Sécurité des services en nuage – délégation de données signifie-t-elle délégation de risques ?


Si nous déconstruisons le concept de services en nuage et que nous le réduisons à la forme la plus simple possible, il deviendra évident que le nuage n’est rien d’autre que l’ordinateur de quelqu’un.

Un certain nombre de logiciels, difficiles à estimer, sont lancés sur eux, étant reçus par les fournisseurs de services en nuage de sociétés tierces et, parfois, de la communauté Open Source. Quels sont les risques encourus ?

Qu’est-ce qui se cache derrière la sécurité des données dans un nuage ?

Il existe une croyance populaire selon laquelle l’utilisation de services en nuage permet de déléguer les responsabilités liées à la sécurité des logiciels. Le cloud est censé être une manière spécifique de déléguer les responsabilités : certains pensent que l’infrastructure conçue de cette manière ne peut pas être piratée. Cependant, si nous effectuons la déconstruction susmentionnée, il devient évident que les serveurs externes sont aussi sujets aux attaques que les logiciels qui sont lancés sur eux.

La composante humaine peut également échouer – alors que les portefeuilles Amazon Web Service ou Microsoft Azure offrent beaucoup en termes d’automatisation de l’administration, un grand nombre de risques est lié à des défauts de configuration. Malheureusement, les prévisions dans ce domaine sont impitoyables. Aussi vite que nous nous sommes habitués aux données, aux applications, aux conteneurs et, enfin, à la puissance de calcul qui nous est donnée dans le cadre des infrastructures externes, nous devrons nous habituer à un nouveau type de risques qui attendent nos organisations et nos entreprises.

Les infrastructures en nuage sont attaquées à un rythme croissant

Selon les analystes de Forbes, d’ici 2020, près de 85 % de tous les flux de travail des entreprises seront transférés vers le cloud. L’intérêt d’employer des experts spécialisés dans des migrations similaires n’est donc pas surprenant. Tous ceux qui ont au moins une expérience de base avec Amazon Web Service se rendent compte que le rôle clé dans le processus est joué par la connaissance approfondie de l’offre d’AWS. Le nombre de services et de micro-services offerts peut être écrasant pour beaucoup.

Il y aura certainement des expérimentateurs maison qui, sans préparation adéquate, ou au moins une connaissance de base de la documentation, tenteront de tester les nouveautés avec la méthode d’essai et d’erreur, de manière indépendante ou en utilisant des équipes inexpérimentées. Ce phénomène pourrait dominer l’aperçu des cybermenaces au sein des entreprises dans les années à venir. Selon les analyses de Gartner, d’ici 2022, 95 % de toutes les violations de la sécurité seront le fait des utilisateurs et non des fournisseurs de services en nuage.

Le résultat d’une telle situation peut être catastrophique, notamment en raison des particularités de l’utilisation de l’infrastructure en nuage comme stockage de bases de données. Par conséquent, même le plus petit incident de sécurité, par exemple un effet d’une configuration défectueuse ou de l’utilisation d’outils inadéquats, peut entraîner une fuite de données géante. Et la fuite, surtout si l’incident n’est pas correctement géré, exposera l’organisation à des amendes proportionnelles, imposées par les institutions européennes et la directive GDPR.

Fuites de données géantes et menace persistante avancée

Pendant des années, le problème a été lointain, car la transformation du nuage était le domaine des plus grandes organisations, alors que pour d’autres, elle restait un slogan accrocheur répété à l’envi dans les médias du secteur. À la fin de la deuxième décennie du 21st siècle, la migration des nuages est un processus universel et de masse. Il n’est pas difficile d’imaginer que l’idée de déléguer les responsabilités en matière de sécurité de l’infrastructure conduira à des incidents ultérieurs, respectivement à l’universalité de la migration.

Il est évident que les fournisseurs eux-mêmes ne restent pas inactifs face à des prévisions similaires, ce qui peut être démontré par les différents services lancés en même temps que l’infrastructure que les utilisateurs reçoivent à leur disposition. Il suffit du nom de Amazon Web Service Security Hub pour se rendre compte qu’il existe déjà des mécanismes dédiés à la reconnaissance proactive des mauvaises configurations, ainsi que de divers autres éléments qui peuvent être une source potentielle de vulnérabilités qualifiant la signature CVE.

services en ligne

Source : Forbes

Dans le pire des cas, l’exploitation de ce qui précède peut entraîner une violation de la menace persistante avancée qui durera de nombreux mois. Ensuite, ce n’est pas seulement la sécurité des bases de données et le risque de fuite qui sont en jeu, mais aussi tout le flux de travail qui est traité par l’organisation sur des serveurs externes. Celui qui exécute une attaque APT obtiendra des informations incroyablement vulnérables, y compris un savoir-faire inestimable. Ce n’est pas sans raison que l’APT figure à côté des campagnes mondiales de rançon et des rachats de la chaîne d’approvisionnement, comme les plus grandes menaces pour les environnements d’entreprise informatique à l’époque.

La mauvaise configuration des services est un problème récurrent

L’aspect qui ne peut être omis est la question de la répétitivité des configurations des services en nuage. Un exemple connu de ce problème est la fuite de données après avoir obtenu un accès non autorisé à l’infrastructure de la holding bancaire Capital One. En juillet 2019, à la suite d’un accès non autorisé par des tiers, les données de 100 millions de clients de Capital One aux États-Unis et de 6 millions de clients au Canada ont été volées. On estime qu’il s’agit de la plus grande fuite de données de l’histoire du secteur financier américain.

L’affaire est devenue l’objet d’une enquête du FBI. Il a été déterminé que l’incident était dû à une configuration défectueuse du godet S3 de l’AWS. Les pertes résultant de la fuite de Capital One ont été estimées à environ 150 millions de dollars. Cependant, le plus frappant est le rapport des enquêteurs fédéraux qui indique que cette mauvaise configuration S3 particulière a été utilisée dans au moins 30 autres organisations qui traitent souvent des données extrêmement vulnérables.

Sécurité des données dans le nuage – que peut-on faire ?

On ne peut pas dire sans bonne conscience que la nouvelle réalité de la cyber-menace doit être abordée avec de nouveaux moyens. Bien au contraire, la mise en œuvre et la réalisation minutieuse des normes, déjà accomplies au niveau local, peuvent influencer de manière significative l’adoucissement des tendances inquiétantes. Toutefois, le risque va croître à un rythme effréné, si nous devons nous laisser convaincre qu’en déléguant des données au nuage, nous déléguons l’entière responsabilité de leur sécurité au fournisseur de services en nuage.