En dépit de l’importance croissante du cloud pour les entreprises, celles-ci ne prennent pas suffisamment de mesures de gouvernance et de sécurisation pour protéger les données sensibles dématérialisées. C’est ce qui ressort de l’étude Global Cloud Data Security de l’acteur international de la sécurisation numérique Gemalto, à laquelle ont participé environ 3 500 répondants.

L’étude montre ainsi que:

– les services informatiques ne maîtrisent pas la moitié de tous les services dématérialisés et des données d’entreprise stockées dans le cloud.

– les entreprises ne cryptent par ailleurs qu’un tiers de toutes les données sensibles qu’elles stockent dans des applications du cloud.

– et plus de la moitié de toutes les entreprises affirment n’avoir aucune approche proactive pour garantir qu’elles interviennent conformément à la réglementation de protection de la vie privée et de sécurisation des données dans les environnements dématérialisés.

Sécurisation : de la volonté à la pratique

73 % des répondants affirment que les services et les plates-formes du cloud sont importants pour leur exploitation. Selon 81 % d’entre eux, ils prendront encore plus importance dans les deux ans à venir. 36 % des personnes interrogées indiquent ainsi recevoir des services dématérialisés pour tous leurs besoins d’exploitation en termes d’informatique et de traitement des données, et elles s’attendent à ce que ce pourcentage augmente jusqu’à atteindre 45 % au cours des deux années à venir.

Malgré l’importance croissante du cloud, 54 % des répondants indiquent que leur entreprise n’a aucune approche proactive pour la sécurisation et la conformité à la réglementation de protection de la vie privée et des données dématérialisées. Ce qui est en contradiction avec le fait que 65 % des répondants affirment que leur entreprise trouve qu’il est important de protéger les données sensibles et confidentielles dans le cloud. 56 % des personnes interrogées n’étaient pas d’accord avec l’affirmation selon laquelle leur entreprise partageait avec précaution les informations sensibles dans le cloud avec des parties extérieures, comme des partenaires, des entrepreneurs et des fournisseurs.

« Les entreprises continuent à lutter pour la sécurisation des données dématérialisées », affirme Dirk Geeraerts, expert identity & data protection chez Gemalto. « Ils ont accueilli à bras ouverts le cloud en raison de ses avantages en termes de coûts et de flexibilité, mais ils ont toujours du mal à maîtriser les données dans des environnements dématérialisés. En appliquant les approches traditionnelles de protection des données dans le cloud, les entreprises ne sont pas à la page. Les données ne sont en effet plus stockées dans le réseau local. Ce problème ne peut être résolu que par une approche axée sur les données, qui permet aux services informatiques de protéger uniformément des informations sur les clients et les données de l’entreprise à l’intérieur des dizaines de services dématérialisés utilisés quotidiennement par les services et les employés ».

Autres résultats importants de l’enquête

La sécurisation du cloud est entravée par le phénomène shadow IT

Selon les répondants, près de la moitié (49 %) de tous les services dématérialisés sont acquis par d’autres services que le service informatique. 47 % en moyenne de l’ensemble des données d’exploitation stockées dans le cloud ne sont pas gérées ou contrôlées par le service informatique. Néanmoins, 54 % des répondants estiment que le service informatique est informé de toutes les applications, de toutes les plates-formes et infrastructures dématérialisées utilisées. Cela représente une augmentation de 9 % par rapport à 2014.

La sécurisation conventionnelle n’est pas applicable dans le cloud

En 2014, 60 % de tous les répondants estimaient qu’il était plus difficile de protéger les informations sensibles en faisant appel à des services dématérialisés. Cette année, c’est l’avis de 54 % des personnes interrogées. 60 % des répondants trouvaient qu’il est plus difficile de protéger des informations sensibles ou confidentielles en faisant appel à des services dématérialisés. Le nombre de répondants qui avaient eu des problèmes à gérer ou à limiter l’accès pour les utilisateurs finaux est passé de 48 % en 2014 à 53 % en 2016. D’autres problèmes importants entravant la sécurisation sont l’impossibilité de faire appel à des techniques conventionnelles de protection des données dans des environnements dématérialisés (70 %) et l’impossibilité d’inspecter directement l’environnement des prestataires du cloud pour vérifier qu’ils se conforment bien aux directives de sécurisation (69 %).

De plus en plus de données clients stockées dans le cloud et y courent le plus de risque

Selon l’enquête, les données clients, messages e-mail, données de consommateurs, informations sur les employés et données de paiement sont les types de données les plus souvent stockés dans le cloud. Depuis 2014, ce sont les données clients qui sont de plus en plus stockées dans le cloud, elles sont passées de 53 % en 2014 à 64 % aujourd’hui. 53 % des répondants considèrent les données clients sont celles qui courent le plus de risques dans le cloud.

