RAPPORT SUR L'ADOPTION DU CLOUD ET LES RISQUES ASSOCIÉS - RAPPORT 2019 - MCAFEE
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RAPPORT Rapport sur l'adoption du cloud et les risques associés 2019
RAPPORT
Rapport sur l'adoption du cloud et les risques associés
2019
Résumé *Bon nombre des données que
nous citons dans ce rapport sont
Les services de cloud permettent d'accélérer les activités de l'entreprise grâce à leur capacité déterminées par la politique
à évoluer rapidement, à favoriser l'agilité dans la gestion des ressources et à offrir de d'entreprise. À titre d'exemple,
nouvelles perspectives de collaboration. Cela étant, dans le cadre de cette large adoption les classifications en « données
sensibles » sont établies par les
du cloud, nous devons veiller à ne pas négliger un élément essentiel : nos données. Lorsque
organisations de notre étude et
nous utilisons un logiciel en mode SaaS (Software-as-a-Service), nous sommes responsables non par McAfee. Notre visibilité
de la sécurité de nos données et nous devons nous assurer que celles-ci sont accessibles se limite aux résultats de cette
de manière appropriée. Dans le cas des services IaaS (Infrastructure-as-a-Service) ou PaaS politique d'entreprise et non
(Platform-as-a-Service), nous sommes en outre responsables de la sécurité de nos charges aux données réelles.
de travail et nous devons nous assurer que les composants d'application et d'infrastructure
sous-jacents sont correctement configurés.
L'analyse de milliards d'événements de cloud anonymisés, Les fournisseurs IaaS/PaaS tels que AWS améliorent
étudiés dans un large éventail d'entreprises*, nous a la productivité de nos développeurs et rendent nos
permis de dresser l'état des lieux de l'utilisation réelle organisations remarquablement agiles. Cependant,
du cloud et d'identifier où se situe le risque. Songez que les organisations possèdent à tout moment en
près d'un quart des données dans le cloud sont sensibles, moyenne au moins 14 instances IaaS mal configurées
et que le partage des données sensibles dans le cloud en cours d'exécution, ce qui génère tous les mois
a augmenté de 53 % d'une année sur l'autre. Si nous ne environ 2 269 incidents liés aux problèmes de
contrôlons pas correctement l'accès à nos données et mauvaise configuration. En particulier, 5,5 % de
si nous ne les protégeons pas efficacement contre les tous les compartiments S3 AWS utilisés sont mal
Gardez le contact
menaces, nous mettons nos entreprises en danger. configurés, à savoir qu'ils sont lisibles par tout le monde.
2 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Par conséquent, il est à craindre que le risque de fuite ■■ 94 % de l'utilisation de services IaaS/PaaS se fait dans
de données immédiate et à grande échelle ira croissant. AWS, mais 78 % des organisations qui y recourent
Nous devons maîtriser nos bases si nous ne voulons emploient à la fois AWC et Azure.
pas être pris de court et manquer l'occasion d'accélérer ■■ Les entreprises possèdent à tout moment en moyenne
l'activité des entreprises. 14 instances IaaS/PaaS mal configurées en cours
La majorité des menaces qui pèsent sur les données d'exécution, ce qui génère environ 2 269 incidents
dans le cloud résultent de comptes compromis et de de type mauvaise configuration par mois.
menaces internes. 80 % des entreprises rencontreront ■■ 5,5 % des compartiments S3 AWS sont dotés
au moins une menace de type compte compromis dans d'autorisations d'accès en lecture sans restriction ;
le cloud ce mois-ci. 92 % déplorent actuellement des vols ils sont donc accessibles à tous.
d'identifiants, lesquels sont revendus sur le Dark Web. ■■ Une entreprise lambda génère plus de 3,2 milliards
Fort heureusement, le cloud présente plus d'événements par mois dans le cloud, dont 3 217 sont
d'opportunités que de menaces. L'utilisation du cloud anormaux et 31,3 constituent des menaces réelles.
s'avère très intensive. En effet, la plupart des entreprises ■■ Les menaces dans le cloud, c'est-à-dire les comptes
utilisent environ 1 935 services de cloud, ce qui compromis, les utilisateurs avec privilèges ou les
représente une hausse de 15 % par rapport à l'année menaces internes, ont augmenté de 27,7 % par
précédente. Malheureusement, la plupart de ces rapport à l'année précédente.
entreprises estiment n'en utiliser qu'une trentaine. ■■ 80 % de toutes les organisations sont confrontées à au
Principales observations moins une menace de compte compromis par mois.
■■ 21 % de tous les fichiers dans le cloud contiennent des
■■ 92 % de toutes les organisations déplorent des vols
données sensibles, ce qui représente une hausse de d'identifiants, lesquels sont revendus sur le Dark Web.
17 % sur les deux dernières années. ■■ Les menaces dans Office 365 ont augmenté de 63 %
■■ Le nombre de fichiers contenant des données au cours des deux dernières années.
sensibles partagées dans le cloud a augmenté de 53 % ■■ Une organisation lambda utilise 1 935 services de
par rapport à l'année précédente. cloud uniques, ce qui représente une augmentation
■■ Le partage de données sensibles via un lien accessible de 15 % par rapport à l'année dernière. La plupart
publiquement a augmenté de 23 % au cours des deux des organisations pensent en utiliser une trentaine.
dernières années.
