Bring Your Own Cloud : le pire est-il à venir ? (avis d’expert)

Christophe Auberger, directeur technique de Fortinet France, commence son analyse par comparer les troubles climatiques en Europe aux turbulences du BYOD en entreprise. D’après lui, il semble que le changement climatique commence enfin à se faire sentir en Europe avec cette année l’hiver le plus humide des annales, se traduisant par d’importantes inondations qui ont provoqué des dommages majeurs. Les organismes d’intervention d’urgence à travers le continent ont été mobilisés et ont travaillé pour aider les communautés touchées, empêcher les inondations et réparer les infrastructures endommagées. Dorénavant, le défi pour les gouvernements est d’essayer de renforcer les défenses contre les inévitables intempéries à venir.

Cette situation est parfaitement comparable à ce que les entreprises subissent en matière de menaces et de ravages provoqués par le BYOD et, de plus en plus, par le Bring Your Own Cloud. Les entreprises ont vu apparaitre une pléthore d’appareils mobiles connectés à leurs réseaux et un nombre croissant de comptes de stockage Cloud personnels utilisés à des fins professionnelles. Pour la plupart, ces entreprises ont beaucoup de difficultés à garder le contrôle. Il est urgent pour elles d’adopter la bonne stratégie de sécurité pour éviter que le fleuve ne déborde et devienne incontrôlable.

Le changement climatique et le BYOD reposent à la fois sur notre propre crédulité, ignorance et égoïsme provoquant des effets dévastateurs en entreprise. Dans le cas des plus jeunes salariés, ils sont habitués à utiliser leurs propres appareils et applications Cloud et s’attendent à pouvoir le faire dans leur environnement professionnel. Telle est la nature omniprésente des applications Cloud – dorénavant embarquées par défaut dans tous les smartphones, tablettes et ordinateurs modernes sous forme d’applications telles que Dropbox et iCloud – et beaucoup de jeunes ne réalisent pas vraiment qu’ils utilisent le Cloud. Même dans le cas contraire, ils sont soit inconscients, soit indifférents face aux dangers potentiels. Car, comme l’a illustré la récente étude mondiale Fortinet, beaucoup ne veulent pas changer leur comportement au profit de la sécurité de l’organisation pour laquelle ils travaillent.

L’étude Fortinet menée dans 20 pays auprès de 3200 salariés âgés de 21 à 32 ans devrait servir de nouvel avertissement aux entreprises qui doivent prendre cette question au sérieux et mettre en place des stratégies de défenses adéquates et pérennes. La grande majorité des salariés interrogés (89%) possèdent au moins un compte de service de stockage Cloud personnel. 70% des titulaires de comptes personnels ont utilisé leurs comptes à des fins professionnelles ; 12%  de ces titulaires admettent stocker les mots de passe professionnels à l’aide de ces comptes ; 16% des informations financières ; 22% des documents privés sensibles comme les contrats/business plans ; et 33% stockent des données clients. Une situation inquiétante car 36% des personnes interrogées utilisant leurs comptes de stockage Cloud personnels à des fins professionnelles déclarent qu’elles seraient prêtes à enfreindre les règles leur interdisant d’utiliser ces services. Ce alors même qu’un nombre croissant de ces mêmes utilisateurs indique avoir été victime de cyber attaques.

Un accès aux données monétisables

La frontière très floue entre l’utilisation personnelle et professionnelle des applications en ligne est une menace pour l’entreprise. Les utilisateurs sont plus imprudents et vulnérables quand ils utilisent l’informatique dans un contexte personnel plutôt que professionnel. Par exemple, les applications de loisirs, telles que celles qui se propagent par les réseaux sociaux, représentent une mine d’or pour les logiciels malveillants. Une fois que les cybercriminels accèdent à l’appareil de l’utilisateur, ce ne sont pas les mots de passe Facebook ou Twitter qui les intéressent, mais les actifs précieux tels que les informations et mots de passe bancaires ainsi que  la Propriété Intellectuelle et les données de l’entreprise qui sont stockées soit dans l’appareil de l’utilisateur soit dans l’application personnelle Cloud. Ce sont avec ces actifs que les cybercriminels peuvent faire beaucoup d’argent. Dans un monde où l’information et les données sont très précieuses et critiques pour les entreprises, aucune organisation ne peut laisser ses propres données être utilisées contre elle ou au profit de ses concurrents.

Les cybercriminels qui lancent des attaques persistantes sont aidés et soutenus par des utilisateurs, qui, à leur insu, leur fournissent un point d’accès facile pour collecter les données sensibles d’entreprise via leurs appareils personnels. Il est plus facile d’accéder aux données d’entreprise via un utilisateur dans son environnement personnel que de s’introduire directement dans le réseau de l’entreprise. Et cette situation est d’autant plus inquiétante que l’entreprise ne sera probablement jamais au courant que le salarié transfère des données d’entreprise vers son propre appareil ou Cloud personnel. Combien d’entreprises ont conscience qu’un salarié sur cinq stocke des documents d’entreprise critiques dans son Cloud personnel ? Force est de constater que de nombreuses brèches de sécurité sont ainsi exploitées et que de nombreux vols de données d’entreprise sont réalisés secrètement de cette manière, sans jamais être identifiés.

Avec la généralisation imminente des nouvelles technologies connectées telles que le wearable computing, montres intelligentes et voitures connectées, la situation est en passe de devenir encore plus compliquée. Les entreprises doivent tenir compte de ce nouvel avertissement et développer leurs stratégies en conséquence, en implémentant une sécurité au niveau du réseau pour permettre le contrôle de l’activité de l’utilisateur en fonction de l’appareil, des applications qu’il utilise et de son emplacement géographique.

Comme l’étude Fortinet le montre, les entreprises ignorent en général où les salariés stockent exactement les données professionnelles sensibles. En conséquence, les salariés représentent de plus en plus le maillon faible de leur sécurité. Les responsables informatiques doivent élaborer des politiques et stratégies fortes pour prendre en compte le Cloud personnel. A défaut, elles devront investir dans de nouveaux seaux et serpillières en préparation des intempéries et inondations à venir.