Vous savez cette vieille plaisanterie selon laquelle, si vous et un halfelin sont pourchassés par un dragon en colère, vous n'avez pas à courir plus vite que le dragon, vous devez seulement être plus rapide que le halfelin? En supposant que des utilisateurs non malveillants *, vous n'avez pas à restreindre leur accès au cloud public, il suffit de rendre l'utilisation du cloud public inférieure à celle de toute solution d'entreprise que vous avez pour l'accès aux données sans bureau . Correctement mis en œuvre, cela réduira fortement le risque de fuites non malveillantes et est réalisable avec une fraction du coût.
Dans la plupart des cas, une simple liste noire devrait suffire. Mettez Google Drive, Dropbox et le cloud Apple dessus. Bloquez également le trafic vers Amazon AWS - la plupart de ces startups à chaud qui construisent encore un autre service cloud ne construisent pas leur propre centre de données. Vous venez de réduire le nombre d'employés qui savent comment accéder au cloud public de 90% à 15% (des chiffres très approximatifs, varient selon l'industrie). Utilisez un message d'erreur approprié pour expliquer pourquoi les clouds publics sont interdits, ce qui réduira leur impression de censure gratuite (malheureusement, il y aura toujours des utilisateurs qui ne voudront pas comprendre).
Les 15% restants peuvent toujours atteindre les fournisseurs qui ne figurent pas sur la liste noire, mais ils ne prendront probablement pas la peine de le faire. Google Drive and Co est soumis à de forts effets positifs sur le réseau (le type économique, pas le type technique). Tout le monde utilise les mêmes services 2-3, donc ils sont intégrés partout. Les utilisateurs créent des flux de travail pratiques et rationalisés qui incluent ces services. Si le fournisseur de cloud alternatif ne peut pas être intégré dans un tel flux de travail, les utilisateurs ne sont pas incités à l'utiliser. Et j'espère que vous avez une solution d'entreprise pour l'utilisation la plus basique d'un cloud comme le stockage de fichiers dans un endroit central, accessible depuis un emplacement physique en dehors du campus (avec VPN si la sécurité est nécessaire).
Ajoutez à cette solution de nombreuses mesures et analyses. (Cela est toujours nécessaire pour les utilisateurs). Prélevez des échantillons de trafic, en particulier s'ils présentent des schémas suspects (trafic en amont en rafales suffisamment important pour être chargé de documents, dirigé vers le même domaine). Jetez un œil humain aux domaines suspects identifiés, et si vous trouvez qu'il s'agit d'un fournisseur de cloud, découvrez pourquoiles utilisateurs l'utilisent, discutent avec la direction de la possibilité de proposer une alternative avec une convivialité égale, éduquent l'utilisateur incriminé sur l'alternative. Ce serait formidable si votre culture d'entreprise vous permet de rééduquer doucement les utilisateurs capturés sans appliquer de mesures disciplinaires les premières fois - alors ils n'essaieront pas de vous cacher particulièrement durement, et vous pourrez facilement détecter les écarts et faire face à la situation d'une manière qui réduit le risque de sécurité tout en permettant à l'utilisateur de faire son travail efficacement.
Un gestionnaire raisonnable ** comprendra que cette liste noire entraînera des pertes de productivité. Les utilisateurs avaient une raison d'utiliser le cloud public - ils sont incités à être productifs et le flux de travail pratique a augmenté leur productivité (y compris la quantité d'heures supplémentaires non rémunérées qu'ils sont prêts à faire). C'est le travail d'un gestionnaire d'évaluer le compromis entre la perte de productivité et les risques de sécurité et de vous dire s'il est disposé à laisser la situation telle quelle, à mettre en œuvre la liste noire ou à opter pour des mesures dignes des services secrets (qui sont très gênant et n'offre toujours pas une sécurité à 100%).
[*] Je sais que les personnes dont le travail est la sécurité pensent d'abord à l'intention criminelle. Et en effet, un criminel déterminé est beaucoup plus difficile à arrêter et peut infliger des dommages bien pires qu'un utilisateur non malveillant. Mais en réalité, peu d'organisations s'infiltrent. La plupart des problèmes de sécurité sont liés à la maladresse d'utilisateurs bien intentionnés qui ne réalisent pas les conséquences de leurs actions. Et parce qu'ils sont si nombreux, la menace qu'ils représentent doit être prise aussi au sérieux que l'espion le plus dangereux, mais beaucoup plus rare.
[**] Je suis conscient que, si vos patrons ont déjà fait cette demande, il est probable qu'ils ne sont pas du type raisonnable. S'ils sont raisonnables mais simplement mal orientés, c'est parfait. S'ils sont déraisonnables et têtus, c'est malheureux, mais vous devez trouver un moyen de négocier avec eux. Offrir une solution aussi partielle, même si vous ne pouvez pas les faire accepter, peut être un bon choix stratégique - correctement présenté, cela leur montre que vous êtes "de leur côté", prenez leurs préoccupations au sérieux et êtes prêt à chercher pour des alternatives aux exigences techniquement irréalisables.