Les erreurs de configuration du cloud restent un problème pour les entreprises. Le nombre croissant d’outils SaaS connectés à différents environnements cloud et le manque de contrôles de sécurité prêts à l’emploi sont quelques-uns des problèmes.
Il y a sept ans, j’ai écrit sur la façon dont les erreurs de configuration de la sécurité du cloud mettaient en danger les données de l’entreprise. Les compartiments de stockage Amazon étaient laissés ouverts au public à gauche et à droite, avec des millions de documents sensibles exposés. Les entreprises étaient novices dans le domaine du cloud, et les fournisseurs de cloud ne permettaient pas de tout verrouiller facilement comme il se doit.
On pourrait penser que les entreprises devraient désormais verrouiller leurs actifs cloud. Ne devraient-ils pas ?
Malheureusement, ce n’est toujours pas le cas.
Selon un rapport d’avril de Qualys, 28 % des organisations interrogées ont subi une violation liée au cloud ou au SaaS au cours de l’année écoulée, et 24 % ont déclaré que les services mal configurés représentaient le plus grand risque pour leurs environnements cloud, en troisième position après l’erreur humaine et les cyberattaques ciblées.
Qualys a également examiné 44 millions de machines virtuelles hébergées dans les cloud publics et a constaté que, sur AWS, 45 % avaient des ressources mal configurées, sur Google Cloud Platform (GCP), 63 % avaient des ressources mal configurées et 70 % avaient des ressources mal configurées sur Azure.
La société de cybersécurité a également constaté que 63 % des machines virtuelles accessibles au public n’avaient aucun cryptage sur le stockage EBS connecté.
Plus d’outils, plus de possibilités de mauvaise configuration
La prolifération des outils SaaS utilisés par les entreprises ne fait qu’élargir les possibilités d’erreurs de configuration. Les données sur 4,7 millions de membres de Blue Shield California ont été récemment exposées en raison d’une mauvaise configuration dans Google Analytics.
Cette faille de sécurité est ce qui permet aux fournisseurs tiers d’exister, dit-il. « Vous devriez créer des produits – et je parle de vous, Google, Microsoft et Amazon – qui sont sécurisés de par leur conception, de sorte que vous n’avez pas besoin d’un outil tiers. Ils doivent être sécurisés dès le départ. »
Construire une sécurité interne n’est pas une option chez Vetcor et l’entreprise utilise les outils natifs fournis par les hyperscalers. « Et pour nous, pour le moment, c’est suffisant. »
Arrêt. Réévaluer. Reconfigurer
L’année dernière, selon Ayan Roy, responsable des compétences en cybersécurité d’EY Amériques, le plus grand nombre de violations ont été causées par des référentiels cloud partagés. « C’est là que nous avons constaté le plus grand nombre d’exfiltrations de données », explique-t-il. « Une grande partie provenait de magasins cloud partagés et d’applications SaaS. » Et ce, malgré le fait que les clients disposent de plans de sécurité et de processus de gouvernance dans le cloud, et cela est dû au shadow IT, explique-t-il.
Les organisations activent quelque chose mais ne configurent pas toutes les fonctionnalités de sécurité, n’activent pas toutes les fonctions de journalisation et de surveillance, n’activent pas l’authentification multifacteur et ne verrouillent pas l’accès. « Les affaires veulent aller vite et le délai de rentabilisation est absolument important. » Mais ils n’associent pas les équipes de cybersécurité à ces décisions et c’est là que commence le problème.
« La cybercriminalité devient une réflexion secondaire. S’ils participent à la bonne conversation, ils peuvent agir de manière plus proactive au lieu de faire les choses de manière rétroactive. »
Une mesure proactive que toute entreprise peut prendre consiste à faire davantage connaître les plateformes sécurisées approuvées par l’entreprise. Cela peut nécessiter une meilleure communication ou une formation supplémentaire pour garantir que les employés n’utilisent pas de systèmes non sécurisés lorsque des options sécurisées sont disponibles.
Un autre angle mort apparaît lors des fusions et acquisitions, dit-il. «Soyez proactif dans les acquisitions», déclare Roy. « Faites preuve de diligence raisonnable, tenez-en compte et assurez-vous d’avoir le bon plan d’investissement pour la cybersécurité. »
Principales erreurs de configuration du cloud
Selon Scott Wheeler, responsable des pratiques cloud chez Asperitas, plus l’organisation est grande ou plus elle est soumise à une surveillance réglementaire, moins elle verra d’erreurs de configuration cloud. « Mais si vous arrivez au bas du classement Fortune 1000, disons, si vous êtes une entreprise manufacturière et que les implications d’une erreur ne sont pas perçues comme étant si énormes, et qu’elles ne sont pas surveillées par des régulateurs, elles pourraient être rapides et lâches. C’est là que vous voyez des erreurs se produire. »
Et les plus petites organisations rencontrent d’énormes problèmes car elles ne disposent pas du personnel ni des outils nécessaires pour gérer les risques de configuration. Cela inclut les compartiments de stockage ou les services Web exposés, ainsi que les privilèges excessifs.
« Tout le concept de confiance zéro repose sur le fait que vous pouvez verrouiller l’accès au minimum de ce dont vous avez besoin », explique Wheeler. « Mais c’est difficile à faire. » Les gens augmentent souvent les autorisations pendant le développement et ne les rétablissent pas lorsque les choses passent en production.