3 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Sommaire
5 Analyse des sources de risques pour 16 Les dix principaux services de cloud
les données dans le cloud en entreprise
7 La collaboration dans le cloud, un 17 Les dix principaux services de
danger autant qu'une bénédiction collaboration et de partage de fichiers
9 Votre IaaS est probablement mal 17 Les dix principaux services de cloud
configuré, revenez aux fondamentaux grand public
11 Menaces internes et externes 18 Les dix principaux services de réseaux
12 Comptes compromis sociaux
12 Menaces internes 18 Perception contre réalité : nombre total
12 Utilisateurs avec privilèges des services de cloud
12 Menaces dans le cloud : modèle 19 Perception contre réalité : une confiance
de l'entonnoir excessive accordée aux services de
13 Tendances de l'utilisation du cloud cloud sur le plan de la sécurité des
données
14 Nombre moyen de services
19 Recommandations et perspectives
15 Les contrôles de sécurité natifs
varient d'un fournisseur à l'autre 20 Méthodologie
16 Les services de cloud les plus 20 Obtenez un audit personnalisé de
représentés votre utilisation du cloud
4 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Analyse des sources de risques pour les Entrons dans le détail et considérons les catégories de de tous les fichiers
données dans le cloud données sensibles ci-dessous : dans le cloud
L'utilisation des services de cloud est omniprésente.
21 % contiennent des
données sensibles.
Nous avons observé cet essor au cours des dix dernières 16 %
Données
années, au point que bon nombre de nos organisations 20 % à caractère
ne pourraient plus fonctionner aujourd'hui sans le cloud. Données e-mail personnel
Dans le contexte de cette croissance, il est essentiel de 27 %
comprendre que les données, et surtout les données Données
confidentielles
sensibles, résident désormais dans le cloud et doivent, 12 % 9%
17 % Données de Données
à ce titre, être protégées. Dans notre dernière étude Données protégées paiement médicales
menée sur l'adoption du cloud à la mi-2018, nous par mot de passe
constations que 83 % des organisations dans le monde
entier stockent des données sensibles dans le cloud1. Et si
le nombre absolu de fichiers dans le cloud a augmenté Figure 1. Types de données sensibles dans le cloud.
rapidement, le pourcentage de fichiers contenant des
données sensibles a également augmenté, pour atteindre Comme on pouvait s'y attendre, la catégorie des
aujourd'hui 21 % — une augmentation de 17 % au cours « données confidentielles » occupe la plus grande part
des deux dernières années. de toutes les données sensibles dans le cloud, soit 27 %.
Plus intéressant : l'augmentation de la confiance. Ainsi,
Ainsi, non seulement la plupart des organisations font la quantité totale de données confidentielles stockées
confiance à leurs fournisseurs de services de cloud dans le cloud a augmenté de 28 % au cours des deux
public pour stocker leurs données sensibles, mais près dernières années. Au cours de cette période, nous
d'un quart de l'ensemble des données dans le cloud sont avons observé des services tels que Box et Microsoft
supposées bénéficier d'une protection rigoureuse. Office 365 gagner en popularité, entraînant avec eux le
transfert des données d'entreprise vers le cloud.
5 Rapport sur l'adoption du cloud et les risques associésRAPPORT
6,00 % 5,00 %
Pourcentage des données totales dans le cloud
Pourcentage des données totales dans le cloud
5,50 % 4,50 %
4,00 %
5,00 %
3,50 %
4,50 %
5,6 % 5,64 % 4,1 % 4,3 %
3,00 %
4,00 %
4,4 % 2,50 %
2,7 %
3,50 %
2,00 %
2016 2017 2018
3,00 %
2016 2017 2018 Figure 3. Données e-mail sensibles dans le cloud - pourcentage du total
des données dans le cloud.
Figure 2. Données confidentielles dans le cloud – pourcentage du total
des données dans le cloud. Examinons les autres types de données sensibles que
nous avons relevés :
Plus précisément, avec la popularité grandissante
d'Office 365, nous constatons une augmentation encore Pourcentage des données totales dans le cloud
plus importante des données sensibles transmises par 6,00 % 2016 2017 2018
messagerie électronique dans le cloud, principalement par 5,50 %
Exchange Online. Aujourd'hui, 20 % de toutes les données 5,00 %
sensibles dans le cloud transitent par des services e-mail 4,50 %
tels qu'Exchange Online dans Office 365, et ce volume a 4,00 %
augmenté de 59 % au cours des deux dernières années. 3,50 %
La messagerie électronique reste l'un des vecteurs les plus 3,00 %
évidents de fuite de données. De plus, sa migration vers le 2,50 %
cloud supprime la visibilité pour les équipes informatiques 2,00 %
qui pouvaient autrefois surveiller le trafic SMTP sur 1,50 %
1,00 %
leurs propres serveurs. Nous verrons quelques autres Données Données Données Données Données Données
tendances liées au flux des données par e-mail dans la confidentielles e-mail protégées par à caractère de paiement médicales
mot de passe personnel
prochaine section. Pour l'heure, la croissance et la perte
de visibilité consécutive à celle-ci demeurent des facteurs Figure 4. Types de données sensibles dans le cloud – pourcentage du
total des données dans le cloud.
importants en tant que tels.
6 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Premier enseignement que nous tirons des autres nature délicate. À mesure que la proportion des données
types de données : une baisse notable de 20 % par an confiées aux serveurs qui nous appartiennent se réduit,
des données à caractère personnel dans le cloud, qui en faveur de services que nous ne faisons qu'utiliser,
pourrait résulter de plusieurs tendances. D'une part, le risque potentiel évolue lui aussi. Il est indispensable
l'utilisation du cloud dans les environnements de savoir quelles données exactement nous transférons
d'entreprise est de plus en plus consacrée aux activités vers le cloud, pour les protéger efficacement en ayant
métier, par opposition à l'utilisation personnelle. En effet, ce facteur de risque à l'esprit.
de nombreux services de cloud, tels que Dropbox, ont
La collaboration dans le cloud, un danger autant
émergé en tant que services pour particuliers et sont
qu'une bénédiction
rapidement passés au rang d'outils professionnels
lorsque leur utilité est devenue évidente en entreprise. Nos données résident dans le cloud et, comme nous
La vigilance de l'utilisateur final qui, par souci de sécurité, l'avons appris, près d'un quart d'entre elles doivent
évite d'envoyer des données à caractère personnel être protégées afin de limiter les risques encourus.
dans le cloud pourrait également contribuer à justifier Cependant, le risque d'exposition est à la mesure de
ce renversement de tendance. Nous devrions peut-être l'un des principes clés de nombreux services de cloud :
accorder à nos utilisateurs finaux le bénéfice du doute la collaboration. L'utilisation de services de stockage
sur ce point. dans le cloud, comme Box, ou de suites de productivité
telles qu'Office 365 permet d'augmenter la fluidité de
Ensuite, nous constatons une augmentation graduelle la collaboration. Mais à l'évidence, collaboration signifie
des données médicales et des données protégées par partage, et ce partage précisément peut entraîner la fuite
mot de passe, à hauteur de 16 % et 13 % respectivement de données sensibles.
au cours des deux dernières années. Bien que les
données médicales ne représentent que 9 % de toutes les Si l'on considère l'utilisation globale du cloud aujourd'hui,
données sensibles dans le cloud, il est encourageant de on constate que 22 % de ses utilisateurs partagent
voir la confiance augmenter dans ce secteur strictement activement des fichiers dans le cloud et que 48 % de
réglementé. Enfin, les données de paiement restent tous les fichiers dans le cloud finissent par être partagés.
stables à environ 12 % de l'ensemble des données Les deux tendances sont à la hausse. Le nombre
sensibles dans le cloud, sur une base annuelle. d'utilisateurs qui partagent activement dans le cloud a
augmenté de 33 % au cours des deux dernières années,
Nous retenons en particulier de cette analyse et le nombre total de fichiers partagés a également
l'accroissement de la confiance à l'égard du stockage augmenté de 12 % au cours de la même période.
dans le cloud de grandes catégories d'informations de
7 Rapport sur l'adoption du cloud et les risques associésRAPPORT
23 % 22,3 % Il est deux domaines sur lesquels il convient d'attirer
l'attention : les types de données qui sont partagées et
22 %
leur destination. Commençons par le deuxième point,
21 % la destination des données :
20 %
18,45 %
19 % 14 %
Adresses 12 %
18 % e-mail Autres
16,76 % 62 % personnelles
17 % Partenaires commerciaux
16 %
2016 2017 2018 12 %
Figure 5. Pourcentage d'utilisateurs du cloud qui partagent des fichiers. Toute personne
disposant d’un lien
48,3 %
49 % Figure 7. Destinations des partages de fichiers dans le cloud.
48 %
46,6 %
47 % Deux catégories doivent immédiatement déclencher
46 % un signal d'alarme : les adresses e-mail personnelles et
45 %
toute personne utilisant un lien hypertexte. Quiconque
43,1 % utilise un compte cloud d'entreprise et envoie des
44 %
données à une adresse e-mail personnelle soustrait
43 %
invariablement ces données à la surveillance de l'équipe
42 %
de sécurité des informations. Pire encore, lorsque des
41 % données sont partagées au moyen d'un lien hypertexte
40 % sans restrictions d'accès, la propagation de ces données
2016 2017 2018
à des personnes ou organisations inconnues devient
Figure 6. Pourcentage de fichiers partagés dans le cloud. tout à fait incontrôlable. Lorsque, dans un service tel
que Box ou OneDrive, vous rendez un fichier accessible
Si les 48 % de fichiers partagés se limitaient à des invitations à « à toute personne disposant d'un lien », c'est comme si
des soirées et à des photos de chatons, la gestion des risques vous établissiez un service d'hébergement web ouvert
associés au cloud nous poserait infiniment moins de problèmes. au monde entier, puisque n'importe qui peut cliquer sur
ce lien et obtenir les données.
8 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Certes, la nature et l'importance du risque résident Les avantages sont indéniables. Les serveurs coûtent
dans le contenu de ce qui est partagé et dans la cher à l'achat et à la maintenance, sans parler de
destination du partage. À l'heure actuelle, 8 % de tous la lenteur de leur déploiement. Les services IaaS et
les fichiers partagés dans le cloud contiennent des PaaS éliminent ces problèmes, offrant aux équipes
données sensibles. Au cours des deux dernières années, informatiques la possibilité d'exploiter à volonté des
le partage sous forme de liens de fichiers contenant des machines virtuelles, des conteneurs ou des fonctions
données sensibles a augmenté de 23 %. Les fichiers sous forme de services. La capacité d'évoluer rapidement
envoyés à une adresse e-mail personnelle ont augmenté et l'augmentation de l'agilité se révèlent des arguments
de 12 %, et ceux partagés avec des partenaires bien trop convaincants pour être ignorés.
commerciaux de 10 %. Il est essentiel de comprendre et
Naturellement, AWS n'est pas seul sur ce terrain.
de contrôler la manière dont les données sensibles sont
Entre autres concurrents, citons Microsoft et sa plate-
partagées, pour à la fois réduire les risques et continuer
forme Azure, ou encore Google Cloud Platform (GCP).
de favoriser l'accélération des activités grâce à l'utilisation
La dynamique du marché est intéressante sur deux
du cloud.
