentent les 30 % restants.

Bien que de nouveaux services de cloud soient utilisés chaque année par les employés, le taux de croissance du nombre de services de cloud s'est considérablement ralenti, passant d'un pic de 43 % en 2014 à 15 % en 2018 (voir la figure ci-dessous).

Figure 14. Utilisation du cloud dans le temps : nouveaux services de cloud nets introduits chaque année par rapport au pourcentage de croissance annuel du total des services de cloud utilisés par organisation.

Pour la 6e année consécutive, la catégorie comportant la plus grande variété de services de cloud utilisés (p. ex. Slack, Cisco WebEx, etc.) regroupe le partage de fichiers et la collaboration. Elle représente 20,9 % des services de cloud utilisés. Viennent ensuite les services financiers (7,5 %), les services informatiques (7,1 %), l'infrastructure de cloud (7,1 %) et le développement (6,5 %). La sécurité native au cloud est également en passe de devenir une catégorie majeure, avec 3,8 % de services de cloud utilisés par organisation.

Figure 15. Utilisation du cloud par catégorie : pourcentage des services de cloud utilisés en 2018 par catégorie et par organisation.

5 %

0 %

10 %

15 %

20 %

25 %

30 %

35 %

40 %

45 %

50 %

50

0

100

150

200

250

300

350

2014 2015 2016 2017 2018

43 %

32 %

20 %

18 %

15 %

271 290 240 255 253

Nouveaux services de cloud utilisés par organisation

Taux de croissance annuel des services de cloud utilisés par organisation

7,5 %Services

financiers

20,9 %Partage

de fichierset collaboration

7,1 %Services

informatiques

7,1 %Infrastructure

de cloud

6,5 %Développement

5,3 %Veille

économique

5,3 %Autres

6,3 %Ressourceshumaines

3,8 %Sécurité

2,4 %Gestion

de projet

2,3 %Stockage

dans le cloud

3,6 %Médias

2,3 %Commerce

électronique

2,3 %Partage

de contenu

5,7 %Enseignement

3,2 %Soins

de santé

2 %CRM

1,7 %Réseauxsociaux

1,7 %Logistique

1,5 %Gestion

deréseau

1,4 %Localisation


RAPPORT

Les contrôles de sécurité natifs varient d'un fournisseur à l'autreIl n'existe pas deux fournisseurs de services de cloud qui offrent le même ensemble de contrôles de sécurité. Sur plus de 25 000 services de cloud utilisés aujourd'hui, seuls 8 % répondent aux exigences strictes en matière de sécurité des données et de confidentialité des entreprises, telles que définies par le programme d'évaluation CloudTrust Program. En creusant davantage, nous constatons que moins d'un fournisseur sur dix chiffre les données inactives stockées. Ils sont encore moins nombreux à prendre en charge la possibilité pour un client de chiffrer les données à l'aide de ses propres clés de chiffrement. En raison notamment de la mise en œuvre du Règlement général sur la protection des données (RGPD) de l'Union européenne, le chiffrement à l'aide de clés gérées par le client passe désormais au rang d'exigence pour les organisations qui stockent les données des résidents de l'Union dans un cloud transfrontalier.

Par ailleurs, étant donné la prévalence des violations de données provoquées par le vol d'identifiants, on peut s'alarmer de constater que 19,2 % seulement des services de cloud prennent en charge l'authentification multifacteur.

Figure 16. Les contrôles de sécurité des données stockées varient d'un fournisseur à l'autre.

Qu'advient-il des données une fois téléchargées auprès d'un fournisseur de services de cloud ? C'est l'une des préoccupations majeures qu'expriment nos clients. Moins de la moitié des fournisseurs précisent que les données des clients appartiennent au client. (Le reste revendique la propriété de toutes les données téléchargées ou ne précise pas légalement à qui appartiennent les données.) Un nombre encore plus restreint de fournisseurs de cloud supprime les données immédiatement à la résiliation du compte, alors que le reste conserve les données jusqu'à un an, certains revendiquant même le droit de conserver indéfiniment des copies des données.

