Le Cloud computing, l'assurance d'une bonne protection contre les cyber risques ?
Le Cloud computing offre une occasion unique d'accélérer la productivité d’une entreprise en offrant une capacité d'évoluer rapidement, de permettre d'être agiles avec de nouvelles ressources et d'offrir de nouvelles possibilités de collaboration. De plus en plus d’entreprises recourent au Cloud, confiantes dans la mise en sécurité de leurs données, pensant transférer le risque cyber chez un prestataire aguerris. Nous observons une sous-estimation des risques encourus avec cette nouvelle pratique. Etat des lieux.
Etude McAfee / Cloud Computing
Une étude récente de la célèbre société McAfee a révélé quelques chiffres relatifs aux principaux risques encourus en termes de cyber sécurité en recourant au Cloud Computing.
Grâce à l'analyse de milliards d'événements produits au sein de Clouds anonymes au sein d’un large éventail d'entreprises*, McAfee a été en mesure de déterminer l'état actuel de la façon dont le Cloud est réellement utilisé, et où se situe le risque pour les entreprises.
Considérez que près d'un quart des données dans le Cloud sont sensibles et que le partage des données sensibles dans le Cloud a augmenté de 53 % d'une année sur l'autre.
RGPD et vos obligations
Bien qu’en apparence, la sécurité du Cloud est une responsabilité qui doit être partagée, force est de constater qu’aucun fournisseur de Cloud ne fournit une sécurité à 100% notamment sur tout ce qui touche à la prévention des pertes de données, au contrôle des accès, aux analyses de comportement utilisateur.
Au regard de RGPD, lorsque nous recourons au mode (SaaS), nous sommes responsables de la sécurité de nos données et devons-nous assurer qu'elles sont accessibles de manière appropriée.
Lorsque nous utilisons l'infrastructure en tant que service (IaaaS) ou la plate-forme en tant que service (PaaS), nous sommes en outre responsables de la sécurité de notre travail et devons-nous assurer que les composants d'application et d'infrastructure sous-jacents ne sont pas mal configurés.
Etat des lieux des principales menaces pour les entreprises liées à la pratique du Cloud Computing.
Les fournisseurs IaaaS/PaaaS
Ces fournisseurs comme AWS augmentent la productivité de nos développeurs et rendent nos organisations extraordinairement agiles. Cependant, les organisations ont en moyenne au moins 14 instances IaaaS mal configurées en cours d'exécution à un moment donné, ce qui donne une moyenne de 2 269 incidents de mauvaise configuration par mois. Dans 5,5 % des Clouds observés, il y avait un problème de configuration rendant lisible certaines informations par le public. Nous pouvons voir le risque de perte immédiate et à grande échelle de données commencer à croître avec ces tendances. La majorité des menaces qui pèsent sur les données dans le Cloud proviennent de comptes compromis et de menaces internes. Mac Afee annonce que 80% des entreprises vont rencontrer au moins 1 menace de compte compromis dans le Cloud ce mois-ci.
Cloud computing : l'assurance d'une perte de visibilité pour les équipes IT
Avec l'augmentation de la popularité d'Office 365, un nombre important des données sensibles sont transmises par courrier électronique en Cloud, principalement par Exchange Online. Aujourd'hui, 20 % de toutes les données sensibles dans le Cloud passent par des services de messagerie comme Exchange Online dans Office 365, un volume qui a augmenté de 59 % au cours des deux dernières années. Le courrier électronique reste l'un des vecteurs les plus faciles de perte de données, et sa migration vers le Cloud supprime la visibilité pour les équipes informatiques qui pouvaient autrefois surveiller le trafic SMTP sur leurs propres serveurs. La croissance de ces échanges et la perte de visibilité inhérente au Cloud pour les équipes IT est un risque important pour les entreprises.
Davantage de partage d’informations personnelles, plus de risques de fuite.
Avec l'augmentation de la confiance à l'égard du stockage dans le Cloud, de plus en plus d’informations personnelles et confidentielles y sont stockées et échangées augmentant proportionnellement les risques de fuite.