plans, l'un d'entre eux concernant surtout la stratégie
Votre IaaS est probablement mal configuré, informatique. Tout d'abord, si l'on considère l'utilisation
revenez aux fondamentaux des services IaaS/PaaS dans le monde, AWS mène
Les données ne résident pas uniquement dans les sans conteste le peloton avec 94 % de tous les accès,
applications SaaS comme Salesforce ou Office 365. laissant 3,7 % à Azure et 1,3 % à GCP. Néanmoins, 94 % AWS
Amazon Web Services (AWS) a mené tambour battant la 78 % des organisations utilisent actuellement à la
transformation de l'infrastructure basée sur les serveurs fois AWS et Azure, généralement dans le cadre d'une
et les centres de données en services basés sur le cloud. stratégie multicloud officielle. Ainsi, AWS est plus
Ceux-ci se déclinent en deux modes de fonctionnement : utilisé, mais les employés de la grande majorité des
IaaS (Infrastructure-as-a-Service) et PaaS (Platform-as- organisations possèdent également des comptes Azure.
a-Service, c.-à-d. une plate-forme informatique sans Les implications s'expriment en termes de visibilité et
serveur, à l'instar d'AWS Lambda). Aujourd'hui, 65 % des de gestion. Lorsque notre infrastructure fonctionne
organisations dans le monde utilisent une forme ou une avec deux fournisseurs ou plus, tout comme lorsque 4 % Azure 1 % GCP
autre de services IaaS ; elles sont 52 % pour ce qui est nous utilisons plusieurs applications SaaS, disposons-
des PaaS1. nous d'une sécurité cohérente sur l'ensemble de Figure 8. Part de l'utilisation de
services IaaS.
ces prestations ?
9 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les erreurs de configuration sont évidemment des
répréhensibles en soi, mais pourquoi s'en soucier ? compartiments
Nous en revenons une nouvelle fois aux données.
5,5 % de stockage S3
22 % Lorsque les entreprises avec lesquelles nous travaillons possèdent des
78 %
AWS activent la fonction de prévention des fuites de données autorisations
AWS + Azure
seul (DLP), elles enregistrent en moyenne 1 527 incidents en lecture sans
DLP par mois dans leur stockage IaaS/PaaS. Cela signifie aucune restriction.
que des données sensibles ont été détectées alors
qu'elles ne devraient pas être présentes ou qu'elles
Figure 9. Comparaison multicloud / cloud unique. nécessitent une surveillance et des contrôles de sécurité
supplémentaires. Au total, 27 % des organisations qui
utilisent des services PaaS ont été victimes de vol de
Notre étude révèle qu'en moyenne, les entreprises qui
données dans leur infrastructure de cloud1.
utilisent des services IaaS/PaaS possèdent à tout moment
14 services mal configurés en cours d'exécution, d'où Quelques autres erreurs de configuration courantes
il résulte environ 2 269 incidents de type mauvaise ne sont pas répertoriées dans la liste, mais présentent
configuration par mois. Voici les dix principaux types de de sérieuses répercussions en matière de fuites de
mauvaises configurations d'AWS que nous constatons : données et de risques pour les environnements IaaS/
PaaS. Tout d'abord, si nous considérons l'univers AWS,
1. Le cryptage des données EBS n'est pas activé.
nous constatons que 5,5 % de tous les compartiments
2. L'accès sortant est illimité. de stockage S3 affichent des autorisations de lecture
3. L'accès aux ressources n'est pas configuré à l'aide sans restriction, ce qui signifie qu'ils sont en accès public.
des rôles IAM. En dépit des nombreux d'incidents d'exposition de
4. Le port d'un groupe de sécurité EC2 est mal configuré. données dans des compartiments S3 ouverts, largement
5. L'accès entrant d'un groupe de sécurité EC2 est médiatisés au cours des dernières années, cette erreur
mal configuré. de configuration à la fois courante et grave perdure.
6. Certains AMI ne sont pas chiffrés. Enfin, nous relevons une tendance particulière qui,
7. Certains groupes de sécurité sont inutilisés. malgré sa faible fréquence relative, mérite pourtant
qu'on la commente. En moyenne, nous observons que
8. Les journaux de flux VPC sont désactivés.
les entreprises disposent d'au moins un ensemble de
9. L'authentification multifacteur n'est pas activée compartiments AWS S3 avec autorisation d'accès en
pour les utilisateurs IAM.
écriture, permettant littéralement à n'importe qui d'injecter
10. Le chiffrement des compartiments S3 n'est pas activé. ses propres données dans l'environnement concerné.
10 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Par ailleurs, la plupart des organisations accèdent à 25 de 31,3
ces compartiments accessibles publiquement en écriture
à partir de leur réseau d'entreprise, le plus souvent par 24,5
l'intermédiaire d'un tiers. (Imaginons le cas d'un internaute
20,4
consultant un site d'actualités où le contenu diffusé
provient d'un compartiment S3 configuré erronément
pour être accessible en écriture.) L'accès en écriture, c'est
comme une journée portes ouvertes permanente à tous
ceux qui s'efforcent de compromettre nos organisations.
Vous avez envie de modifier nos enregistrements S3 ?
Allez-y, ne vous gênez pas. Vous voulez injecter un
code malveillant ? Pas de souci. Pour éviter ce genre de
problèmes, il est impératif de contrôler et de fermer à la
2016 2017 2018
fois les compartiments S3 que nous possédons et ceux
des intervenants externes. Figure 10. Menaces dans le cloud par mois et par organisation.
