Face à la généralisation de l’utilisation du cloud par les entreprises à des fins de stockage et de traitement informatique, le risque d’attaque ciblant les services cloud ne cesse d’augmenter. Les entreprises doivent tenir compte de cette réalité et protéger leur infrastructure contre les vulnérabilités potentielles du cloud. D’après une étude menée en 2021 par IBM, le coût de la reprise des activités à la suite d’une compromission de données provoquée par des vulnérabilités de la sécurité du cloud s’élève en moyenne à 4,8 millions de dollars. Ce montant énorme inclut les coûts d’investigation et de réparation de la compromission, ainsi que les éventuelles amendes ou sanctions imposées par le législateur.
Mais les conséquences d’une sécurité déficiente ne sont pas uniquement financières. La compromission de données clients peut entacher la réputation de l’entreprise, avec à la clé une diminution de son chiffre d’affaires. Le coût total d’une sécurité inefficace du cloud peut donc être considérable, raison pour laquelle les entreprises doivent prendre des mesures pour protéger leurs données de façon adéquate contre les vulnérabilités du cloud.
Cet article passe en revue les six principales vulnérabilités du cloud auxquelles votre entreprise est susceptible d’être confrontée et propose des conseils pour les atténuer. En effet, en matière de cybersécurité, des mesures de prévention proactives sont toujours préférables à des mesures correctives prises dans l’urgence.
How to Find and Eliminate Blind Spots in the Cloud
Ce guide passe en revue les possibilités de journalisation et de visibilité qu’offrent Amazon Web Services (AWS) et Google Cloud Platform (GCP), ainsi que les angles morts de ces services et comment les éliminer.
Télécharger<h2id= »Erreurs de configuration »>1. Erreurs de configuration du cloud
Les erreurs de configuration du cloud sont sans doute la vulnérabilité la plus souvent rencontrée par les entreprises, comme le révèle une étude récente de la NSA. Ces erreurs peuvent prendre de nombreuses formes, et nous en examinons quelques-unes ci-dessous. Elles sont souvent causées par une méconnaissance des bonnes pratiques ou par l’absence d’évaluation par l’équipe DevOps/en charge de l’infrastructure.
Gestion des identités et des accès
La gestion non sécurisée des identités et des accès (IAM) est une vulnérabilité courante des systèmes cloud. En bref, ce problème survient lorsqu’un utilisateur ou un service de votre infrastructure a accès à des ressources auxquelles il ne devrait pas pouvoir accéder et/ou dont il n’a pas besoin.
Pour atténuer cette menace :
- Appliquez le principe du moindre privilège à l’ensemble de vos ressources et utilisateurs cloud. Évitez toujours d’octroyer un accès complet à une ressource si un service n’a besoin que d’un accès en lecture seule ou à une partie de la ressource.
- Utilisez des outils tiers pour identifier les erreurs de configuration des règles IAM. Par exemple, une plateforme de protection des applications cloud native (CNAPP) peut vous aider à mieux repérer ce type d’erreur.
- Examinez régulièrement les accès et les privilèges, car les besoins en matière d’accès évoluent au fil du temps.
Stockage public de données
Cette vulnérabilité se produit lorsqu’un blob déterminé, tel qu’un compartiment S3 ou, plus rarement, une base de données SQL, est accessible, en tout ou en partie, au public, qui bénéficie ainsi d’un accès en lecture seule ou en lecture et en écriture. Ce problème est souvent dû à une erreur de configuration d’une ressource.
Votre équipe DevOps, vos administrateurs système et vos managers doivent respecter quelques principes de base pour réduire le risque d’erreur de configuration du stockage public de données.
Pour atténuer cette menace :
- Utilisez des outils tiers pour analyser votre infrastructure et détecter rapidement ce type de vulnérabilité.
- Par défaut, définissez toujours le stockage des données de vos ressources cloud comme étant « privé ».
- Si vous utilisez Terraform ou un autre cadre IaC (Infrastructure-as-Code, ou infrastructure sous forme de code), demandez à un autre membre de votre équipe d’examiner les fichiers IaC.
Autres erreurs de configuration
De nombreuses autres vulnérabilités rentrent dans cette catégorie. Voici un bref récapitulatif des bonnes pratiques à mettre en place pour réduire les erreurs de configuration :
- Utilisez toujours le protocole HTTPS plutôt qu’HTTP (cela vaut aussi pour les autres protocoles, par ex., SFTP plutôt que FTP). Par ailleurs, utilisez la dernière version du protocole SSL/TLS.
- Limitez les ports entrants et sortants si une machine donnée ayant accès à Internet n’en a pas besoin.
- Stockez les secrets, tels que les clés API, les mots de passe, etc., dans un endroit unique et protégez-les à l’aide d’une solution sécurisée de gestion des secrets (par ex., AWS Secrets Manager).
RAPPORT 2022 SUR LES MENACES CIBLANT LE CLOUD
Téléchargez ce nouveau rapport pour découvrir les principales menaces pour la sécurité du cloud à surveiller en 2022 et comment les neutraliser.
Télécharger-
2. API non sécurisées
Les API sont très utilisées dans le domaine du développement logiciel, que ce soit dans des microservices, des applications ou l’infrastructure dorsale des sites web. Leur mission consiste à traiter les requêtes provenant de terminaux mobiles, d’applications, de pages web et de tiers, mais aussi de robots, de spammeurs et de cyberpirates. C’est pourquoi il est essentiel de sécuriser les API pour atténuer les cybermenaces et protéger l’entreprise contre le trafic indésirable.
