Pièces jointes d’emails, FTP, diffusion de données sur CD ou via USB: 58% des directeurs seniors ont déjà envoyé des informations sensibles à la mauvaise personne selon une étude publiée par CSO Magazine. Comment sécuriser les transferts de données des entreprises ?
Au sein de l’entreprise, les employés doivent communiquer avec de nombreuses personnes en interne comme en externe. Cependant, les systèmes de gestion de contenu qui répondent pleinement aux différents scénarios à l’intérieur d’un pare-feu ne fonctionnent généralement pas pour les communications externes. Beaucoup d’entreprises sont obligées de configurer des instances hébergées à l’extérieur des systèmes sur site, afin de collaborer avec un fournisseur. D’autres doivent passer par un long processus dans lequel il fallait justifier l’ajout d’une personne externe pour qu’elle puisse accéder aux applications internes de la société. Vu la complexité de ces solutions, les employés ont vite eu recours à d’autres outils, comme les e-mails et les systèmes de partage de fichiers grand public, qui permettent de partager des données facilement avec n’importe quelle personne par le biais d’interfaces utilisateurs très conviviales.
Ces deux solutions sont pourtant déplorables en termes de sécurité. Concernant les emails, les messages ne sont généralement pas chiffrés lorsqu’ils sont en phase de transit. Une fois un fichier envoyé, il n’est pas possible de le récupérer. Autre contrainte : il n’est pas possible de configurer de date d’expiration pour l’accès à une pièce jointe. Il n’est pas non plus possible de définir des droits d’accès granulaires pour différents destinataires, tout comme il n’est pas possible d’intégrer des e-mails aux applications de processus métier de manière sécurisée, car les solutions de sécurité proposées en option pour les e-mails n’intègrent pas les applications courantes de processus métier. Et surtout, les e-mails accélèrent la propagation des contenus entre les différentes applications et les points de terminaison (chaque application et point de terminaison enregistrant une nouvelle copie). Appliquer des contrôles de sécurité revient alors à jouer sans cesse au chat et à la souris.
Les inconvénients des outils de partage de fichiers grand public
On recense plus de 21 outils de partage de fichiers dans le cloud pour une entreprise moyenne, d’après les informations recueillies par Skyhigh Networks. Plus de 54 % des 380 services examinés ne prennent pas en charge le chiffrement pour les fichiers inactifs, et 15 % n’ont toujours pas recours à cette fonctionnalité pour les documents en transit. De plus, l’authentification en deux étapes n’est pas mise en place pour plus de 81 % d’entre eux. Et, malheureusement, la fédération des identités connaît encore un retard général, 15 % seulement des fournisseurs de services cloud prenant en charge le protocole SAML ou OAuthi. En outre, certains de ces outils sont régis par une politique de confidentialité qui leur confère la propriété de vos données professionnelles. Même les outils supposés répondre aux besoins des entreprises n’appliquent généralement pas de contrôle pour l’accès granulaire et le partage. Une fois que vous laissez une personne extérieure à la société accéder à un dossier, elle peut y faire ce qui lui plaît. Bien souvent, ces mêmes outils ne parviennent pas non plus à conserver les métadonnées des fichiers, comme la date et l’heure. De plus, ils ne proposent pas de fonctions de recherche globale et d’autres fonctionnalités nécessaires pour vous aider en cas de demande de preuve électronique (eDiscovery) défendable. Ces outils se trouvent également confrontés à d’autres limites : ils ne permettent pas d’effectuer de contrôle sur les appareils mobiles, ils ne s’intègrent pas aux solutions courantes de gestion informatique et de sécurité, et ils ne sont pas conformes à certaines normes (SOC 1 et ISO 27001, par exemple).
La plupart des outils de partage de fichiers grand public ( voir Comparatif des sites de sauvegarde de fichiers en ligne) ne permettent pas d’avoir recours à une administration centralisée et n’ offrent pas la visibilité nécessaire, mais ils augmentent également le risque d’attaques contre l’entreprise et sa propriété intellectuelle. La majorité des sociétés est consciente des attaques les plus courantes et les plus connues sont souvent bloquées. Mais de nouvelles attaques apparaissent sans cesse. il est néanmoins possible de limiter les dégâts en fournissant aux équipes chargées de l’informatique et de la sécurité le contrôle centralisé dont elles ont besoin pour accomplir leur travail.
Et s’il était possible d’empêcher l’utilisation d’outils grand public non sécurisés pour l’échange de fichiers confidentiels et d’en finir avec l’utilisation des e-mails comme un système de gestion de documents pour les pièces jointes ? Il est en effet possible de supprimer les données de propriété intellectuelle confidentielles des circuits de communication non sécurisés, réduire les risques liés aux fichiers PST et aux référentiels grand public dans le cloud, et effectuer des contrôles de sécurité pour les communications. C’est notamment le service que propose Box, spécialisé dans la sécurisation des données de l’entreprise dans le cloud.
Que faut-il attendre du cloud pour sécuriser les transferts de données de l’entreprise ?
– Garantir le chiffrement des fichiers inactifs et en transit. C’est l’utilisateur qui décide si les fichiers peuvent être sortis du cloud ou s’ils doivent rester protégés.
– Contrôler l’accès, le révoquer et définir une date d’expiration.
– Définir des droits d’accès granulaires en invitant des partenaires à collaborer dans un dossier.
– Exiger que les utilisateurs externes appliquent les politiques de sécurité et acceptent vos conditions d’utilisation.
La centralisation est indispensable aux processus métier et à la sécurisation des transferts de données de l’entreprise car elle permet à plusieurs parties de communiquer à travers différents pare-feu, ce qui est nécessaire au bon fonctionnement des entreprises présentes à l’international.