Menaces internes et externes
Les incidents de sécurité ne sont plus limités aux Nous continuons d'observer une croissance constante
PC et aux applications du réseau, principalement en des services de cloud en termes de nombre de nouveaux
raison de l'ampleur des données d'entreprise stockées services approuvés par les services informatiques,
dans le cloud aujourd'hui, ainsi que du nombre de nombre d'utilisateurs qui y recourent et de quantité
élevé d'événements qui se produisent dans le cloud. de données hébergées. Compte tenu de la tendance
Une organisation lambda subit 31,3 menaces liées au générale à la migration des ressources informatiques
cloud chaque mois, ce qui représente une augmentation sur site vers le cloud, une augmentation des menaces
de 27,7 % par rapport à la même période l'an dernier. ne devrait pas être surprenante.
Ventilées par catégories, il s'agit de menaces internes
(accidentelles et malveillantes), de menaces d'utilisateurs
avec privilèges et de menaces provenant de comptes
potentiellement compromis.
11 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les menaces internes comprennent les comportements
qui exposent involontairement une organisation à des
12,2
Nombre moyen de menaces
risques, comme le partage par erreur d'une feuille de
8,6
de type comptes compromis
dans le cloud, par mois
calcul comportant les numéros de sécurité sociale des
6,2 4,3
et par organisation
employés à l'extérieur de l'entreprise. Elles incluent
Nombre moyen de menaces
3,6 de type utilisateurs avec également les activités malveillantes, comme le
3,3 privilèges dans le cloud,
par mois et par organisation téléchargement par un vendeur de la liste complète de
14,8
Nombre moyen de menaces ses contacts avant de quitter une entreprise pour rallier
12,3 internes dans le cloud,
10,9 par mois et par organisation les rangs d'un concurrent.
Utilisateurs avec privilèges
2016 2017 2018
Des menaces de type utilisateurs avec privilèges
sévissent chaque mois dans 58,2 % des organisations,
Figure 11. Menaces dans le cloud par catégorie.
la moyenne d'occurrences étant de 4,3 par mois. Ces
menaces peuvent prendre différentes formes, allant de
Comptes compromis l'accès d'un administrateur aux données du compte d'un
En moyenne, les entreprises connaissent 12,2 incidents dirigeant, à la modification des paramètres de sécurité
par mois au cours desquels un tiers non autorisé réduisant involontairement le niveau de protection. Bien
exploite des identifiants de compte volés pour accéder qu'elles ne soient pas aussi courantes que les menaces
aux données d'entreprise stockées dans un service de internes associées aux utilisateurs réguliers, le niveau
cloud. Ces incidents touchent 80,3 % des organisations élevé d'autorisation accordé aux utilisateurs avec
au moins une fois par mois. En outre, les identifiants privilèges peut rendre ces menaces particulièrement
de cloud de 92 % des entreprises se retrouvent en dommageables.
vente sur le Dark Web. Cela peut sembler une bataille
Menaces dans le cloud : modèle de l'entonnoir
perdue d'avance, mais de nombreux services de cloud
essentiels à l'activité économique prennent en charge Les activités dans le cloud croissent à mesure
l'authentification multifacteur, laquelle peut contribuer qu'augmente le nombre de services et d'utilisateurs de
à réduire les risques liés aux comptes compromis. cloud. Une organisation lambda génère aujourd'hui plus
de 3,2 milliards de transactions uniques dans les services
Menaces internes de cloud chaque mois (connexion des utilisateurs,
Les organisations connaissent en moyenne téléchargements de fichiers, édition de documents, etc.).
14,8 menaces internes par mois, et 94,3 % d'entre
elles en subissent au moins une par mois en moyenne.
12 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Compte tenu de cet imposant volume de données, de l'analyse comportementale. D'une part, une analyse
il serait impossible d'effectuer une recherche manuelle comportementale efficace nous a permis de détecter
dans une piste d'audit de l'activité des utilisateurs ces 30 menaces et d'y réagir. D'autre part, elle a produit
pour identifier les menaces potentielles. En réaction, un rapport signal/bruit de 100 millions, ramenant les
les organisations investissent dans des outils d'analyse 3,2 milliards d'événements à 31 menaces. Sans ce niveau
comportementale des utilisateurs et des entités (UEBA), d'automatisation, le volume de faux positifs aurait noyé
qui utilisent l'apprentissage automatique pour identifier notre capacité de réaction.
les événements saillants dans le bruit de fond de
Tendances de l'utilisation du cloud
l'activité quotidienne.
De plus en plus de services de cloud sont lancés chaque
semaine. Comme on pouvait s'y attendre, le nombre
de services de cloud différents réellement utilisés a
augmenté au même rythme que le nombre de services
de cloud commercialisés.
1 935
Applications de cloud d'entreprise
3 263 144 325 3 217 Applications de cloud de particuliers
Événements 1 682
Nombre total 31,3
d'événements par mois anormaux 582
Menaces
par mois par mois 1 427
513
1 187 409
333
897
259
Figure 12. Les événements conduisant à des menaces dans le cloud : 626 1 353
le modèle de l'entonnoir. 1 169
169 1 018
854
Plus de 30 menaces dans le cloud par mois, et ce 638
457
mois après mois : le chiffre ne saurait passer
inaperçu. Toute menace véritable peut compromettre
2013 2018
nos organisations et nos marques. Les données 2014 2015 2016 2017
exposées ci-dessus démontrent les deux aspects Figure 13. Utilisation du cloud dans le temps : nombre moyen de services
de cloud utilisés par organisation et par type.
