La société prévoit d’offrir aux utilisateurs des comptes Microsoft personnels sur les appareils commerciaux la possibilité de synchroniser leur contenu Personal OneDrive sur l’appareil en plus de leurs fichiers Enterprise OneDrive.
Le prochain changement de synchronisation OneDrive de Microsoft offrira aux utilisateurs de l’entreprise un moyen facile de synchroniser leurs comptes OneDrive personnels et d’entreprise sur les appareils commerciaux. Mais les responsables de la cybersécurité ne facilitent pas la synchronisation, car cela peut créer beaucoup de sécurité et de maux de tête.
Le déploiement était initialement prévu pour ce week-end (11 mai), mais il jeudi en retard, la page Microsoft sur la fonctionnalité a été modifiée pour dire qu’elle était repoussée en juin.
Microsoft n’a pas immédiatement expliqué le retard, mais les discussions sur LinkedIn et d’autres plateformes de médias sociaux ont exprimé de sérieuses doutes de la part des professionnels de l’informatique et de la sécurité sur le déploiement.
L’intention apparente du plan Microsoft est de faciliter les travailleurs des entreprises qui souhaitent mener un peu d’activité personnelle au travail, quelque chose pour aider légèrement avec l’équilibre entre vie professionnelle et vie privée. Mais les dirigeants informatiques ne sont pas ravis d’avoir des dossiers médicaux des employés, des documents fiscaux et privés – parfois privés – les photos et les vidéos sur les systèmes d’entreprise.
Le problème est potentiellement pire lorsque le flux de données est inversé. Une fois que ces ensembles de données personnels et d’entreprise sont synchronisés, il devient inévitable que quelqu’un enregistre accidentellement un fichier d’entreprise sensible à son personnel personnel OneDrive, qui enregistrera ensuite le fichier sur son ordinateur personnel.
Pour être juste, Microsoft a facilité la désactivation de ces capacités, mais la valeur par défaut est qu’elle sera autorisée.
La description officielle de Microsoft de la nouvelle fonctionnalité note: «Cette fonctionnalité permet au client OneDrive Sync sur Windows de détecter les comptes personnels Microsoft connus associés aux périphériques commerciaux et aux utilisateurs invités à synchroniser leurs fichiers OneDrive personnels. Si l’utilisateur accepte l’invite, leurs fichiers personnels peuvent commencer à se synchroniser ou à le déshabiller en utilisant ou des politiques.».
Opportunité de fuites de données
«L’élément asymétrique de cette fonctionnalité semble réellement faciliter la fuite de données. «Maintenant, vous avez des secrets d’entreprise, une propriété intellectuelle et même des informations potentiellement sensibles de clients ou d’autres employés. Il s’agit à la fois d’une situation de fuite de données et d’une violation potentielle de conformité et / ou de confidentialité. Bien que les paramètres puissent et doivent être ajustés pour empêcher cela, il y a probablement encore des vulnérabilités là-bas (parce que) la classification des données et les ajustements de politique ne sont probablement pas toujours parfaits.»
Glenn a offert un exemple hypothétique.
« Disons que vous avez une copie de votre passeport ou d’un PDF répertoriant vos prescriptions stockées dans votre lecteur personnel et qui est synchronisé avec votre lecteur d’entreprise. Maintenant, ces informations sont techniquement sous la portée de l’équipe informatique / sécurité de l’entreprise », a déclaré Glenn. «Cela ajoute plus de données dont l’équipe de sécurité n’a pas besoin ou ne veut pas protéger. Ils ont déjà trop de données pour protéger.
Les consultants en sécurité étaient plus émoussés.
« En faire la valeur par défaut sans donner aux administrateurs une chance de prendre de l’avance, cela va faire chier beaucoup d’administrateurs, dans lequel Microsoft est assez bon », a déclaré Jordan Wiseman, consultant en matière d’évaluation des risques de sécurité chez les systèmes commerciaux en ligne.
