Modern security for modern teams!

At elba we create software so you can secure your company’s Saas apps, as well as train your employees against cyber attacks automatically, without going through all the hassle

Get on board and try us for free
I Want to Secure my SaaS!
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Le futur du software est collaboratif

Si le risque cyber a explosé avec la transition de l’on premise vers le cloud, la transformation à laquelle nous assistons est aussi structurante, avec l’avènement des softwares collaboratifs.

La récente acquisition de Figma par Adobe en est certainement le meilleur exemple : un software legacy abdique face à un concurrent, dont le différenciateur majeur aura été d’être collaboratif et multi-layer dès l’origine.

Cette collaboration, touche tous les métiers :

  • Les équipes de customer success sur Front
  • Les équipes produit sur Linear ou Trello
  • Les équipes sales sur Salesforce

Cette nouvelle génération d’applications permet une flexibilité et une productivité rarement égalées, mais, en contrepartie, entraînent une perte de contrôle pour les équipes IT.

Un phénomène hors de contrôle pour les équipes IT

Il est de plus en plus difficile pour les équipes IT de garder le contrôle sur les données de l’entreprise, sous l’effet de plusieurs facteurs :

  • Effet volume : avec près de 80 applications utilisées en moyenne à l’échelle d’une entreprise la production de données est massive, et elle est surtout dispersée entre plusieurs environnements
  • Vitesse de renouvellement : les données sont modifiées en permanence et toute appréhension de la donnée à un instant T est immédiatement obsolète (pensez à une note Notion que 5 collaborateurs éditent en même temps, des wireframes Figma sur lesquels travaillent les équipes product et design…)
  • Multiplicité des utilisateurs : les applications collaboratives sont ouvertes sur l’extérieur, et les données sont consommées, éditées et repartagées par des parties prenantes diverses, comme des freelances, des prospects, des investisseurs…
  • Hétérogénéité des données : toute cette production de données n’est pas sensible en soi, mais de nombreuses données critiques sont diffusées à travers toutes ces apps : données confidentielles, données personnelles (PII)…

La protection des données toujours plus menacée

Le risque de fuites de données - qu’elles soient confidentielles ou personnelles - est toujours plus fort, et l’année 2022 marque déjà un record en la matière selon le rapport annuel d’IBM. Le préjudice se chiffre en centaines de milliers d’euros.

Selon le rapport d’IBM, dans 15% des cas ces fuites de données proviennent d’une mauvaise configuration des applications, ce qui en fait, à égalité avec le phishing, le deuxième vecteur de fuites.

Par exemple, l’entreprise Doxzoo a subi une fuite de données massive (plus de 340GB de données, affectant 100 000 utilisateurs), à cause d’une mauvaise configuration d’un bucket AWS S3.

Contrôler le partage de la donnée : un défi de taille

Si elles favorisent en premier lieu la collaboration interne, ces nouvelles applications collaboratives permettent de partager facilement la donnée à l’extérieur, dans des organisations qui sont de plus en plus hybrides et décentralisées.

Selon les différents benchmarks, on estime à environ 15 à 20% la part des données de l’entreprises partagées à l’extérieur. Le problème, c’est qu’il est très difficile de garder de la visibilité sur ces données.

Partage à l’extérieur : pas la priorité des product managers…

Si toutes ces applications sont louées pour leur UX, toutes semblent être passées rapidement sur une feature : le partage des données. Le résultat ? Des études montrent que 84% des fuites de données sont accidentelles, et résultent d’une négligence.

Pour les utilisateurs, il n’existe pas de standard entre les différentes applications, pour comprendre exactement ce à quoi on donne accès en partageant un document Notion, un fichier Google Drive, un channel Slack… : juste le document ? tout le workspace ? à tous les utilisateurs ? en accès public ?

Pas d’historique ni d’agrégation

Plus compliqué encore : maintenir un contrôle dans le temps. Certains documents doivent être partagés sur une période donnée (par exemple dans le cadre d’une collaboration avec un freelance), mais il est très souvent impossible d’en trouver l’historique, et encore moins d’avoir des rappels réguliers.

Enfin, on l’a dit, la donnée partagée est éclatée entre différentes applications : il est quasi impossible pour les utilisateurs comme pour les équipes IT d’avoir une vue consolidée, en temps réel, sur la donnée partagée à l’échelle de l’organisation.

Quelles solutions ?

Interdire le partage à l’extérieur ?

C’est le choix fait par certaines organisations, notamment sur leur Google Drive. Cette option est difficilement tenable, pour deux raisons :

  • Elle génère énormément de frictions entre les utilisateurs et les équipes IT, bridant la productivité de chacun
  • Les utilisateurs opteront toujours pour des solutions de contournement, qui seront encore plus difficile à contrôler (par exemple en utilisant leur adresse privée)

Solutions de DLP traditionnelles

Le contrôle de la donnée peut s’effectuer grâce à des solutions de Data Loss Prevention (DLP)  mais celles-ci présentent deux limites majeures :

  • Ce sont souvent des solutions traditionnelles, qui fonctionnent au sein du périmètre organisationnel de l’entreprise, mais sont peu adaptées aux applications SaaS dont on vient de parler
  • Elles génèrent énormément de faux positifs, et requièrent donc une maintenance importante de la part des équipes IT, mais aussi des utilisateurs : eux seuls ont le contexte métier pour savoir si tel ou tel document devait bien être partagé

Automatiser la détection, faciliter la remédiation

Traiter efficacement ce problème nécessite de s’appuyer sur 5 piliers :

  • Agrégation : l’utilisateur doit pouvoir bénéficier d’une vue consolidée de toute la donnée qu’il a pu partager à l’extérieur de l’organisation
  • Automatisation : la détection de cette donnée partagée doit être automatisée, tout comme son analyse
  • Responsabilisation : cette analyse ne peut être réalisée que par les propriétaires du document, car eux seuls peuvent juger du bien fondé du partage ; ils doivent donc être responsabilisés et ce travail ne doit plus revenir aux équipes IT
  • Education : pour prendre la bonne décision au bon moment, les utilisateurs doivent pouvoir comprendre très simplement les risques associés, et bénéficier de toute la visibilité sur la donnée partagée (date, destinataires…)
  • Actionnabilité : les actions de correction doivent être simples et accessibles, pour ne pas créer de friction inutile pour l’utilisateur

N’hésitez pas à nous contacter pour découvrir comment elba peut vous aider à contrôler le partage de données dans vos organisations 👋 !

Purple and Blue gradient

Cybersecurity done the right way

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
© 2022. All right reserved
9 rue Ambroise Thomas, 75009 Paris
Elba
SecurityCareersChangelogPrivacyTerms
Resources
GDrive Security GuideNotion Security GuideGithub Security Guide [FR]Slack Security Guide
Social
BlogLinkedinTwitter