Sécurité du Cloud : utilisateurs finaux, menaces pour l’organisation ou alliés des DSI ?

Beaucoup d'entreprises ont déjà mis en place des solutions pour sécuriser leur cloud. Mais qu'en est-il des données qui transitent via les appareils des utilisateurs finaux ? Ces derniers aussi devraient aussi être formés aux problématiques de sécurité.

NetIQ a conduit cette année une étude* sur la sécurité du Cloud. L’objectif ? Comprendre la perception de la sécurité du Cloud au sein des entreprises du monde entier. L’étude s’est notamment penchée sur la qualité de la formation des utilisateurs finaux aux pratiques de référence en matière de sécurité de l’information en mode Cloud.
A l’heure où même les ministres français sont rappelés à l’ordre et priés d’être plus vigilants quant à la sécurité des données qui transitent via leurs smartphones, qu’en est-il des utilisateurs finaux en entreprise ?

La formation des utilisateurs finaux est insuffisante

Globalement, les résultats indiquent que la plupart des responsables IT estiment que la formation de leurs utilisateurs finaux en la matière reste insuffisante. Si 46 % des sondés pensent que leurs utilisateurs ont été pleinement formés, plus de la moitié (54 %) expliquent que cette formation à la sécurité est soit en cours de préparation, soit, pire encore, indisponible.
Les résultats montrent de fortes disparités selon les régions : Aux États-Unis, 57 % des responsables IT indiquent que leurs utilisateurs finaux sont pleinement formés. En Europe et dans la région Asie-Pacifique, cette part est plus proche de 40 %. Et si l’étude montre que des formations sont en cours de préparation dans le monde entier, il reste là encore des différences significatives dans le nombre de responsables IT indiquant« qu’aucune formation » n’est disponible.
Aux États-Unis, seuls 3 % des responsables IT font état d’une telle situation, contre environ 14 % en Europe et dans la région Asie-Pacifique.
La formation des utilisateurs finaux aux bonnes pratiques s’inscrit dans le cadre de tout programme solide de sécurité et de conformité.  Toutefois, de nombreux incidents montrent que les fuites attribuables à des « erreurs » des utilisateurs finaux constituent une préoccupation de plus en plus prégnante. C’est tout particulièrement vrai avec les infrastructures Cloud actuelles, hautement interdépendantes et interconnectées.
Avec celles-ci, la moindre erreur commise par un utilisateur final peut avoir de vastes répercutions sur l’organisation d’une entreprise, mais également sur les entités externes qui y sont connectées, tel un fournisseur de services Cloud, par exemple. Cela ne signifie pas que la formation n’a pas sa place dans le programme de sécurité et de conformité d’une société : elle participe à  la protection des  données sensibles, mais ne la garantit pas. Bien sûr, il est primordial de faire tous les efforts possibles pour assurer que la formation est efficace et continue. Elle doit fournir aux utilisateurs finaux des informations sur les derniers vecteurs de menace et sur les acteurs malveillants, mais également sur l’environnement réglementaire dans lequel évolue une organisation.
Les utilisateurs finaux doivent sortir de formation avec une compréhension claire de ce qu’ils doivent faire personnellement pour éviter toute exposition personnelle, toute fuite de données sensibles, ou encore toute amende infligée à l’entreprise pour non-conformité réglementaire.

Les utilisateurs finaux : une extension de l’équipe de sécurité

Les organisations utilisant les technologies Cloud et devant à la fois protéger leurs données les plus sensibles et respecter des contraintes réglementaires fortes doivent s’assurer qu’elles disposent d’un programme de formation des utilisateurs finaux solide. Pour cela, les utilisateurs finaux doivent être appréhendés comme des membres informels d’une équipe de sécurité étendue. Ils peuvent être formés pour  l’aider à maintenir en place les contrôles de sécurité les plus critiques.
Correctement formés, ils peuvent également aider à détecter et à avertir lorsque des systèmes ou des applications ne se comportent pas de manière nominale, ce qui peut être l’indication d’une menace potentielle.
Il est donc primordial de travailler avec acharnement à la mise en place d’un programme de sécurité et de conformité qui se concentre sur le déploiement des contrôles de sécurité fondamentaux, pour protéger les données où qu’elles résident, et appliqués à plusieurs niveaux au sein de votre infrastructure. De même, il est important de s’ assurer  que les utilisateurs finaux apportent l’aide supplémentaire dont les responsables IT ont besoin pour assurer la protection des données sensibles, et la conformité réglementaire d’une  organisation, y compris lorsqu’elle a recours aux services en mode Cloud.

----------------------
* L’étude intitulée « Perceptions of Cloud Security » a été conduite en février 2013 par IDG Connect pour NetIQ au sein de 200 entreprises réparties sur les zones Europe-Moyen Orient, Asie Pacifique et Amérique du Nord.

Autour du même sujet