Les équipes de sécurisation ne sont pas impliquées dans l’acquisition de services dématérialisés

27 % seulement des répondants a affirmé que l’équipe de sécurisation est impliquée dans les décisions relatives à l’acquisition d’applications et de plates-formes dématérialisées. La majorité des répondants (64 %) indiquent que leur entreprise n’applique aucune politique de sécurisation du cloud, comme le chiffrement, comme condition d’utilisation de certaines applications dématérialisées.

Le chiffrement n’est pas encore appliqué à grande échelle dans le cloud

72 % des répondants trouvent qu’il est important de protéger les informations confidentielles par un chiffrement ou un token. 86 % affirment que ceci prendra de plus en plus d’importance dans les deux années à venir, ce qui est plus que les 79 % en 2014. Malgré l’intérêt croissant du chiffrement, cette technique n’est toujours pas utilisée à grande échelle dans le cloud. En ce qui concerne le Software-as-a-Service (SaaS), 34 % seulement des répondants affirment que leur entreprise protège les données sensibles à l’intérieur des applications par un chiffrement ou un token.

Nom d’utilisateur et mot de passe encore utilisés pour accéder aux services dématérialisés

67 % des répondants affirment que la gestion des identités d’utilisateurs est plus difficile dans le cloud qu’à l’échelle locale. Les entreprises s’abstiennent toutefois de prendre des mesures simples pour améliorer la sécurité du cloud. C’est ainsi que la moitié environ (45 %) de toutes les entreprises ne fait pas appel à l’authentification à deux facteurs pour sécuriser l’accès aux applications et données dématérialisées pour les collaborateurs ou des tiers. Cela signifie que de nombreuses entreprises valident encore toujours des identités d’utilisateur à l’aide des noms d’utilisateur et mots de passe. Les données courent ainsi plus de risques, car 58 % des répondants indiquent que leur entreprise permet également à des utilisateurs de tiers d’accéder aux données dans le cloud.

Conseils de sécurisation des données dématérialisées

Et Dirk Geeraerts de conclure : « Les services informatiques devraient mettre en place une politique claire pour la gouvernance et la conformité de données. Fixez des directives pour l’acquisition de nouveaux services dématérialisés et définissez les types de données qui peuvent être stockés ou non dans le cloud. En protégeant des données centralisées par un chiffrement par exemple, un service informatique veille à ce que les données soient également protégées lorsqu’elles sont dématérialisées, sans que les employés aient à faire des compromis lorsqu’ils ont besoin de faire appel aux services du cloud. L’accent devrait être davantage mis sur l’amélioration de la gestion de l’accès des utilisateurs à l’aide d’une authentification multi-facteurs. Pour les entreprises notamment qui partagent leurs données avec des fournisseurs ou des tiers, ceci est indispensable ».

https://www.youtube.com/watch?v=NdD7-4-BneA

[slideshare id=64398748&doc=globalclouddatasecurityinfographic-160726141358]

[toggle]

A propos de Gemalto

Gemalto est le leader mondial de la sécurité numérique avec un chiffre d’affaires 2015 de 3,1 milliards d’euros et des clients de premier plan dans plus de 180 pays. 

Dans un monde numérique de plus en plus interconnecté, Gemalto aide à établir des relations de confiance mutuelle. Des milliards de personnes à travers le monde veulent un mode et un cadre de vie plus agréables et intelligents. Ils veulent être libres de communiquer, acheter, voyager, faire des transactions bancaires, se divertir et travailler – à tout moment et en tous lieux – de façon agréable et sûre. Dans ce monde mobile et numérique en évolution rapide et constante, nous donnons aux entreprises et aux administrations les moyens d’offrir une large gamme de services numériques pratiques et sûrs en sécurisant les transactions financières, les services mobiles, les « clouds » publics et privés, les systèmes d’e-santé, l’accès aux services d’e-gouvernement, l’« Internet des objets », et les systèmes de billettique et de transports.

Notre portefeuille unique, qui s’étend des logiciels cryptographiques embarqués dans une variété d’objets du quotidien, à nos plateformes de back-office extrêmement robustes et évolutives pour l’authentification, le cryptage et la gestion des identifiants numériques, est mis en œuvre par nos équipes qui assurent un service de niveau mondial. Présent dans 49 pays, Gemalto emploie plus de 14 000 salariés travaillant depuis 118 bureaux, 45 centres de personnalisation et de données et 27 pôles de Recherche et de Développement logiciel.

 [/toggle]