Skyhigh Networks, principal éditeur de solutions CASB (Cloud Access Security Broker), publie l’édition du quatrième trimestre et le bilan 2016 de son rapport sur l’adoption du Cloud et les risques associés (Cloud Adoption and Risk Report), avec des données chiffrées sur les risques auxquels les entreprises sont exposées, notamment en matière de Shadow IT, les services informatiques autorisés et la vague actuelle de migration vers des applications Cloud personnalisées. Le rapport analyse les données relatives à l’utilisation du Cloud de plus de 30 millions d’employés à travers le monde dans les principaux secteurs d’activité.
L’étude met en évidence une progression des services Cloud dans le milieu professionnel par rapport à l’an dernier, avec pour conséquence des faiblesses concernant la sécurité du Cloud, les entreprises ne parvenant pas à faire face aux risques émergents de manière proactive. Par exemple, malgré le fait qu’une entreprise utilise en moyenne 1 427 services Cloud et télécharge quelque 18,5 To de données chaque mois vers des applications Cloud, moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises. Les entreprises peinent en particulier à sécuriser le comportement de leurs employés, à détecter avec précision les menaces et à maintenir les règles de gouvernance du Cloud.
Parmi les conclusions du rapport :
· Sécuriser les nouveaux systèmes de fichiers
Maintenant qu’elles font autant confiance, sinon plus, aux fournisseurs de services Cloud professionnels qu’aux applications sur site pour leurs données, les entreprises doivent assurer la sécurisation de leurs systèmes Cloud dans des applications telles que Salesforce et ServiceNow. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques. Le Cloud facilite certes le partage des données, mais 9,3 % des fichiers partagés avec des tiers externes contiennent des données sensibles - 5 % des fichiers sont accessibles à n’importe qui via des liens - et 6,2 % sont partagés au moyen d’adresses e-mail personnelles ; ce qui montre que les entreprises n’ont pas adapté leurs règles de sécurité aux capacités de partage du Cloud.
· Menaces internes et externes
Avec l’adoption généralisée des applications Cloud pour les activités métiers stratégiques, les équipes chargées de la sécurité des informations doivent non seulement détecter les menaces entrantes, mais aussi empêcher toute exfiltration de données. Une entreprise rencontre en moyenne 23,2 incidents de sécurité liés au Cloud par mois, plus de la moitié étant le fait d’actes de malveillance ou de négligence en interne. L’activité des employés dans le Cloud génère chaque mois 2,7 milliards d’événements, dont 2 542 jugés anormaux. Parmi eux, seuls 23,2 s’avèrent être des menaces, soit un ratio anomalies/menaces réelles de 110:1. Face à l’afflux de notifications erronées d’atteintes à la sécurité, les équipes de sécurité finissent par ignorer les alertes et passent ainsi à côté d’incidents, un phénomène illustré par le piratage subi par la société Target en 2013. 57,5 % des entreprises ont été victimes d’une menace impliquant un utilisateur privilégié, une catégorie d’incidents particulièrement dangereux compte tenu des droits d’accès étendus dont disposent les administrateurs d’applications.
· Le Shadow IT perdure
Seuls 8,1 % des services Cloud satisfont aux exigences de sécurité et de confidentialité des données établies par le programme CloudTrust de Skyhigh : moins d’un sur dix crypte les données au repos et un pourcentage équivalent s’engage à ne pas partager les données clients avec des tiers. Une majorité d’entreprises déclarent disposer de règles de gouvernance définissant l’usage acceptable des services Cloud. Malgré les efforts déployés par les entreprises pour appliquer ces règles, les données d’utilisation montrent qu’elles échouent bien souvent à faire barrage aux services à haut risque (elles tentent par exemple de bloquer le service de partage de fichiers à haut risque Mega 54 % du temps, mais n’y parviennent que dans 32,8 % des cas).
· Le calme avant la tempête de l’IaaS
Alors que la première vague d’adoption du Cloud par les entreprises concernait les services SaaS, notamment les versions Cloud de logiciels existants tels qu’Office 365, une vague de migration au moins aussi importante est à prévoir lorsque les applications personnalisées migreront des datacenters d’entreprise vers le Cloud public. Ce n’est un secret pour personne, AWS (Amazon Web Services) est le principal fournisseur d’offres IaaS avec 35,8 % des parts de marché, mais Microsoft a considérablement réduit l’écart avec Azure et occupe actuellement 29,5 % du marché. Parallèlement, Google Cloud Platform et d’autres fournisseurs spécialisés représentent 34,7 % des nouveaux déploiements d’applications, sans compter des services PaaS tels que Force.com. Les entreprises devront adopter une approche indépendante des fournisseurs si elles veulent relever les prochains défis en matière de sécurité des services IaaS et PaaS.
Le rapport fournit également des informations essentielles pour comprendre le marché du Cloud d’entreprise : les applications d’entreprise les plus populaires, les applications grand public les plus plébiscitées, les services Cloud les plus prohibés, et la liste très attendue des services enregistrant la plus forte croissance, révélatrice des futurs innovateurs technologiques et leaders du marché.
A propos de Skyhigh Networks
Skyhigh Networks, acteur de la sécurité du cloud, permet aux entreprises d’adopter des services cloud, tout en garantissant la sécurité de leurs systèmes d’information et la protection de leurs données, et en étant conforme aux exigences règlementaires. Plus de 500 entreprises dans le monde utilisent Skyhigh pour gagner en visibilité, lutter contre les menaces, assurer leur conformité et protéger leurs données du Shadow IT. Basé à Campbell en Californie, Skyhigh Networks est soutenu par Greylock Partners, Sequoia, et d’autres investisseurs stratégiques.
