in Sécurité

McAfee révèle que les données dans le Cloud sont bien plus exposées que les entreprises ne le pensent

Le stockage d’informations sensibles, les erreurs de configuration SaaS et IaaS, ainsi que les menaces liées au Cloud consituent des risques majeurs pour les données d’entreprise.

  • Davantage de fichiers hébergés dans le Cloud contiennent des données sensibles (21 %).
  • Le partage de données sensibles via un lien d’accès public a crû de 23 %.
  • Les entreprises recensent par mois plus de 2 200 incidents individuels au sein de leurs plateformes de Cloud public (IaaS/PaaS), incidents liés à de mauvaises configurations.
  • Les menaces dans le Cloud (tels que les comptes utilisateurs dérobés) ont augmenté de 27,7 % par rapport à 2016. Les menaces dans Office 365 ont, quant à elles, bondi de 63 % par rapport à l’année précédente.

McAfee, entreprise de cybersécurité spécialisée dans la protection du « Device-to-Cloud », dévoile les résultats de son rapport ‘Cloud Adoption and Risk’. Ce dernier analyse des milliards d’événements Cloud de clients anonymisés pour évaluer l’état actuel des déploiements et détecter où se trouvent les risques. Le rapport a révélé ainsi que près d’un quart des données dans le Cloud peuvent être catégorisées comme sensibles, exposant ainsi une entreprise à des risques en cas de vol ou de fuite de données. Si l’on ajoute à cela le fait que le partage de données sensibles dans le Cloud a augmenté de 53 % d’une année sur l’autre, les entreprises qui n’adoptent pas une stratégie Cloud, intégrant à la fois la protection contre la perte de données, les audits de configuration et les contrôles de collaboration, risquent de mettre en danger la sécurité de leurs données les plus précieuses, tout en s’exposant à un risque accru de non-conformité aux règlements internes et externes.

Aussi, bien que les entreprises utilisent massivement le Cloud public pour proposer de nouvelles expériences à leurs clients, une entreprise connaît, en moyenne par mois, plus de 2 200 incidents de mauvaise configuration au sein de ses platefomes IaaS (Infrastructure-as-a-Service) et PaaS (Platform-as-a-Service). Aujourd’hui, les fournisseurs de services Cloud ne couvrent que la sécurité du Cloud en lui-même, et ne protègent pas les données clients, l’utilisation de leur infrastructure et de leurs plateformes par les clients. Les entreprises demeurent responsables de la protection du partage de leurs données, d’où la nécessité de déployer des solutions de sécurité Cloud couvrant tout le spectre c’est-à-dire du SaaS (Software-as-a-Service) au IaaS en incluant le PaaS.

« Utiliser le Cloud est devenu la nouvelle norme pour les entreprises, à tel point que les employés n’hésitent plus à y stocker et y partager des données sensibles », a déclaré Rajiv Gupta, Senior Vice-President de l’entité Cloud Security Business. « Les menaces, le partage de manière accidentelle, les erreurs de configuration dans les services Cloud SaaS, ou dans les services Cloud en mode IaaS/PaaS sont tous en nette croissance. Afin de continuer à soutenir leur activité, les entreprises ont besoin d’un moyen simple et efficace pour protéger leurs données et pour se défendre contre les menaces dans l’ensemble des services SaaS, IaaS et PaaS. »

La collaboration dans le Cloud entre avantage et inconvénient

Les services Cloud offrent une occasion unique de renforcer le business grâce à leur capacité rapide d’évolution, à l’agilité et aux nouvelles possibilités de collaboration qu’ils offrent aux entreprises. A l’image de Box et des outils de productivité comme Office 365 qui sont utilisés pour en accroître la fluidité et l’efficacité. Cependant, la collaboration est synonyme de partage, action qui n’est pas toujours maîtrisée et qui représente un risque d’exposition des données sensibles. Comme l’illustrent les résultats du rapport :

  • Le partage de données sensibles via un lien d’accès public a connu une croissance de 23 % année après année.
  • Les données sensibles envoyées à une adresse électronique personnelle ont également augmenté de 12 % par rapport à 2016.

Pour sécuriser les données sensibles dans les applications de stockage, de partage de fichiers et de collaboration dans le Cloud, les entreprises doivent d’abord savoir quels services Cloud sont utilisés. Il leur faut ensuite parvenir à conserver leurs données sensibles et savoir comment elles sont partagées et avec qui. Une fois cette visibilité acquise, les entreprises peuvent alors appliquer des politiques de sécurité appropriées pour interdire le stockage de données hautement sensibles dans des services Cloud non approuvés. Elles pourront aussi fournir des protections afin d’empêcher le partage non conforme de données sensibles provenant de services Cloud approuvés, par exemple lorsque les données sont partagées avec des adresses électroniques personnelles ou via une liaison ouverte et publique.

