Christophe Badot, directeur général France Varonis, fait le consultant pour les lecteurs de Solutions Numériques avec cet article sur la sécurité en environnement mixte.
Ces vingt dernières années, les entreprises ont investi des milliards et, plus vraisemblablement, des billions dans la conversion de contenu analogique en informations numériques. Dans le même temps, nous produisons des données à un rythme inimaginable il y a à peine une génération. Aujourd’hui, nous générons et sauvegardons de vastes quantités d’informations critiques dans le Cloud, principalement sous Office 365.
Des violations de données et des attaques par ransomware défraient régulièrement la chronique. Dans ces conditions, comment être sûr que les données de l’entreprise, qu’elles soient localisées dans le Cloud avec Office 365 ou sur site, soient protégées ?
De l’importance de maîtriser ses « Dark Data »
Tout comme dans la dernière scène des Aventuriers de l’arche perdue, dans laquelle des trésors inestimables semblent voués à sombrer à tout jamais dans l’oubli au milieu d’un gigantesque hangar, les entreprises ont accumulé tellement de données qu’elles sont, pour la grande majorité, incapables d’en dresser l’inventaire.
Les « Dark Data », décrites par Gartner comme les informations que les entreprises recueillent et stockent sans parvenir à les exploiter, sont comparables aux outils et matériaux que nous amassons dans notre garage, convaincus qu’ils nous serviront peut-être un jour.
Les entreprises rechignent souvent à se séparer de leurs Dark Data, pensant notamment qu’elles leur seront utiles en cas d’audit. Pourtant, stocker et verrouiller ces volumes de données supplémentaires n’est pas sans risques, en particulier si elles contiennent les informations personnelles de clients, celles d’employés ou encore de précieux éléments de propriété intellectuelle. Office 365 contribue au problème des Dark Data.
Alors qu’environ la moitié des professionnels de la sécurité estiment que leur société sera victime d’une attaque majeure dévastatrice d’ici un an, de nombreuses entreprises se focalisent sur la productivité sans se demander si leurs données sont protégées contre leurs concurrents, les pirates informatiques, les menaces internes ou même des États-nations hostiles.
C’est un peu comme ce tiroir, rempli de bric-à-brac, que nous avons tous et que nous redoutons d’ouvrir. Or pour mieux protéger une entreprise contre les menaces il est important de regarder les choses en face.
Vos données sont partout
De plus en plus couramment les entreprises stockent des informations sensibles à la fois sur site et dans le Cloud via Office 365 ainsi qu’une multitude de référentiels Cloud. Imaginons que les partages de fichiers, les sites SharePoint, les dossiers OneDrive et les liens partagés en externe, soient tous accessibles dans le monde entier. Cela représente un risque majeur.
Le danger est que des données passent entre les mailles du filet. Les environnements hybrides soulèvent de nouveaux défis en matière de sécurité et augmentent le risque d’incidents : étant donné que les données circulent entre le stockage sur site et des référentiels Cloud, tels qu’Office 365, le département informatique doit être en mesure de répondre à des questions fondamentales concernant la sécurité des données et leur utilisation appropriée.
La plate-forme Office 365 n’est-elle pas suffisamment sécurisée ?
Office 365 possède des fonctions de sécurité natives assurant un certain niveau de protection des données qui sont stockées sur cette plate-forme et qui y demeurent. Mais en réalité, les données ne restent jamais en place. Office 365 ferme les yeux sur les informations résidant sur site.
La sécurité native de la plate-forme ne permet pas un contrôle unifié des données sur site et dans le Cloud, ce qui entraîne une duplication des processus, des applications, des alertes et des rapports dans les environnements hybrides. Savoir rapidement à quels dossiers OneDrive, sites SharePoint et boîtes de messagerie Exchange un utilisateur ou groupe a accès peut se révéler extrêmement complexe, voire impossible. Il est encore plus difficile de localiser les données à risque, d’identifier les dossiers et objets sensibles partagés en externe, et de révoquer les autorisations qui ne sont plus requises.
Une sécurité axée sur le Cloud ne suffit pas
Pour renforcer la sécurité, les entreprises procèdent à une évaluation régulière des risques liés aux données, exigent des fonctions de sécurité plus complètes des éditeurs de logiciels SaaS/IaaS et comblent les lacunes en recourant à des solutions de sécurité tierces. Les solutions de sécurité dédiées au Cloud tentent de répondre à certaines de ces questions et de relever une partie des problèmes de sécurité associés.
Par exemple, les CASB (Cloud Access Security Broker) préviennent l’utilisation non autorisée de services Cloud (informatique cachée ou shadow IT), bloquent l’accès aux applications Cloud non approuvées et interdisent le partage externe de données non autorisées. Ils font généralement office de proxy direct et/ou inverse entre les utilisateurs et les services Cloud.