L’étude met en évidence une progression des services Cloud dans le milieu professionnel par rapport à l’an dernier, avec pour conséquence des faiblesses concernant la sécurité du Cloud, les entreprises ne parvenant pas à faire face aux risques émergents de manière proactive. Par exemple, malgré le fait qu’une entreprise utilise en moyenne 1 427 services Cloud et télécharge quelque 18,5 To de données chaque mois vers des applications Cloud, moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises. Les entreprises peinent en particulier à sécuriser le comportement de leurs employés, à détecter avec précision les menaces et à maintenir les règles de gouvernance du Cloud.
Parmi les conclusions du rapport :
· Sécuriser les nouveaux systèmes de fichiers
Maintenant qu’elles font autant confiance, sinon plus, aux fournisseurs de services Cloud professionnels qu’aux applications sur site pour leurs données, les entreprises doivent assurer la sécurisation de leurs systèmes Cloud dans des applications telles que Salesforce et ServiceNow. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques. Le Cloud facilite certes le partage des données, mais 9,3 % des fichiers partagés avec des tiers externes contiennent des données sensibles - 5 % des fichiers sont accessibles à n’importe qui via des liens - et 6,2 % sont partagés au moyen d’adresses e-mail personnelles ; ce qui montre que les entreprises n’ont pas adapté leurs règles de sécurité aux capacités de partage du Cloud.
· Menaces internes et externes
Avec l’adoption généralisée des applications Cloud pour les activités métiers stratégiques, les équipes chargées de la sécurité des informations doivent non seulement détecter les menaces entrantes, mais aussi empêcher toute exfiltration de données. Une entreprise rencontre en moyenne 23,2 incidents de sécurité liés au Cloud par mois, plus de la moitié étant le fait d’actes de malveillance ou de négligence en interne. L’activité des employés dans le Cloud génère chaque mois 2,7 milliards d’événements, dont 2 542 jugés anormaux. Parmi eux, seuls 23,2 s’avèrent être des menaces, soit un ratio anomalies/menaces réelles de 110:1. Face à l’afflux de notifications erronées d’atteintes à la sécurité, les équipes de sécurité finissent par ignorer les alertes et passent ainsi à côté d’incidents, un phénomène illustré par le piratage subi par la société Target en 2013. 57,5 % des entreprises ont été victimes d’une menace impliquant un utilisateur privilégié, une catégorie d’incidents particulièrement dangereux compte tenu des droits d’accès étendus dont disposent les administrateurs d’applications.
· Le Shadow IT perdure
Seuls 8,1 % des services Cloud satisfont aux exigences de sécurité et de confidentialité des données établies par le programme CloudTrust de Skyhigh : moins d’un sur dix crypte les données au repos et un pourcentage équivalent s’engage à ne pas partager les données clients avec des tiers. Une majorité d’entreprises déclarent disposer de règles de gouvernance définissant l’usage acceptable des services Cloud. Malgré les efforts déployés par les entreprises pour appliquer ces règles, les données d’utilisation montrent qu’elles échouent bien souvent à faire barrage aux services à haut risque (elles tentent par exemple de bloquer le service de partage de fichiers à haut risque Mega 54 % du temps, mais n’y parviennent que dans 32,8 % des cas).
· Le calme avant la tempête de l’IaaS
Alors que la première vague d’adoption du Cloud par les entreprises concernait les services SaaS, notamment les versions Cloud de logiciels existants tels qu’Office 365, une vague de migration au moins aussi importante est à prévoir lorsque les applications personnalisées migreront des datacenters d’entreprise vers le Cloud public. Ce n’est un secret pour personne, AWS (Amazon Web Services) est le principal fournisseur d’offres IaaS avec 35,8 % des parts de marché, mais Microsoft a considérablement réduit l’écart avec Azure et occupe actuellement 29,5 % du marché. Parallèlement, Google Cloud Platform et d’autres fournisseurs spécialisés représentent 34,7 % des nouveaux déploiements d’applications, sans compter des services PaaS tels que Force.com. Les entreprises devront adopter une approche indépendante des fournisseurs si elles veulent relever les prochains défis en matière de sécurité des services IaaS et PaaS.
Le rapport fournit également des informations essentielles pour comprendre le marché du Cloud d’entreprise : les applications d’entreprise les plus populaires, les applications grand public les plus plébiscitées, les services Cloud les plus prohibés, et la liste très attendue des services enregistrant la plus forte croissance, révélatrice des futurs innovateurs technologiques et leaders du marché.
A propos de Skyhigh Networks
Skyhigh Networks, acteur de la sécurité du cloud, permet aux entreprises d’adopter des services cloud, tout en garantissant la sécurité de leurs systèmes d’information et la protection de leurs données, et en étant conforme aux exigences règlementaires. Plus de 500 entreprises dans le monde utilisent Skyhigh pour gagner en visibilité, lutter contre les menaces, assurer leur conformité et protéger leurs données du Shadow IT. Basé à Campbell en Californie, Skyhigh Networks est soutenu par Greylock Partners, Sequoia, et d’autres investisseurs stratégiques.
Les médias du groupe Finyear
Lisez gratuitement :
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 5 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 5 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer