Pendant que les entreprises déploient des solutions et la tuyauterie nécessaire pour exploiter les données et adopter les solutions dans le cloud, les hackers sont à l’affût de la moindre faille pour fracturer les accès et faire une razzia sur ces actifs très convoités. Pour détecter ces failles, les entreprises recourent à des outils de surveillance et d’application des politiques de sécurité. Mais alors qu’elles se préoccupent de mettre en place les outils d’analyse de la donnée pour la pertinence des décisions, les entreprises n’ont qu’une vague idée de la prolifération des erreurs de configuration, des comptes à privilèges et des permissions d’accès accordées. De plus, les équipes de sécurité doivent composer avec des données issues d’un nombre croissant d’applications et de services utilisés en mode SaaS, dans des environnements multicloud et hybrides.
D’après le nouveau rapport de Varonis, The Great SaaS Data Exposure, « en moyenne une entreprise possède une quantité alarmante de données sensibles exposées non seulement à tous les employés, mais aussi, et dans de nombreux cas, à l’ensemble de l’Internet. Il s’agit d’une bombe à retardement prête à exploser », affirme le rapport. Les enquêteurs de Varonis ont analysé 10 milliards d’objets, 15 pétaoctets de données de 717 organisations. Celles-ci intervenaient dans différents secteurs comme la finance, la santé, l’énergie et les services, la Tech et les organismes publics… Les données ont été recueillies auprès d’entreprises du monde entier, notamment aux États-Unis, Canada, Royaume-Uni, France, Allemagne, Espagne, Brésil et Australie.
81 % des entreprises exposent involontairement des données sensibles
Pour rassembler ces métadonnées, les enquêteurs ont scruté des applications et de services SaaS et IaaS, tels que Microsoft 365, Box et Okta. Certes, ces chiffres ne rendent pas compte de la situation de chaque entreprise, mais ils sont un bon indicateur de l’état sécuritaire des données dans des entreprises qui sont plus avancées dans leurs projets d’exploitation de la donnée. Il faudrait également pouvoir mettre en corrélation la taille de l’entreprise par rapport aux chiffres récoltés et au regard des pratiques et de la moyenne du secteur. Malgré ces manques, ces chiffres sont une bonne illustration de l’état des systèmes informatiques et des données dans les entreprises.Le résultat est pour le moins édifiant, car si 81 % des entreprises scrutées exposent involontairement des données sensibles, dans ce lot, 10 % des données sont accessibles à l’ensemble des employés. Avec la popularité du modèle par souscription et SaaS, les entreprises ont vu le nombre d’autorisations d’accès se multiplier. Mais le pire est de constater qu’en moyenne 4 468 comptes utilisateurs n’utilisent pas l’authentification multifacteur, soit environ 6 comptes par entreprise interrogée. Les liens de super admin trouvés sont moins nombreux, mais c’est tout de même 33 comptes dont plus de la moitié n’utilise pas d’authentification multifacteur.
12 000 liens de partage Microsoft 365
Parmi les accès, les chercheurs de Varonis ont trouvé plus de 12 000 liens de partage Microsoft 365, qui exposent les données à l’échelle de l’entreprise et à chaque employé. Concernant les données exposées, les supports de stockage des entreprises du panel contiennent en moyenne 157 000 dossiers sensibles exposés à tout le monde sur Internet via les fonctions de partage de SaaS, « ce qui représente 28 millions de dollars en risque de violation de données », estime le rapport.Quant à la composition de ces pétaoctets de données, les chercheurs ont établi le contenu d’un téraoctet pris comme modèle. En moyenne, chaque téraoctet dans le cloud contient plus de 6 000 fichiers sensibles, près de 4 000 dossiers partagés avec des contacts externes et plus de 2,1 millions de permissions. Avec autant de données thésaurisées dans un seul téraoctet, il est facile de comprendre la prolifération des attaques réussies.
Selon Varonis, il faut « environ six heures par dossier pour localiser et supprimer manuellement les groupes d’accès global, créer et appliquer de nouveaux groupes, puis compléter ces groupes avec les bons utilisateurs qui doivent avoir accès aux données. Pour 1 000 dossiers, cela représente 6 000 heures de travail manuel ».