Selon une étude récemment publié par CyberArk, 83 % des organisations françaises font une totale confiance aux fournisseurs de cloud pour la protection de leurs données et applications. Est-ce raisonnable et suffisant ?
Pour ces mêmes entreprises, le principal avantage de la migration des workloads vers le cloud est de diminuer les risques de sécurité. 83 % d’entre-elles se reposent sur la sécurité intégrée par le fournisseur reconnaissant par ailleurs (45 %) qu’elle est insuffisante…
Les fournisseurs de cloud le rappellent constamment, en terme de « Cloud Security », le modèle est « la responsabilité partagée ». L’analyse des risques et la formation de vos équipes à la sécurité cloud est donc primordiale.
La sécurité du Cloud : Une responsabilité partagée
Avec SaaS, PaaS, IaaS, les méthodes de sécurité traditionnellement appliquées à un déploiement local ne fonctionnent plus. Les API, la configuration des services sont autant de nouvelles surfaces d’attaques que les hackers auront à cœur d’exploiter.
Dans tous les cas, la gestion des identités et des accès (IAM : Identity and Access Management) et la sécurité des données relèvent toujours de la responsabilité du client.
La première des intégrations sera donc celle d’une couche d’IAM. Le chiffrement au niveau des applications et des données sera fortement recommandé avec, concernant les accès, l’utilisation d’un VPN ou de TLS.
Quelles sont les principales menaces concernant le Cloud Computing ?
Le CSA (Cloud Security Alliance) a réalisé une étude et a établi une liste des 12 menaces principales classées par ordre d’importance :
- Vol des données
- Gestion insuffisante des identités, des droits et des accès
- Interfaces et API non sécurisées
- Vulnérabilités du système
- Détournement de compte
- Logiciels malveillants
- Attaques avancées persistantes
- Perte de données
- Audits préalable insuffisant
- Abus et utilisation néfaste des services Cloud
- Déni de service
- Vulnérabilités liées à la technologie partagée
Retrouvez l’étude complète ici : https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-12_Cloud-Computing_Top-Threats.pdf
Des mesures simples contre de gros impacts
Par exemple, dans le cas d’un vol de données sensibles, de données personnelles, ou d’identifiants et mots de passe… Quelles que soient les données volées, l’impact et les conséquences d’une telle attaque peuvent-être dramatiques. Un simple cryptage ou chiffrement pourra en minimiser considérablement l’impact.
Autre mesure simple qui sécurisera efficacement le cloud sera de mettre en place une IAM forte qui proscrira les identifiants faibles et utilisera l’authentification multifactorielle.
Concernant des développements et déploiements dans le cloud, le respect des recommandations de sécurité des fournisseurs limitera les risques, or elles semblent peu respectées.
Les utilisateurs et l’ingénierie sociale
Les attaques sur le cloud qui se révèlent les plus délicates à prévoir et à contrer sont celles qui reposent sur l’ingénierie sociale. Dans ce cas c’est l’utilisateur qui devient la faille, trompé par un pirate via un simple lien dans un email (par exemple), il pourra délivrer malgré lui ses accès et identifiants ouvrant ainsi les portes vers des applications ou des données sensibles. Si des solutions d’intelligence artificielle se révèlent capables aujourd’hui de contrer de telles attaques, l’utilisateur est le premier rempart à sensibiliser.
En conclusion
Dans le cadre du modèle de partage des responsabilités développé par les fournisseurs cloud, il convient donc aux organisations d’adapter leur politique de sécurité. Des solutions tierces de surveillance et de protection efficaces émergent pour AWS, AZURE et autres fournisseurs. La sensibilité et la formation des équipes est essentielle.
Valnaos vous propose actuellement 2 formations traitant de ces problématiques :
Développer les bonnes pratiques en matière de cybersécurité
La cybersécurité – comment protéger ses actifs
Plus largement regardez aussi nos formations liées à la cybersécurité