13 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Nombre moyen de services Pour la 6e année consécutive, la catégorie comportant la
Une organisation lambda utilise 1 935 services de plus grande variété de services de cloud utilisés (p. ex.
cloud uniques, ce qui représente une augmentation Slack, Cisco WebEx, etc.) regroupe le partage de fichiers
de 15 % par rapport à l'année dernière. Ventilées par et la collaboration. Elle représente 20,9 % des services
type de service, les applications d'entreprise (Office 365, de cloud utilisés. Viennent ensuite les services financiers
Salesforce, etc.) représentent 70 % des services de (7,5 %), les services informatiques (7,1 %), l'infrastructure
cloud utilisés, tandis que les services de cloud destinés de cloud (7,1 %) et le développement (6,5 %). La sécurité
aux particuliers (tels que Facebook ou Pinterest) native au cloud est également en passe de devenir
représentent les 30 % restants. une catégorie majeure, avec 3,8 % de services de cloud
utilisés par organisation.
Bien que de nouveaux services de cloud soient utilisés
chaque année par les employés, le taux de croissance
du nombre de services de cloud s'est considérablement
ralenti, passant d'un pic de 43 % en 2014 à 15 % en 2018 7,5 % 6,5 % 6,3 % 5,7 %
Services Développement Ressources Enseignement
(voir la figure ci-dessous).
financiers humaines
Nouveaux services de cloud utilisés par organisation
Taux de croissance annuel des services de cloud utilisés 50 %
350 par organisation
45 %
3,2 %
43 %
3,8 % 3,6 %
300
20,9 % 7,1 % 5,3 % Soins
40 %
Sécurité Médias de santé
Partage Services Veille
250
35 %
de fichiers informatiques économique
32 %
30 % et collaboration
200
1,7 %
25 % 2,4 % 2,3 % 2%
Gestion Commerce Réseaux
20 % de projet électronique
CRM sociaux
150 20 %
18 %
100
15 % 15 % 7,1 %
271 290 240 255 253
10 %
Infrastructure 5,3 % 1,5 %
2,3 % 2,3 %
50
de cloud Autres Stockage Partage
1,7 %
Logistique
Gestion
de
1,4 %
Localisation
5% dans le cloud de contenu réseau
0 0%
2014 2015 2016 2017 2018
Figure 15. Utilisation du cloud par catégorie : pourcentage des services
Figure 14. Utilisation du cloud dans le temps : nouveaux services de cloud de cloud utilisés en 2018 par catégorie et par organisation.
nets introduits chaque année par rapport au pourcentage de croissance
annuel du total des services de cloud utilisés par organisation.
14 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les contrôles de sécurité natifs varient d'un
fournisseur à l'autre
Il n'existe pas deux fournisseurs de services de cloud
qui offrent le même ensemble de contrôles de sécurité.
18,1 % 37,3 % 13,3 %
Sur plus de 25 000 services de cloud utilisés aujourd'hui,
Prendre en charge Préciser que le client Supprimer immédiatement
seuls 8 % répondent aux exigences strictes en matière l'authentification est propriétaire de toutes les données en cas
multifacteur les données téléchargées de résiliation du compte
de sécurité des données et de confidentialité des
entreprises, telles que définies par le programme
d'évaluation CloudTrust Program. En creusant davantage,
nous constatons que moins d'un fournisseur sur dix
8,1 % 0,7 %
chiffre les données inactives stockées. Ils sont encore
moins nombreux à prendre en charge la possibilité pour Chiffrer les données Chiffrer les données à l’aide
inactives de clés gérées par le client
un client de chiffrer les données à l'aide de ses propres
clés de chiffrement. En raison notamment de la mise
en œuvre du Règlement général sur la protection des Figure 16. Les contrôles de sécurité des données stockées varient
d'un fournisseur à l'autre.
données (RGPD) de l'Union européenne, le chiffrement
à l'aide de clés gérées par le client passe désormais Qu'advient-il des données une fois téléchargées auprès
au rang d'exigence pour les organisations qui stockent d'un fournisseur de services de cloud ? C'est l'une
les données des résidents de l'Union dans un cloud des préoccupations majeures qu'expriment nos
transfrontalier. clients. Moins de la moitié des fournisseurs précisent
que les données des clients appartiennent au client.
Par ailleurs, étant donné la prévalence des violations
(Le reste revendique la propriété de toutes les données
de données provoquées par le vol d'identifiants,
téléchargées ou ne précise pas légalement à qui
on peut s'alarmer de constater que 19,2 %
appartiennent les données.) Un nombre encore plus
seulement des services de cloud prennent en charge
restreint de fournisseurs de cloud supprime les données
l'authentification multifacteur.
immédiatement à la résiliation du compte, alors que
le reste conserve les données jusqu'à un an, certains
revendiquant même le droit de conserver indéfiniment
des copies des données.
En raison de l'absence générale de contrôles de sécurité
essentiels dans l'ensemble des services de cloud,
les employés choisissent inévitablement (et sans le
savoir) des services de cloud présentant des risques.
15 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Si la grande majorité des utilisateurs de services de
cloud ne cherchent qu'à augmenter leur efficacité et 30 %
leur productivité, ils n'en sont pas moins susceptibles Particuliers
de mettre en péril les données de leur entreprise. Sur les
1 935 services de cloud utilisés par une organisation
lambda, 173 doivent être considérés comme des services
à haut risque (8,9 %). 70 %
Grandes
173 entreprises
Applications à haut risque
Figure 18. Type de services de cloud utilisés par une entreprise lambda.
295
Applications Les dix principaux services de cloud en entreprise
à risque moyen Aujourd'hui, 70 % de tous les services de cloud utilisés
1 467 que nous observons sont des services d'entreprise,
Applications
à faible risque représentant 71,8 % des données téléchargées. Office 365
est le premier service de cloud d'entreprise en nombre
d'utilisateurs, suivi de Salesforce et Cisco WebEx. Du point
de vue de la sécurité, les dix premiers services de cloud
Figure 17. Utilisation des applications de cloud par niveau de risque. d'entreprise sont nettement plus susceptibles d'être
dotés de contrôles de sécurité de niveau entreprise
Les services de cloud les plus représentés qu'un service de cloud lambda destiné au grand public.