Nos données vivent dans le Cloud et un nombre important d'entre elles doivent être protégées pour limiter notre risque. Cependant, le risque d'exposition est contraire à l'un des principes clés de la collaboration de nombreux services dans les Clouds. Les services de stockage en Cloud ou les solutions comme Office 365 sont utilisés pour augmenter la fluidité de la collaboration. Mais bien sûr, la collaboration signifie le partage, et ce partage peut entraîner la perte de nos données sensibles.
Si l'on considère l'utilisation globale du Cloud aujourd'hui, on constate que 22% des utilisateurs du Cloud partagent activement des fichiers dans le Cloud et que 48% de tous les fichiers dans le Cloud sont finalement partagés. Les deux nombres sont en forte hausse. Le nombre d'utilisateurs actifs partageant des données dans les Clouds a augmenté de 33 % au cours des deux dernières années, et le nombre total de fichiers partagés a également augmenté de 12 % au cours de la même période.
Lorsqu’une infrastructure est exploitée par plusieurs clients, comme c'est le cas pour l'utilisation de plusieurs applications SaaS, les équipes en charge de la sécurité des données disposent-elles d'une vision globale de la sécurité sur l'ensemble de ces clients ?
Des problèmes de configuration
McAfee a constaté qu'en moyenne, les entreprises qui utilisent IaaaS/PaaaS, ont en moyenne 14 services mal configurés qui fonctionnent à un moment donné, ce qui entraîne en moyenne 2 269 incidents de mauvaise configuration par mois. Au total, 27 % des entreprises utilisant PaaS ont été victimes de vol de données dans leur infrastructure de Cloud computing.
Voici les 10 principales erreurs de configuration identifiés par McAfee.
- Le cryptage des données EBS n'est pas activé
- Il y a un accès sortant illimité
- L'accès aux ressources n'est pas fourni à l'aide des rôles IAM
- Le port du groupe de sécurité EC2 est mal configuré.
- L'accès entrant du groupe de sécurité EC2 est mal configuré.
- Découverte d'un IAM non crypté.
- Les groupes de sécurité inutilisés ont été découverts.
- Les journaux de flux VPC sont désactivés.
- L'authentification multifactorielle n'est pas activée pour les utilisateurs IAM.
- Le cryptage du bucket S3 n'est pas activé offrant ont des permissions de "lecture mondiale", ce qui signifie qu’ils sont ouverts au public, ouvrant la porte à quiconque qui souhaiterait injecter un code malveillant.
Cloud Computing : des menaces internes et externes grandissantes
Les incidents de sécurité ne sont plus limités aux PC et aux applications du réseau, principalement en raison de l'ampleur des données d'entreprise stockées dans le Cloud aujourd'hui, ainsi que du nombre d'événements qui se produisent dans le Cloud. L'organisation moyenne d'une entreprise subit 31,3 menaces de sécurité liées au Cloud chaque mois (source McAfee), soit une augmentation de 27,7% par rapport à la même période l'an dernier. Ventilées par catégorie, elles comprennent les menaces d'initiés (accidentelles et malveillantes), les menaces d'utilisateurs privilégiés et les menaces provenant de comptes potentiellement compromis.
Nous continuons d'observer une croissance constante des services Cloud en termes de nombre de nouveaux services approuvés par les services informatiques, du nombre d'utilisateurs qui y ont accès et de la quantité de données qu'ils détiennent. Compte tenu de la tendance générale à la migration des ressources informatiques sur site vers le Cloud, une augmentation des menaces de sécurité ne devrait pas être surprenante justifiant ainsi la nécessité de souscrire un contrat de cyber assurance.
Des comptes compromis
En moyenne, les entreprises connaissent 12,2 incidents par mois au cours desquels un tiers non autorisé exploite des informations d'identification de compte volées pour accéder aux données d'entreprise stockées dans un service Cloud. Ces incidents touchent 80,3 % des organisations au moins une fois par mois. De plus, 92 % des entreprises ont des identifiants au Cloud en vente sur le Dark Web. Cela peut sembler une bataille perdue d'avance, mais de nombreux services Cloud critiques pour l'entreprise prennent en charge l'authentification multifactorielle, moyen efficace de réduction des risques liés aux comptes compromis.