Le IaaS et les PaaS, les risques de mauvaise configuration

Avec le Software-as-a-Service (SaaS), la protection des données et de l’identité de l’utilisateur ainsi que l’accès aux données sont principalement de la responsabilité du client. Avec l’Infrastructure-as-a-Service (IaaS), les clients ont une plus grande part de responsabilité qui comprend à la fois les données, l’identité, l’accès, les applications, les contrôles du réseau et de l’infrastructure hôte. Bien que cela donne aux clients la possibilité de disposer d’un meilleur contrôle sur leur infrastructure Cloud, cela augmente parallèlement la surface exposée aux risques de sécurité et leur responsabilité à cet égard.

Les fournisseurs IaaS, comme Amazon Web Services (AWS) mettent à disposition plusieurs services d’infrastructure et de plateforme, chacun ayant des paramètres de sécurité profonds et complexes. Le fait que les entreprises utilisent plusieurs fournisseurs IaaS/PaaS qui exécutent plusieurs instances du produit de chacun amplifie le défi de sécurité inhérent aux services IaaS/PaaS.

  • 94 % de l’utilisation du IaaS/PaaS se fait sous AWS, mais 78 % des organisations s’appuyant sur une Infrastructure-as-a-Service et une Plateforme-as-a-Service, utilisent à la fois AWS et Azure.
  • Les entreprises ont en moyenne 14 services IaaS/PaaS mal configurés fonctionnant en simultané, ce qui donne lieu à plus de 2 200 incidents individuels de mauvaise configuration par mois.
  • 5,5 % des buckets AWS S3 autorisent la lecture à l’échelle mondiale, ce qui les rend accessibles au public.

McAfee préconnise aux entreprises d’auditer leurs configurations IaaS et PaaS : AWS, Azure, Google Cloud Platform etc. de façon continue et d’en faire une pratique de sécurité standard. L’utilisation du IaaS/PaaS se développe rapidement en tant qu’alternative aux datacenters sur site. Les entreprises doivent anticiper et assumer leurs responsabilités en matière de sécurité : que ce soit la protection des données et la défense contre les menaces, comme elles le feraient pour les services Cloud en SaaS, la conformité des configurations ou la protection de la charge de travail pour les services Cloud en IaaS/PaaS, avant de subir un incident dans l’intégrité de leur dispositif de sécurité.

Comptes compromis et menaces internes

Le contrôle des données dans le Cloud dépend aussi de la capacité des entreprises à contrôler qui peut y accéder. La plupart des menaces qui pèsent sur les données hébergées dans le Cloud proviennent de comptes compromis et de l’interne. Une entreprise moyenne génère plus de 3,2 milliards d’événements par mois dans le Cloud, dont 3 217 sont inhabituels et 31,3 millions sont des menaces réelles.

  • + 27, 7 % : c’est l’augmentation annuelle des événements qualifiés de ‘menaces’ dans le Cloud, tels qu’un compte compromis, un utilisateur privilégié ou une menace interne.
  • 80 % des entreprises sont confrontées à au moins une menace de compte compromis par mois.
  • 92 % d’entre elles ont des identifiants Cloud dérobés à vendre sur le Dark Net.
  • Les menaces dans Office 365 ont augmenté de 63 % au cours des deux dernières années.

Afin d’anticiper les comptes compromis et les menaces internes, les entreprises devraient appréhender le fonctionnement des services Cloud. Elles se doivent également d’identifier les comportements anormaux, par exemple lorsque le même utilisateur accède simultanément au Cloud à partir d’emplacements différents et distants, ce qui pourrait indiquer une menace de compte compromis.

Comme première étape vers la protection des données dans le Cloud, l’entreprise devrait mettre en œuvre des Cloud Access Security Brokers (CASB). Ces logiciels hébergés dans le Cloud appliquent des politiques de sécurité, de conformité et de gouvernance pour les services Cloud. Ils aident les entreprises à exploiter et à étendre leurs contrôles de sécurité existants, si nécessaire, ainsi qu’à définir et à déployer de nouveaux contrôles natifs du Cloud, le cas échéant. La mise en œuvre d’un CASB permet aux entreprises de protéger systématiquement leurs données et de se défendre contre les menaces dans l’ensemble du spectre SaaS, IaaS et PaaS.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.