En raison de l'absence générale de contrôles de sécurité essentiels dans l'ensemble des services de cloud, les employés choisissent inévitablement (et sans le savoir) des services de cloud présentant des risques.

Chiffrer les donnéesinactives

8,1 %

Chiffrer les données à l’aidede clés gérées par le client

0,7 %

Supprimer immédiatementles données en cas

de résiliation du compte

13,3 %

Préciser que le clientest propriétaire de toutesles données téléchargées

37,3 %

Prendre en chargel'authentification

multifacteur

18,1 %

https://www.skyhighnetworks.com/cloud-trust-program/


RAPPORT

Si la grande majorité des utilisateurs de services de cloud ne cherchent qu'à augmenter leur efficacité et leur productivité, ils n'en sont pas moins susceptibles de mettre en péril les données de leur entreprise. Sur les 1 935 services de cloud utilisés par une organisation lambda, 173 doivent être considérés comme des services à haut risque (8,9 %).

Figure 17. Utilisation des applications de cloud par niveau de risque.

Les services de cloud les plus représentésMême dans les grandes entreprises, on note une proportion importante d'utilisation de services destinés au grand public. Si certains services de cloud pour particuliers évoluent et passent au rang de services d'entreprise, la grande majorité d'entre eux sont en réalité des réseaux sociaux et, à ce titre, généralement moins sûrs pour ce qui est des données. Ci-dessous, nous commentons les services les plus représentés dans les deux catégories.

Figure 18. Type de services de cloud utilisés par une entreprise lambda.

Les dix principaux services de cloud en entrepriseAujourd'hui, 70 % de tous les services de cloud utilisés que nous observons sont des services d'entreprise, représentant 71,8 % des données téléchargées. Office 365 est le premier service de cloud d'entreprise en nombre d'utilisateurs, suivi de Salesforce et Cisco WebEx. Du point de vue de la sécurité, les dix premiers services de cloud d'entreprise sont nettement plus susceptibles d'être dotés de contrôles de sécurité de niveau entreprise qu'un service de cloud lambda destiné au grand public.

70 %Grandesentreprises

30 %Particuliers

1

2

3

4

5

OneDrive

Exchange Online

Salesforce

SharePoint Online

ServiceNow

Box

Cisco WebEx

Yammer

Workday

Slack

6

7

8

9

10

173Applications à haut risque

295Applications

à risque moyen1 467Applicationsà faible risque


RAPPORT

Les dix principaux services de collaboration et de partage de fichiersPour la cinquième année consécutive, une application Office 365 s'est classée en tête des dix principaux services de collaboration cette année, suivie par Gmail et Google Drive dans le cadre de G Suite. Dropbox Business et Box occupent les 6e et 7e places. Yahoo! Mail et Evernote, des habitués de cette liste, ont désormais disparu tandis que Slack et Intralinks y font leur entrée.

Les dix principaux services de cloud grand publicLes services de cloud grand public représentent 30 % des services de cloud utilisés sur le lieu de travail. Les réseaux sociaux, le partage de contenu et les services de collaboration dominent le palmarès. Plusieurs des services de cette liste possèdent des versions entreprise (telles que Google Drive, Skype Entreprise et Dropbox Business).

1

2

3

4

5

Facebook

YouTube

Gmail

Twitter

LinkedIn

Apple iCloud

Google Drive

Dropbox

Skype

WhatsApp

6

7

8

9

10

1

2

3

4

5

OneDrive

Exchange Online

Gmail

Google Drive

SharePoint Online

Dropbox Business

Box

Cisco WebEx

Slack

Intralinks

6

7

8

9

10


RAPPORT

Les dix principaux services de réseaux sociauxMalgré les récents revers qu'a subis Facebook à propos de la confidentialité des données et de la prolifération des fausses nouvelles, il demeure l'application de réseaux sociaux la plus utilisée. Cela étant, Twitter et LinkedIn ont encore renforcé leur position en tant que 2e et 3e applications de réseaux sociaux les plus utilisées. Et bien que Google+ ait programmé sa fin de vie, nous constatons toujours une utilisation importante au moment de cette analyse.

1

2

3

4

5

Facebook

Twitter

LinkedIn

YouTube

ShareThis

VK

Twitter for Business

Sina Weibo

Google+

Tumblr

6

7

8

9

10

Perception contre réalité : nombre total des services de cloudEn avril 2018, nous avons publié le rapport intitulé « Le point sur l'adoption et les défis du cloud : Conseils pratiques et état de la sécurité du cloud ». Il reposait sur une enquête menée auprès de plus de 1 400 professionnels de l'informatique dans 11 pays,

demandant à chaque participant de répondre à plus de 100 questions sur l'utilisation du cloud dans leur organisation. Si nous comparons les réponses au sondage avec la réalité de notre analyse, nous constatons un certain nombre de différences flagrantes.

Premièrement, il a été demandé aux participants d'estimer le nombre total de services de cloud que, selon eux, leur organisation utilise. La réponse moyenne a été de 31. Deux pour cent seulement des répondants ont estimé ce nombre à 80, alors que le nombre moyen réel est de 1 935 services de cloud. L'écart de perception est stupéfiant. Il signifie que 98 % des services de cloud ne sont pas connus des collaborateurs informatiques, d'où des risques évidents au niveau du cloud.

Figure 19. Total des services de cloud : déclarations et réalité.

0

200

400

600

800

1 000

2 000

ÉtudeAmériquedu Nord

ÉtudeAmérique

latine

ÉtudeEurope

ÉtudeAsie-Pacifique

ÉtudeJapon

Réalité

1 200

1 400

1 600

1 800

1 935

37 31 25 3729

19

RAPPORT

Perception contre réalité : une confiance excessive accordée aux services de cloud sur le plan de la sécurité des donnéesL'enquête demandait aux participants dans quelle mesure ils faisaient confiance à leurs fournisseurs de services de cloud pour assurer la sécurité des données de leur entreprise. 69 % des répondants ont déclaré s'en remettre aux fournisseurs pour sécuriser leurs données (et 12 % des répondants ont soutenu que le fournisseur est seul responsable de la protection de leurs données). Pourtant, la sécurité du cloud relève d'une responsabilité partagée et aucun fournisseur de services de cloud ne fournit une sécurité à 100 % (prévention des fuites de données, contrôle d'accès, contrôle de la collaboration, analyse comportementale des utilisateurs, etc.). Il est donc probable que les entreprises sous-estiment le risque qu'elles courent en faisant confiance aux fournisseurs de services de cloud sans appliquer leurs propres contrôles.

Recommandations et perspectivesD'un point de vue pratique, le présent type d'analyse doit permettre d'identifier les zones de risque en vue d'agir sur elles et de permettre aux entreprises de tirer parti du cloud et d'accélérer leurs activités. Nous mettons à profit cette édition pour émettre trois recommandations fondamentales qui devraient contribuer à la stratégie de sécurité dans le cloud :

1. Auditez vos configurations AWS, Azure, Google Cloud Platform ou autres IaaS/PaaS.Alternative aux centres de données sur site, l'utilisation des services IaaS/PaaS se développe rapidement. Par conséquent, nous devons anticiper les erreurs de configuration avant qu'elles n'ouvrent une faille majeure dans l'intégrité de notre sécurité.

2. Identifiez les services de cloud qui détiennent la plupart de nos données sensibles.Office 365 et Box figurent parmi les emplacements les plus courants. Sitôt ces services identifiés, nous pouvons immédiatement réduire notre exposition au risque en étendant les stratégies de prévention des fuites de données (DLP) et ainsi contrôler ce qui peut y entrer ou en sortir.

3. Verrouillez le partage partout où résident des données sensibles.Parallèlement au contrôle des données elles-mêmes, il y a lieu de contrôler leurs destinataires.

Modèle de responsabilité partagée pour la sécurité dans le cloudSolutions sur site

(pour référence)IaaS

(Infrastructure-as-a-Service)PaaS

(Platform-as-a-Service)SaaS

(Software-as-a-Service)

Accès utilisateur Accès utilisateur Accès utilisateur Accès utilisateur

Données Données Données Données

Applications Applications Applications Applications

Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation

Trafic réseau Trafic réseau Trafic réseau Trafic réseau

Hyperviseur Hyperviseur Hyperviseur Hyperviseur

Infrastructure Infrastructure Infrastructure Infrastructure

Physique Physique Physique Physique

Responsabilités du client Responsabilité du fournisseur de services de cloud


20

RAPPORT

Les contrôles de collaboration nous permettent d'éliminer les expositions irréversibles, tels que les documents accessibles via un lien sans restrictions ; ils limitent généralement le partage à d'autres destinations à risque, notamment les adresses e-mail personnelles.