Les requêtes malveillantes ciblant les API peuvent se présenter sous diverses formes. Voici les plus courantes :
- Injection de code et de requête (injection SQL, injection de commande)
- Exploitation d’un contrôle d’accès mal défini
- Ciblage d’une vulnérabilité due à un composant obsolète (bibliothèques logicielles, moteur de base de données, environnements d’exécution, etc.)
De nombreux fournisseurs de services cloud proposent des solutions en interne. Vous pouvez également prendre une série de mesures simples pour sécuriser vos API.
Pour atténuer cette menace :
- Installez un pare-feu d’application web (WAF, Web Application Firewall) pour filtrer les requêtes selon l’adresse IP ou les informations d’en-tête HTTP, ainsi que pour détecter les attaques par injection de code. Les WAF vous permettent aussi de définir des quotas de réponse par utilisateur et d’autres indicateurs.
- Implémentez une solution de protection contre les attaques DDoS (plus d’informations ci-dessous).
3. Manque de visibilité
Votre infrastructure s’étend à mesure que l’utilisation des services cloud s’intensifie. Dans la mesure où certaines entreprises comptent des milliers d’instances de services cloud, il est facile pour elles de s’y perdre ou d’oublier l’une ou l’autre instance en cours d’exécution. Une visibilité simple et facile d’accès sur l’intégralité de votre infrastructure est par conséquent essentielle.
Le manque de visibilité sur l’infrastructure cloud est un problème majeur, qui peut retarder la neutralisation d’une menace et entraîner une compromission de données. Les managers, les administrateurs système et les équipes DevOps doivent dès lors adopter une approche proactive de la sécurité.
Pour atténuer cette menace :
- Surveillez et détectez les menaces.
- Assurez la visibilité sur votre infrastructure cloud.
- Implémentez des outils tels qu’une plateforme CNAPP afin de limiter les risques et de réduire le délai de réponse en cas de compromission.
4. Absence d’authentification multifacteur
L’authentification multifacteur ou à plusieurs facteurs (MFA) est une méthode d’authentification dans le cadre de laquelle un utilisateur doit se soumettre à au moins deux types de validation de l’identité pour accéder à un compte ou à des données. Par exemple, une procédure MFA type consiste à demander un nom d’utilisateur et un mot de passe, puis à effectuer une deuxième validation, consistant par exemple en la saisie d’un mot de passe à usage unique/d’un code reçu par SMS, par e-mail ou par une notification push sur un téléphone portable.
Les mots de passe et les noms d’utilisateur étant vulnérables au vol, l’absence de MFA constitue une vulnérabilité potentiellement critique.
Pour atténuer cette menace :
- Implémentez la MFA à l’échelle de l’entreprise afin d’introduire une couche d’authentification supplémentaire pour l’accès aux systèmes (par ex., via un téléphone physique ou une adresse e-mail).
- Appliquez toujours la MFA aux collaborateurs qui accèdent à leurs comptes et à leurs données via le cloud.
5. Utilisateurs internes malveillants
Un accès non autorisé a lieu lorsqu’un utilisateur obtient un accès à une partie ou à l’intégralité des ressources cloud de l’entreprise.
Plusieurs méthodes s’offrent à ces utilisateurs internes malveillants pour accéder à vos comptes cloud. Comme indiqué dans la section consacrée aux erreurs de configuration du cloud, ce problème peut être le fait de règles trop laxistes ou d’un ex-employé disposant toujours d’identifiants valides d’accès à des comptes.
Les utilisateurs internes malveillants peuvent également accéder à vos ressources cloud en piratant un compte à la suite d’une attaque de phishing réussie et/ou en raison d’identifiants peu sécurisés (par ex., un mot de passe trop simple ou utilisé sur plusieurs comptes). Ce type de vulnérabilité peut s’avérer particulièrement dangereux, car les données ne sont pas la seule cible potentielle : la propriété intellectuelle est également menacée.
Pour atténuer cette menace :
- Activez la MFA.
- Filtrez les e-mails de phishing à l’aide d’un outil automatisé.
- Sensibilisez vos collaborateurs aux attaques de phishing.
- Assurez-vous que les bonnes pratiques de sécurité en matière de mots de passe sont respectées.
6. Attaques par déni de service distribué (DDoS)
Les attaques par déni de service distribué (DDoS) sont des actions malveillantes visant à mettre à l’arrêt un service web, tel qu’un site web. Elles consistent à inonder le serveur de requêtes émanant de différentes sources (d’où le qualificatif « distribué »). Le serveur étant surchargé, il ne peut plus répondre aux requêtes des utilisateurs légitimes.
Pour atténuer cette menace :
- Choisissez un fournisseur de services cloud qui offre une protection contre les attaques DDoS. C’est le cas de la plupart d’entre eux. Ainsi, AWS Shield offre une intégration facile sans coût supplémentaire.
- Vérifiez que la protection DDoS de votre service cloud est activée en permanence.
Les vulnérabilités du cloud sont de plus en plus courantes, et votre entreprise doit agir pour les contrer. Nous avons passé en revue les menaces les plus courantes pour la sécurité du cloud, mais il en existe de nombreuses autres. CrowdStrike propose une solution de sécurité avancée, unifiée et automatisée pour prévenir les vulnérabilités, s’en prémunir et les corriger. En savoir plus sur les solutions CrowdStrike de sécurité du cloud.
LES PRINCIPALES MENACES QUI PÈSENT SUR VOTRE MIGRATION VERS LE CLOUD
Pour adopter le cloud en toute sécurité et profiter de tous ses avantages, les entreprises doivent disposer d’une visibilité sur un paysage des menaces toujours plus vaste et plus complexe.
Télécharger