Malgré leur utilité, les solutions 100 % Cloud ne tiennent pas compte de l’infrastructure sur site, ignorent en grande partie les infrastructures hybrides, et ne disposent pas des fonctions de sécurité avancées auxquelles les produits d’audit et de protection des données de pointe ont habitué les entreprises.
Par où commencer ?
Les entreprises qui décident de passer à la vitesse supérieure et automatisent les règles de rétention et d’élimination des fichiers (avec archivage et suppression automatiques des données dont elles n’ont plus besoin) s’assurent une meilleure protection contre les menaces internes et les cyberattaques.
Analystes et professionnels de la sécurité s’accordent pour dire qu’une visibilité et une protection maximales dans Office 365 passent par l’optimisation des fonctions Microsoft natives au moyen de produits de sécurité intégrés, en particulier dans les environnements hybrides.
Voici 5 conseils pour mieux protéger son entreprise :
Se préparer à un avenir hybride
Bien que les entreprises continuent d’adopter une approche « Cloud-first », les applications critiques resteront hébergées sur site pendant encore un certain temps. La transition est un processus lent, pas un sprint. La stratégie de sécurité mise en œuvre doit donc permettre de savoir qui accède aux données, sur site et dans le Cloud. Elle doit offrir la visibilité dont l’entreprise a besoin pour garantir que seules les personnes autorisées ont accès aux informations, pour surveiller l’utilisation de ces dernières et pour être alerté en cas d’usage abusif.
Localiser les données sensibles cachées
Si l’entreprise s’appuie sur Office 365, il est important de savoir où résident les données sensibles (comme stipulé dans diverses réglementations, notamment le RGPD, les lois HIPAA et SOX, et la norme PCI-DSS). L’entreprise doit les marquer afin de les protéger, de se conformer aux réglementations et de consolider sa défense en cas de violation de données. La classification Microsoft intégrée exige non seulement des opérations manuelles de création de règles et de balisage, ce qui peut se révéler particulièrement fastidieux dans les grands environnements, mais ne couvre pas les magasins de données sur site. La sécurité de l’entreprise doit fournir des informations contextuelles sur les données sensibles afin de pouvoir reprendre le contrôle de ces données.
Renforcer la sécurité
Microsoft assure une modélisation de base (statique) des menaces, mais les outils natifs n’offrent pas d’informations contextuelles approfondies sur les comportements utilisateur au sein des différents produits et sont incapables de détecter les comportements suspects des comptes sur site. Ces outils natifs ne sauraient se substituer à une détection dynamique des menaces basée sur le comportement. Si l’équipe de sécurité de l’entreprise croule sous les faux positifs, il est essentiel de renforcer la sécurité à l’aide d’une solution avancée d’analyse du comportement des utilisateurs et des entités (UEBA) à l’échelle des environnements hybrides.
Réduire les risques et appliquer un modèle du moindre privilège
La plate-forme Microsoft fournit des fonctions limitées de découverte des données sensibles et peu de visibilité sur les autorisations. Elle ne facilite pas la hiérarchisation des mesures correctives, ne permet pas de simuler les changements, et ne propose aucun mécanisme centralisé de modification de l’appartenance aux groupes Azure AD et des autorisations d’accès aux conteneurs. Ces limitations compliquent considérablement la mise en œuvre et le maintien d’un modèle du moindre privilège. Il faut donc identifier et hiérarchiser les risques les plus importants, que ce soit sur site ou dans Office 365, et les corriger avant qu’ils ne portent atteinte à la sécurité.
Adopter une gouvernance des accès aux données orientée propriétaire
Impliquer les propriétaires des données dans la vérification des autorisations est une condition essentielle à la mise en œuvre pérenne d’un modèle du moindre privilège. Malheureusement, Microsoft ne facilite pas l’identification des propriétaires de données dans Office 365 et ne les implique pas dans les workflows critiques de gouvernance des accès, tels que la vérification des droits d’accès. L’automatisation des workflows de vérification des droits d’accès et d’autorisation vous fait gagner un temps précieux, soulage l’équipe informatique et aide à prendre de meilleures décisions au niveau du contrôle des accès.
Conclusion
L’ubiquité d’Office 365, et les vastes quantités de données non structurées qui y sont hébergées, soulèvent des défis sans précédent en matière de sécurité des données. L’utilisation conjointe de magasins de données sur site ne fait qu’ajouter aux difficultés, que la combinaison d’outils Office 365 natifs et de solutions palliatives tierces disparates ne permet pas de résoudre. Il est temps de prendre le contrôle de vos données dans vos environnements hybrides.