«Nightmare de la conformité attendant de se produire»
Christian Khoury, PDG de la société AI basée à Toronto, Easy Audit, qui vend des plateformes d’automatisation de la conformité, a également vu le changement Microsoft comme très problématique.
« Ce paramètre est un cauchemar de conformité qui attend de se produire. Il brouille la ligne entre les données personnelles et les entreprises d’une manière qui sape chaque politique DLP et le contrôle d’accès aux entreprises », a déclaré Khoury. «J’ai vu de première main à quel point il est difficile pour les startups SaaS en stade précoce de garder les données d’entreprise propres et conformes, et ils n’ont pas les ressources pour démêler ce type de gâchis. OneDrive ouvre désormais la porte à un auditeur d’entreprise pour se retrouver dans la porte personnelle de quelqu’un ou iCloud. Bonne chance prouvant à un auditeur que les données de vos clients ne sortaient pas de la porte.»
Khoury était également très mécontent de la décision de Microsoft de permettre cela par défaut.
« Microsoft renversant cela par défaut se sent imprudent. Cela met le fardeau aux équipes de sécurité pour le remarquer et l’arrêter avant que les dommages ne soient faits », a déclaré Khoury. « La plupart ne l’attraperont pas à temps. »
Microsoft a refusé une demande d’interview. Les responsables de Microsoft ont promis d’envoyer un e-mail à une déclaration, mais il n’a pas été reçu avant la publication.
Il existe divers outils, tels que l’intubation de Microsoft, et des politiques qui pourraient annuler tous ces problèmes. Mais si un environnement n’est pas suffisamment géré, cette option de synchronisation pourrait aggraver les choses.
Dennis Xu, vice-président de la recherche chez Gartner, a déclaré que les problèmes de données que ce changement pose déjà, dans une large mesure, existent dans le paysage typique des menaces d’entreprise.
Bien que Xu ait souligné que les administrateurs « doivent désactiver cela » et qu’ils « doivent garder un œil sur de nouvelles fonctionnalités et continuer à désactiver ces choses », il a déclaré qu’il ne pensait pas que cela augmentait de manière significative l’exposition au risque de l’entreprise typique.
« C’est un faible risque car il existe déjà de nombreuses façons de faire appel à des fichiers personnels à un ordinateur portable d’entreprise », a déclaré Xu.
Xu a ajouté que, bien qu’il ne voit pas ce changement de Microsoft en créant «une exposition immédiate», il pense que «cela augmente la probabilité que les fichiers d’entreprise puissent se retrouver dans un compte OneDrive personnel dans le cloud si les utilisateurs ne accordent pas une attention particulière au dossier synchronisé local OneDrive qu’ils utilisent.»
Risque pour les employés aussi
Matthew Rosenquist, CISO à Mercury Risk, a déclaré que de nombreux employés n’apprécient pas le risque qui prend en apportant des données personnelles dans l’environnement de leur employeur.
Tout ce qu’un employé apporte dans ses systèmes de travail est un jeu équitable à l’utilisation de l’entreprise comme il le souhaite, a déclaré Rosenquist.
« Vous leur accordez un accès à toutes les décisions commerciales, par exemple s’ils vont vous promouvoir. Et s’ils sont violés, vos dossiers privés sont également violés », a déclaré Rosenquist.
Rosenquist a également déclaré que les utilisateurs finaux cliqueraient souvent sur les invites à l’esprit.
« C’est comme quand une entreprise dit » Lisez notre CLUA (accord de licence de l’utilisateur final). Personne ne le fait « , a déclaré Rosenquist. « Ils cliqueront simplement et continueront. Ils ne connaissent pas les ramifications de ce clic. »
Wiseman, en ligne des systèmes commerciaux, a déclaré qu’il existe des moyens de sélectionner uniquement des fichiers personnels spécifiques à partager sur les systèmes de l’entreprise, mais même exclure un fichier du transfert ne le protégeait pas nécessairement de ses yeux.
« Même si vous configurez OneDrive pour synchroniser uniquement certains dossiers, le client énumère toujours les noms complets des objets qu’il ne synchronise pas.