Menaces internes
Les organisations connaissent en moyenne 14,8 incidents de menaces d'initiés par mois, et 94,3 % d'entre elles en connaissent au moins un par mois en moyenne. Les menaces d'initiés comprennent les comportements qui exposent involontairement une organisation à des risques, comme le partage par erreur d'une feuille de calcul avec les numéros de sécurité sociale des employés à l'extérieur. Ils incluent également les activités malveillantes, comme le téléchargement par un vendeur de la liste complète de ses contacts avant de quitter pour rejoindre un concurrent.
Menaces d'utilisateurs privilégiés
Les menaces d'utilisateurs privilégiés se produisent chaque mois dans 58,2 % des organisations, avec une moyenne de 4,3 par mois. Ces menaces peuvent prendre différentes formes, allant de l'accès d'un administrateur aux données du compte d'un dirigeant à la modification des paramètres de sécurité d'une manière qui affaiblit involontairement la sécurité. Bien qu'elles ne soient pas aussi courantes que les menaces d'initiés associées aux utilisateurs réguliers, le niveau élevé de permissions d'applications pour les utilisateurs privilégiés peut rendre ces menaces particulièrement dommageables.
Insuffisance de sécurité des services offerts
Une entreprise utilise en moyenne 1 935 services Cloud, soit une augmentation de 15 % par rapport à l'an dernier (source McAfee). Réparties par type de service, les applications d'entreprise (Office 365, Salesforce, etc.) représentent 70 % des services Cloud utilisés, tandis que les services Cloud destinés aux particuliers (tels que Facebook ou Pinterest) représentent les 30 % restant.
Le partage de fichiers et la collaboration continuent d'être la catégorie avec la plus grande variété de services Cloud utilisés (par exemple Slack, Cisco WebEx, etc.), représentant 20,9% des services Cloud utilisés.
Il n'existe pas deux fournisseurs de services dans les Clouds qui offrent le même ensemble de contrôles de sécurité. Sur plus de 25 000 services Cloud utilisés aujourd'hui, seuls 8 % répondent aux exigences strictes de sécurité des données et de confidentialité des entreprises.
Moins d'un fournisseur sur dix chiffre les données stockées au repos, et encore moins prennent en charge la possibilité pour un client de chiffrer les données à l'aide de ses propres clés de chiffrement..
Ensuite, étant donné la prévalence des violations de données causées par le vol de justificatifs d'identité, il est alarmant de constater que seuls 19,2 % des services Cloud prennent en charge l'authentification multifactorielle.
Propriété des données hébergées ? Confidentialité ?
Qu'advient-il des données une fois téléchargées vers un fournisseur de Cloud computing ? C'est toujours l'une des plus grandes préoccupations des entreprises ayant recours à l’hébergement de leurs données confidentielles sur le Cloud. Moins de la moitié des fournisseurs précisent que les données des clients appartiennent au client (le reste revendique la propriété de toutes les données téléchargées ou ne précise pas légalement à qui appartiennent les données). Un nombre encore plus restreint de fournisseurs de services dans les Clouds suppriment des données immédiatement au moment de la résiliation du compte, le reste conservant les données jusqu'à un an, certains revendiquant même le droit de conserver des copies des données indéfiniment.
En conclusion
- Souscrivez une cyber assurance car le risque zéro n’est pas nul, bien au contraire. La croissance des échanges et la perte de visibilité inhérente au Cloud pour les équipes IT de votre entreprise est un risque important que vous devez transférer sur une compagnie d’assurance.
- Configurations IaaaS/PaaaS : anticiper les erreurs de configuration avant qu'elles n'ouvrent une faille majeure dans l'intégrité de votre dispositif de sécurité.
- Comprendre quels services Cloud contiennent la plupart de vos données sensibles. Office 365 et Box sont parmi les emplacements les plus courants. Une fois que vous avez déterminé quels sont ces services, vous pouvez immédiatement réduire votre exposition au risque en étendant les politiques de prévention des pertes de données pour contrôler ce qui peut y entrer ou en sortir.
- Verrouillez le partage, encore une fois là où vivent vos données sensibles.