Navigateur ou application, quelle solution pour sécuriser vos échanges de données dans le Cloud ?

Si l'avènement du Cloud a permis de simplifier les méthodes de travail et les échanges de données, la question de la sécurisation de ces données et de leur vulnérabilité se pose toujours, notamment au moment de leur transmission via un navigateur ou via une application dédiée.

L’avènement du Cloud Computing et de la mobilité ont profondément changé les méthodes de travail et simplifié les échanges entre les entreprises. Aujourd’hui, une entreprise doit pouvoir permettre à ses collaborateurs de se connecter à ses données quand ils le souhaitent et depuis n’importe quel terminal. De même, elle doit pouvoir les partager avec des tiers (avocats, investisseurs, etc.) comme dans le cadre d’opérations financières telles que les opérations de fusion-acquisition par exemple.

Si le Cloud Computing permet de simplifier ces échanges, il fait également peser de nouveaux risques sur les données des entreprises. Ainsi, leur divulgation peut avoir des conséquences désastreuses, qu’il s’agisse de pertes de marchés, de perte de réputation ou de menaces pour la propriété intellectuelle de l’entreprise (tels que les brevets par exemple).

Le mode d’accès aux données peut compromettre leur intégrité
Selon l’étude Breach Level Index publiée par SafeNet et Gemalto, ce sont plus d’un milliard de données qui ont été dérobées en 2014 via 1541 opérations d’intrusion. Lors de ces attaques, les pirates cherchaient essentiellement à mettre la main sur des informations bancaires ou sur de la propriété intellectuelle. Une étude menée par Hewlett Packard en partenariat avec le Ponemon Institute en 2014 estime que le coût du cyber-crime pour les entreprises françaises s’élève en moyenne à 4,8 millions d’euros, en progression de 20,5% en un an.

Les opérateurs de services Cloud proposent aux entreprises d’accéder à leurs données, stockées sur leurs serveurs sécurisés ou dans des datarooms électroniques, tout en leur permettant de définir qui a accès aux données. Ils proposent ainsi aux entreprises d’accéder à ces services via un navigateur classique ou via une application en mode Cloud privé. Pour autant, ces deux solutions n’offrent pas les mêmes garanties à leurs utilisateurs :

• L’accès à ses données via un navigateur dépend du niveau de sécurité et des failles affectant ce navigateur. En effet, si des plug-ins sont souvent nécessaires à la consultation de documents au sein de datarooms, ils sont peu sécurisés. Au-delà, les navigateurs peuvent également stocker beaucoup d’informations, souvent sans que l’utilisateur soit au courant, et l’historique de navigation peut facilement être piraté, ce qui peut compromettre une transaction. Enfin, la rapidité d'affichage et de téléchargement des documents peut être considérablement altérée lors des mises à jour du navigateur et de plug-ins comme Java ou Flash Player, ce qui ralentit le processus global.
  
• A l’inverse, accéder aux données via une application permet de fonctionner indépendamment des navigateurs et des plug-ins tiers, pour atteindre un niveau de sécurité plus élevé. Assimilable à un tunnel hermétique entre l'ordinateur d'un utilisateur et les serveurs de la dataroom de l’entreprise, l’accès via une application répond à la fois aux enjeux d’efficacité et de sécurité. Grâce à un code de développement unique et à l’ID de l’éditeur, les applications indépendantes permettent d’augmenter le niveau de sécurisation des données  échangées.
  

La découverte de la faille Heartbleed – introduite en novembre 2011 mais seulement découverte le 6 avril 2014, vient confirmer le faible niveau de sécurisation des navigateurs Web. Leur utilisation peut compromettre les échanges des données les mieux protégées. Ainsi, cette faille qui touchait le protocole de sécurité OpenSSL, rendait vulnérables les données échangées via un navigateur puisque le protocole HTTPS, combinaison du HTTP avec une couche de chiffrement SSL ou TLS, s’appuyait sur la bibliothèque de chiffrement OpenSSL.

Si les directeurs des services informatiques et les responsables de la sécurité informatique mettent en place des moyens importants pour sécuriser les informations de leurs entreprises, ils doivent aujourd’hui évaluer quels sont les risques – identifiés ou non – pouvant les compromettre. Parmi ces risques, il convient de se demander si le navigateur, moyen d’accès le plus utilisé pour échanger les informations en mode Cloud, n’est pas la faille qui pourrait exposer la sécurité des données et avoir des conséquences importantes pour la pérennité même de l’entreprise.