Même dans les grandes entreprises, on note une
proportion importante d'utilisation de services destinés 1 OneDrive 6 Box
au grand public. Si certains services de cloud pour
particuliers évoluent et passent au rang de services 2 Exchange Online 7 Cisco WebEx
d'entreprise, la grande majorité d'entre eux sont en
réalité des réseaux sociaux et, à ce titre, généralement
3 Salesforce 8 Yammer
moins sûrs pour ce qui est des données. Ci-dessous,
nous commentons les services les plus représentés
dans les deux catégories. 4 SharePoint Online 9 Workday
5 ServiceNow 10 Slack
16 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les dix principaux services de collaboration Les dix principaux services de cloud grand public
et de partage de fichiers Les services de cloud grand public représentent 30 %
Pour la cinquième année consécutive, une application des services de cloud utilisés sur le lieu de travail.
Office 365 s'est classée en tête des dix principaux Les réseaux sociaux, le partage de contenu et les
services de collaboration cette année, suivie par Gmail services de collaboration dominent le palmarès.
et Google Drive dans le cadre de G Suite. Dropbox Plusieurs des services de cette liste possèdent des
Business et Box occupent les 6e et 7e places. Yahoo! Mail versions entreprise (telles que Google Drive, Skype
et Evernote, des habitués de cette liste, ont désormais Entreprise et Dropbox Business).
disparu tandis que Slack et Intralinks y font leur entrée.
1 OneDrive 6 Dropbox Business
1 Facebook 6 Apple iCloud
2 Exchange Online 7 Box
2 YouTube 7 Google Drive
3 Gmail 8 Cisco WebEx
3 Gmail 8 Dropbox
4 Google Drive 9 Slack
4 Twitter 9 Skype
5 SharePoint Online 10 Intralinks
5 LinkedIn 10 WhatsApp
17 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les dix principaux services de réseaux sociaux demandant à chaque participant de répondre à
Malgré les récents revers qu'a subis Facebook à propos plus de 100 questions sur l'utilisation du cloud dans
de la confidentialité des données et de la prolifération leur organisation. Si nous comparons les réponses
des fausses nouvelles, il demeure l'application de au sondage avec la réalité de notre analyse, nous
réseaux sociaux la plus utilisée. Cela étant, Twitter et constatons un certain nombre de différences flagrantes.
LinkedIn ont encore renforcé leur position en tant que Premièrement, il a été demandé aux participants
2e et 3e applications de réseaux sociaux les plus utilisées. d'estimer le nombre total de services de cloud que, selon
Et bien que Google+ ait programmé sa fin de vie, nous eux, leur organisation utilise. La réponse moyenne a été
constatons toujours une utilisation importante au de 31. Deux pour cent seulement des répondants ont
moment de cette analyse. estimé ce nombre à 80, alors que le nombre moyen réel
est de 1 935 services de cloud. L'écart de perception est
1 Facebook 6 VK
stupéfiant. Il signifie que 98 % des services de cloud ne
sont pas connus des collaborateurs informatiques, d'où
2 Twitter 7 Twitter for Business
des risques évidents au niveau du cloud.
3 LinkedIn 8 Sina Weibo 2 000
1 800
4 YouTube 9 Google+
1 600
1 400
5 ShareThis 10 Tumblr
1 200
1 000 1 935
Perception contre réalité : nombre total 800
des services de cloud
600
En avril 2018, nous avons publié le rapport intitulé
400
« Le point sur l'adoption et les défis du cloud :
Conseils pratiques et état de la sécurité du cloud ». 200
37 31 25 29 37
Il reposait sur une enquête menée auprès de plus de 0
1 400 professionnels de l'informatique dans 11 pays, Étude Étude Étude Étude Étude Réalité
Amérique Amérique Europe Asie-Pacifique Japon
du Nord latine
Figure 19. Total des services de cloud : déclarations et réalité.
18 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Perception contre réalité : une confiance
Modèle de responsabilité partagée pour la sécurité dans le cloud
excessive accordée aux services de cloud
sur le plan de la sécurité des données Solutions sur site IaaS PaaS SaaS
(pour référence) (Infrastructure-as-a-Service) (Platform-as-a-Service) (Software-as-a-Service)
L'enquête demandait aux participants dans quelle Accès utilisateur Accès utilisateur Accès utilisateur Accès utilisateur
mesure ils faisaient confiance à leurs fournisseurs de
Données Données Données Données
services de cloud pour assurer la sécurité des données
de leur entreprise. 69 % des répondants ont déclaré s'en Applications Applications Applications Applications
remettre aux fournisseurs pour sécuriser leurs données Système
Système d'exploitation Système d'exploitation Système d'exploitation
(et 12 % des répondants ont soutenu que le fournisseur d'exploitation
est seul responsable de la protection de leurs données). Trafic réseau Trafic réseau Trafic réseau Trafic réseau
Pourtant, la sécurité du cloud relève d'une responsabilité
Hyperviseur Hyperviseur Hyperviseur Hyperviseur
partagée et aucun fournisseur de services de cloud ne
fournit une sécurité à 100 % (prévention des fuites de Infrastructure Infrastructure Infrastructure Infrastructure
données, contrôle d'accès, contrôle de la collaboration, Physique Physique Physique Physique
analyse comportementale des utilisateurs, etc.). Il est donc
probable que les entreprises sous-estiment le risque
qu'elles courent en faisant confiance aux fournisseurs de Responsabilités du client Responsabilité du fournisseur
de services de cloud
services de cloud sans appliquer leurs propres contrôles.