Commencez par là. Au fur et à mesure que les services de cloud continueront d'évoluer, notre stratégie d'atténuation des risques devra se développer en parallèle. La technologie CASB (Cloud Access Security Broker) peut exécuter chacun des cas d'utilisation précisés ci-dessus, en exploitant les API des services de cloud pour des niveaux de contrôle élevés. Le cloud constituant désormais une extension officielle de presque tous les environnements informatiques, il est temps de veiller à ce que les niveaux de sécurité évoluent au rythme de son développement rapide.

MéthodologiePour présenter ces résultats au lecteur, nous avons analysé les données agrégées et anonymisées sur l'utilisation du cloud de plus de 30 millions d'utilisateurs McAfee MVISION Cloud à travers le monde, dans des entreprises de tous les secteurs majeurs, dont les services financiers, les soins de santé, le secteur public, l'éducation, la distribution, la haute technologie, l'industrie manufacturière, l'énergie, les services publics, le secteur juridique, l'immobilier, le transport et les services commerciaux. Collectivement, ces utilisateurs génèrent chaque jour des milliards de transactions et d'événements stratégiques uniques dans le cloud. Nous avons compilé

leur utilisation dans un graphique détaillé de l'activité en cloud, afin de révéler les tendances de l'utilisation par rapport aux bases de référence comportementales au fil du temps. Notre registre des services de cloud surveille plus de 50 attributs de l'état de préparation des entreprises et nous permet d'analyser un comportement à l'aide de signatures de données détaillées pour plus de 25 000 services de cloud. D'autres données contextuelles proviennent de notre enquête 2018 menée auprès de 1 400 professionnels de la sécurité dans 11 pays, qui tous utilisent des services de cloud publics ou privés.

Obtenez un audit personnalisé de votre utilisation du cloud Nous pouvons analyser votre utilisation du cloud avec McAfee® MVISION Cloud et vous communiquer un rapport sur les résultats :

■ Données sensibles stockées dans le cloud, et personnes qui y ont accès

■ Collaboration et partage avec des tiers ■ Menaces internes possibles et comptes

potentiellement compromis ■ Événements anormaux indiquant une exfiltration

potentielle des données ■ Configurations IaaS et risques associés

Demander un audit

http://bit.ly/CloudAudit5

1. McAfee, « Le point sur l'adoption et les défis du cloud : Conseils pratiques et état de la sécurité du cloud »




À propos de McAfeeLeader en cybersécurité, McAfee s'est fixé pour mission d'assurer la protection de toutes les ressources, depuis les équipements jusqu'au cloud. Convaincus de l'efficacité de la collaboration, nous mettons au point des solutions pour entreprises et particuliers qui contribuent à un monde plus sûr. En concevant des solutions compatibles avec les produits d'autres sociétés, McAfee aide les entreprises à orchestrer des environnements informatiques véritablement intégrés, où la protection, la détection et la neutralisation des menaces sont assurées de façon simultanée et en étroite collaboration. En protégeant l'ensemble des appareils des particuliers, McAfee sécurise leur vie numérique à la maison et lors de leurs déplacements. Grâce à sa collaboration avec d'autres acteurs de la sécurité, McAfee s'est imposé comme le chef de file de la lutte commune engagée contre les cybercriminels au bénéfice de tous.

www.mcafee.com/fr

McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2018 McAfee, LLC. 4168_1118NOVEMBRE 2018

11-13 Cours Valmy - La Défense 792800 Puteaux, Francewww.mcafee.com/fr


http://www.mcafee.com/fr

http://www.mcafee.com/fr

rapport sur l'adoption du cloud et les risques associés€¦ · 18 perception contre...

Documents