Applications cloud déployées à l'insu du service IT: ou quand le partage de fichiers devient risqué

Quand les hackers agissent comme des employés via des comptes compromis

Les voleurs de données savent très bien que les entreprises mettent des informations de plus en plus sensibles dans les applications cloud. Le piratage des identifiants des applications SaaS est un moyen pratique pour un attaquant externe d'accéder aux applications critiques de l'entreprise, en laissant croire qu'il est l'utilisateur légitime. Comment ces identifiants sont compromis ? En grande partie avec des attaques de phishing et des piratages de bases de données. L'étude menée par Skyhigh a montré que 92 % des entreprises ont des identifiants de services cloud ??en vente sur le Darknet. 3 entreprises sur 4 ont au moins un compte compromis par mois.

En 2012, un service d'archivage de données dans le cloud célèbre a connu une faille de sécurité grâce à laquelle les comptes des utilisateurs étaient facilement accessibles. Les hackers ont utilisé des informations de comptes et des mots de passe volés à partir d'autres sites web pour accéder aux comptes d'archivage. Le dommage aurait pu être limité si les utilisateurs n'avaient pas réutilisés leurs identifiants sur plusieurs sites, mais cela montre aussi que l'authentification multi-facteur (AMF) aurait pu être un bon moyen de contrer l'attaque. Celle-ci exige une seconde forme d'authentification, telle que la saisie d'un code envoyé par SMS, e-mail ou téléphone. L'utilisation de l'AMF est une bonne méthode pour toutes les applications, et particulièrement pour les applications cloud basées en dehors du périmètre d'un pare-feu d'entreprise.

Des responsabilités partagées

Si les applications cloud sont indispensables pour accompagner le développement de l'entreprise, l'adoption de ces services doit être une responsabilité partagée entre les départements métiers et l'IT. D'un côté, les départements métiers déposent leurs données dans le cloud, mais les équipes IT doivent aider à les sécuriser. De l'autre, l'IT peut aider les employés et les départements métiers à choisir les applications cloud professionnelles et vérifier que des contrôles adéquats sont en place pour assurer la conformité, la gouvernance et la sécurité des données. La sécurité des données ne devant jamais être un compromis dans l'utilisation d'applications basées dans le cloud.

Aucune entreprise ne souhaite être la prochaine victime d'une attaque, et tous les employés ont la responsabilité de protéger les données de leur entreprise, où qu'elles se trouvent.