Recommandations et perspectives
D'un point de vue pratique, le présent type d'analyse doit 2. Identifiez les services de cloud
permettre d'identifier les zones de risque en vue d'agir qui détiennent la plupart de nos
sur elles et de permettre aux entreprises de tirer parti du données sensibles.
cloud et d'accélérer leurs activités. Nous mettons à profit Office 365 et Box figurent parmi les emplacements
cette édition pour émettre trois recommandations les plus courants. Sitôt ces services identifiés, nous
fondamentales qui devraient contribuer à la stratégie pouvons immédiatement réduire notre exposition au
de sécurité dans le cloud : risque en étendant les stratégies de prévention des
fuites de données (DLP) et ainsi contrôler ce qui peut
1. Auditez vos configurations AWS, Azure,
y entrer ou en sortir.
Google Cloud Platform ou autres IaaS/PaaS.
Alternative aux centres de données sur site, l'utilisation 3. Verrouillez le partage partout où résident
des services IaaS/PaaS se développe rapidement. des données sensibles.
Par conséquent, nous devons anticiper les erreurs Parallèlement au contrôle des données elles-mêmes,
de configuration avant qu'elles n'ouvrent une faille il y a lieu de contrôler leurs destinataires.
majeure dans l'intégrité de notre sécurité.
19 Rapport sur l'adoption du cloud et les risques associésRAPPORT
Les contrôles de collaboration nous permettent leur utilisation dans un graphique détaillé de l'activité
d'éliminer les expositions irréversibles, tels que les en cloud, afin de révéler les tendances de l'utilisation
documents accessibles via un lien sans restrictions ; par rapport aux bases de référence comportementales
ils limitent généralement le partage à d'autres au fil du temps. Notre registre des services de cloud
destinations à risque, notamment les adresses surveille plus de 50 attributs de l'état de préparation des
e-mail personnelles. entreprises et nous permet d'analyser un comportement
Commencez par là. Au fur et à mesure que les services à l'aide de signatures de données détaillées pour plus de
de cloud continueront d'évoluer, notre stratégie 25 000 services de cloud. D'autres données contextuelles
d'atténuation des risques devra se développer en proviennent de notre enquête 2018 menée auprès de
parallèle. La technologie CASB (Cloud Access Security 1 400 professionnels de la sécurité dans 11 pays, qui tous
Broker) peut exécuter chacun des cas d'utilisation utilisent des services de cloud publics ou privés.
précisés ci-dessus, en exploitant les API des services Obtenez un audit personnalisé de votre
de cloud pour des niveaux de contrôle élevés. Le cloud utilisation du cloud
constituant désormais une extension officielle de
Nous pouvons analyser votre utilisation du cloud avec
presque tous les environnements informatiques, il est
McAfee® MVISION Cloud et vous communiquer un
temps de veiller à ce que les niveaux de sécurité évoluent
rapport sur les résultats :
au rythme de son développement rapide.
■■ Données sensibles stockées dans le cloud,
Méthodologie
et personnes qui y ont accès
Pour présenter ces résultats au lecteur, nous avons ■■ Collaboration et partage avec des tiers
analysé les données agrégées et anonymisées sur ■■ Menaces internes possibles et comptes
l'utilisation du cloud de plus de 30 millions d'utilisateurs potentiellement compromis
McAfee MVISION Cloud à travers le monde, dans des ■■ Événements anormaux indiquant une exfiltration
entreprises de tous les secteurs majeurs, dont les potentielle des données
services financiers, les soins de santé, le secteur public, ■■ Configurations IaaS et risques associés
l'éducation, la distribution, la haute technologie, l'industrie
manufacturière, l'énergie, les services publics, le secteur
juridique, l'immobilier, le transport et les services
Demander un audit
commerciaux. Collectivement, ces utilisateurs génèrent
chaque jour des milliards de transactions et d'événements
stratégiques uniques dans le cloud. Nous avons compilé http://bit.ly/CloudAudit5
1. McAfee, « Le point sur l'adoption et les défis du cloud : Conseils pratiques et état de la sécurité du cloud »
20 Rapport sur l'adoption du cloud et les risques associésÀ propos de McAfee
Leader en cybersécurité, McAfee s'est fixé pour mission
d'assurer la protection de toutes les ressources, depuis les
équipements jusqu'au cloud. Convaincus de l'efficacité de
la collaboration, nous mettons au point des solutions pour
entreprises et particuliers qui contribuent à un monde
plus sûr. En concevant des solutions compatibles avec les
produits d'autres sociétés, McAfee aide les entreprises
à orchestrer des environnements informatiques
véritablement intégrés, où la protection, la détection et
la neutralisation des menaces sont assurées de façon
simultanée et en étroite collaboration. En protégeant
l'ensemble des appareils des particuliers, McAfee
sécurise leur vie numérique à la maison et lors de leurs
déplacements. Grâce à sa collaboration avec d'autres
acteurs de la sécurité, McAfee s'est imposé comme le
chef de file de la lutte commune engagée contre les
cybercriminels au bénéfice de tous.
www.mcafee.com/fr
11-13 Cours Valmy - La Défense 7 McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-
92800 Puteaux, France Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.
www.mcafee.com/fr Copyright © 2018 McAfee, LLC. 4168_1118
NOVEMBRE 2018
21 Rapport sur l'adoption du cloud et les risques associésVous pouvez aussi lire