La plus grande erreur constatée par Wheeler est que les bases de données ou autres actifs cloud ne communiquent pas sur des réseaux privés sécurisés. « Bien souvent, ces services ne disposent pas de cela », dit-il. « Il faut un certain travail pour le configurer afin qu’il s’agisse d’un trafic réseau strictement privé vers mon environnement de cloud privé ou mon environnement sur site. C’est un problème énorme, et nous voyons beaucoup de piratages avec cela – et beaucoup de compromis sur les environnements internes. «
Le manque d’authentification multifacteur constitue un autre risque, car la MFA contribue à protéger les environnements cloud contre des risques tels que la fuite d’informations d’identification. Le manque de chiffrement est une autre préoccupation : selon Thales, seules 51 % des données cloud sensibles sont chiffrées, et seulement 8 % des entreprises chiffrent 80 % ou plus de leurs données cloud.
9 conseils pour les configurations cloud afin de réduire l’exposition des données
1. Mettez en œuvre l’authentification multifacteur partout
Exigez l’authentification multifacteur pour tous les accès au cloud, et pas seulement pour certains utilisateurs. La raison pour laquelle tant d’entreprises signalent des violations de données impliquant leurs instances Salesforce est qu’elles n’avaient pas correctement configuré et configuré MFA pour leurs comptes d’utilisateurs, permettant ainsi à des adversaires de prendre le contrôle des comptes d’utilisateurs.
2. Par défaut, les réseaux privés pour tous les services
Configurez les bases de données et les services cloud pour communiquer uniquement sur des réseaux privés, et non sur l’Internet public. Selon Scott Wheeler d’Asperitas, de nombreux services n’utilisent pas cette option par défaut et constitue la principale erreur de configuration qu’il constate dans les enquêtes sur les violations de données.
3. Chiffrez les données sensibles au repos et en transit
Seules 51 % des données sensibles du cloud sont chiffrées, selon Thales. Aujourd’hui, le chiffrement devrait être la valeur par défaut pour toutes les ressources nouvelles et existantes. Et avec l’informatique quantique à l’horizon, les entreprises devraient déjà utiliser des algorithmes de chiffrement à l’épreuve du quantique pour se défendre contre les attaques de récolte immédiate et de décryptage ultérieur.
4. Appliquer des contrôles d’accès de moindre privilège
Donner aux utilisateurs et aux systèmes l’accès au minimum de ressources possible est un énorme casse-tête. Et lorsque des privilèges supplémentaires sont accordés pour une raison particulière, ils ne sont souvent pas rétrogradés lorsque le besoin disparaît. Mais le moindre privilège est la pierre angulaire des principes modernes de sécurité Zero Trust, et les comptes trop privilégiés peuvent facilement entraîner des pertes de données.
5. Utilisez l’infrastructure comme code pour toutes les modifications
Lorsque les administrateurs ou les utilisateurs apportent des modifications aux configurations cloud dans les consoles de gestion cloud, il est difficile de suivre ces modifications et de les annuler en cas de problème. De plus, les humains peuvent facilement commettre des erreurs. Les experts en solutions conseillent d’adopter le principe de « l’infrastructure en tant que code » et d’utiliser des outils de gestion de configuration afin que toutes les modifications soient vérifiées par rapport aux politiques, suivies et auditées, et puissent facilement être annulées.
6. Recherchez en permanence les erreurs de configuration
Et il ne suffit pas de vérifier que les configurations sont définies lors de la première configuration des actifs cloud. Les entreprises doivent s’assurer qu’elles ne changent pas. Les fournisseurs de cloud proposent des outils natifs pour vous aider, et les outils de gestion de la posture de sécurité du cloud peuvent combler les lacunes ou assurer une surveillance multi-cloud.
7. Verrouillez les compartiments de stockage et désactivez l’accès public
Les compartiments Amazon S3 non sécurisés faisaient fureur auprès des pirates informatiques il y a quelques années – et ils constituent toujours un problème pour les entreprises. Selon l’analyse des environnements cloud réalisée par Tenable, 9 % du stockage cloud accessible au public contient des données sensibles. Utilisez des stratégies de compartiment et des contrôles d’accès pour garantir que le stockage est privé par défaut, et si vous modifiez sa disponibilité en public à des fins de test ou pour toute autre raison, assurez-vous de le rendre à nouveau privé lorsque vous avez terminé.
8. Activer une journalisation et une surveillance complètes pour tous les déploiements
Les entreprises assurent souvent une surveillance des principaux services cloud, mais les déploiements de shadow IT restent dans le flou. Il s’agit moins d’un problème technologique que d’un problème de gestion et peut être résolu par de meilleures communications avec les unités commerciales et une approche plus disciplinée du déploiement de la technologie à l’échelle de l’entreprise. Avec le rythme rapide de l’évolution technologique, cela est plus difficile à réaliser, mais aussi plus important, car l’IA et d’autres nouveaux services cloud peuvent toucher des données et des processus sensibles.
9. Commencez en toute sécurité dès le premier jour
Intégrez la sécurité à votre architecture cloud dès le début : il est beaucoup plus difficile de la mettre à niveau ultérieurement.
L’IA résoudra-t-elle tous les problèmes ?
Les fournisseurs promettent que l’IA rendra la sécurité plus facile, moins coûteuse et plus efficace.
Mais l’IA générative résoudra-t-elle vraiment le problème de configuration du cloud ?
C’est possible, dit Wilder de Vetcor. « Mais cela n’arrivera pas aussi vite qu’on le prétend. Je pense vraiment que l’IA agentique a la possibilité d’améliorer ce que font les équipes de sécurité, de pallier le manque de ressources dont nous disposons. Mais cela implique également une grande gestion du changement organisationnel. »
