Le cloud, talon d’Achille d’une politique de cybersécurité ?


Share Button
Le cloud, talon d’Achille d’une politique de cybersécurité ?

Si le passage au cloud est un prérequis à toute transformation numérique, il expose l’entreprise à de nouveaux risques. Celle-ci doit en tenir compte et changer son approche en matière de cybersécurité.

Offrant une infrastructure « scalable » et une puissance de calcul infinie, le cloud est un levier incontournable pour toute stratégie de transformation numérique. Il expose toutefois à de nouveaux risques. Alors que jusqu’ici, ses données restaient au « chaud », hébergées dans les serveurs ou le datacenter de l’entreprise, elles sont désormais avec le cloud ouvertes à tous les vents.

La montée vers le nuage se généralisant – 40 % de l’infrastructure informatique des entreprises françaises est sous architecture cloud selon un livre blanc de Rohde & Schwarz Cybersecurity et CXP Group –, les cybercriminels ont massivement jeté leur dévolu sur les services cloud. Les menaces portent avant tout sur les données que le cloud a rendues plus accessibles, qu’il s’agisse de demandes de rançons (ransomwares), d’utilisations frauduleuses de données tierces ou d’espionnage.

Les principales vulnérabilités du cloud public

Le cloud ayant multiplié les authentifications pour accéder à ses différents services, la menace autour des usurpations d’identité est devenue une préoccupation majeure, en particulier en ce qui concerne les comptes à privilèges. Si les prestataires de clouds publics investissent fortement dans la protection de leurs plateformes, ils peuvent aussi servir de rampe de lancement pour les cybercriminels.

Fin juillet, les chercheurs de Proofpoint ont détecté une campagne de phishing hébergée dans les cloud d’Amazon Web Services (AWS) et de Microsoft Azure. Elle usurpe la marque DocuSign (solution de signature électronique) en copiant le formatage des e-mails pour cibler des individus spécifiques au sein d’une entreprise.

Selon un récent rapport de Checkpoint, les principales vulnérabilités du cloud public concernent : les accès non autorisés (42 %), les interfaces non sécurisées (42 %), les erreurs de configuration (40 %) et les détournements de comptes (39 %). 66 % des personnes interrogées pour cette même étude ont déclaré que les solutions de sécurité traditionnelles ne fonctionnaient pas du tout ou ne fournissaient que des fonctionnalités limitées dans le cloud. Un autre rapport, réalisé par l’Unité 42 de l’éditeur Palo Alto Networks, note que l’exposition des données augmente avec l’adoption des conteneurs logiciels de type Docker et Kubernetes. Il a mis en évidence que plus de 40 000 plateformes de containerisation reposant sur des configurations par défaut étaient particulièrement vulnérables.

Le shadow IT démultiplié par le cloud

Et encore, il ne s’agit là que de la partie émergée de l’iceberg… le cloud favorise le shadow IT, notamment les applications installées sous le radar de la DSI. Selon une étude réalisée par le Club des experts de la sécurité de l’information et du numérique (Cesin) en partenariat avec Symantec, une entreprise utilise en moyenne cinquante fois plus d’applications et de services cloud qu’elle n’en a recensés. Les salarié.e.s font notamment grand usage des messageries web de type Gmail ou Yahoo Mail et des espaces de stockage en ligne comme Google Drive, Dropbox ou WeTransfer.

Bloquer l’accès à ces applications collaboratives serait contre-productif, renvoyant l’image d’une DSI répressive et contraignante. Elle doit donc changer son approche de la cybersécurité. Il ne s’agit plus de bloquer des accès ou des actions mais de se concentrer sur la protection des données où qu’elles se trouvent.

Dans la panoplie des outils de cybersécurité, on trouve les pare-feu cloud (cloud based firewall), les solutions traditionnelles d’archivage, de sauvegarde et de plan de reprise d’activité (RPA), le chiffrement des données de bout en bout ou la gestion des accès et des identités (Identity and access management, IAM).

CASB, CWPP et EMM

D’autres solutions sont plus spécifiquement conçues pour appréhender la complexité du cloud comme le Cloud access security broker (CASB). Un CASB agit comme une sentinelle contrôlant les entrées et sorties d’un réseau, il applique la politique de sécurité de l’entreprise. Selon McAfee, seule une entreprise sur trois utiliserait actuellement un CASB. Dans le domaine du IaaS, on trouve aussi un dispositif baptisé Cloud workload protection platform (CWPP) pour protéger les charges de travail dans des environnements de clouds hybrides.

Pour encadrer l’usage du BYOD – les collaborateurs travaillent avec leurs propres terminaux -, il existe des solutions dites d’EMM (Enterprise Mobility Management) pour sécuriser une flotte d’appareils mobiles. Ces suites logicielles comprennent trois modules : le MDM (Mobile device management) pour la partie matérielle, le MAM (Mobile application management) pour le volet applicatif et le MCM (Mobile content management) pour encadrer l’utilisation des données sensibles.

Enfin, les moyens de protection ne se limitent pas aux murs de l’entreprise. Le cloud étend généralement son système d’information aux clients, partenaires et fournisseurs. Il convient donc de s’assurer que ces derniers disposent de moyens de protection à l’état de l’art.

La cyberattaque qu’a subi Target a rappelé qu’un prestataire pouvait constituer le maillon faible d’une politique de sécurité. En l’occurrence, les pirates ont ciblé un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation et qui avait accès à son système de facturation.

Cloud ou autres points de vulnérabilité…, les entreprises doivent, plus que jamais, mettre en place une politique de cybersécurité !

Toutes nos formations cybersécurité et cloud

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *