Les problèmes de sécurité dans le cloud ont grimpé en flèche suite à l'augmentation de notre activité en ligne. Les activités des cybercriminels ont commencé à mettre en lumière de nombreux défauts dans le cloud à la suite d'événements récents, éveillant l'intérêt des départements informatiques du monde entier. Même si les cybermenaces sur le paysage numérique se sont multipliées pendant l'épidémie, les problèmes de sécurité dans le cloud arrivent rapidement en première ligne.
Exemples de menaces actuelles en matière de sécurité dans le cloud :
La sécurité en matière de cloud computing pose problème depuis longtemps. Alors que les services cloud personnels comme l'iCloud d'Apple ont eu leur part de controverse, le défi majeur concerne aujourd'hui la sécurité des opérations des entreprises et des gouvernements.
Là où les réseaux et le matériel utilisés peuvent être un environnement plus contrôlé, l'accès à distance introduit davantage de points de contact exposés à des attaques potentielles. Chaque connexion et chaque composant doit être connecté à une structure sécurisée pour garantir l'absence de failles égarées. Dans le cadre d'un plan de travail à distance sécurisé, les ordinateurs portables, les téléphones et les appareils connectés au réseau eux-mêmes sont tous configurés et testés par les équipes informatiques internes pour garantir leur résistance.
Malheureusement, la propagation mondiale du COVID-19 a entraîné un passage ultra-rapide au travail à la maison. L'adoption non planifiée d'une infrastructure de travail distante a été accompagnée de politiques incomplètes pour les outils comme l'accès aux serveurs dans le cloud. L'utilisation croissante des plateformes de collaboration basées dans le cloud et des systèmes de réunion virtuelle a engendré une recrudescence des complications informatiques.
Selon une étude Fugue, près de 3 équipes sur 4 utilisant des systèmes dans le cloud ont enregistré plus de 10 incidents quotidiens dus à une configuration inappropriée du système. Depuis les failles de stockage aux politiques non strictes sur l'accès aux systèmes, 84 % des équipes informatiques craignent d'avoir subi une attaque à leur insu. Le recours manuel inefficace utilisé par la plupart des équipes introduit des erreurs humaines, qui interrogent sur la fiabilité du dépannage dans le cloud.
Les cybercriminels se sont mis à exploiter l'augmentation de l'utilisation du cloud, ciblant tout, depuis les établissements de santé aux services au personnel en ligne. Les brèches de sécurité existant déjà, l'erreur humaine représente un autre sujet d'inquiétude pour les entreprises. Le personnel informatique et les utilisateurs de terminaux doivent rester constamment à l'affût des cybermenaces, entraînant ainsi une « fatigue à l'égard des alertes » et autres erreurs de jugement.
Les risques liés à la sécurité des services de cloud computing se répartissent de la façon suivante :
Même si les failles d'exploitation zero-day restent tout à fait possibles, de nombreux cybercriminels peuvent utiliser des vecteurs d'infiltration connus bien plus simples pour pénétrer les systèmes dans le cloud d'une entreprise. Voici des exemples de problèmes inhérents à l'utilisation du cloud :
Les systèmes dans le cloud configurés de manière inappropriée sont monnaie courante car nombre de sites de travail configurent des systèmes à distance pour la première fois. Une structure basée dans le cloud nécessite des sauvegardes étendues niveau backend pour réduire ses points faibles en cas d'attaque en ligne. Un délai adéquat doit être donné pour effectuer une configuration détaillée dans le cloud, un grand nombre de départements informatiques ayant lancé le processus à toute vitesse.
L'étude de Fugue d'avril 2020 cite un manque de sensibilisation aux politiques comme raison majeure de la gestion inefficace de ces menaces. De la même façon, les équipes manquent de surveillance et de réglementations appropriées pour l'ensemble des API logicielles interagissant avec les services cloud. Avec les nombreux niveaux d'autorisations et de contrôles non indispensables aux opérations, le manque de préparation des équipes informatiques n'est guère surprenant.
L'absence d'essais à pleine charge constitue également un problème lors de la transition vers le travail à distance. La charge d'un site de travail dans son ensemble, c'est-à-dire des dizaines ou des centaines de sites de travail utilisant les serveurs basés dans le cloud, nécessite une capacité de test répétée. La stabilité du système ne peut être garantie sans elle et peut entraîner le fonctionnement imprévu d'une infrastructure autrement sécurisée.
Avec tous ces problèmes, des procédures inhabituelles voient le jour lors de l'installation et du test. Un dépannage et une correction simultanés demandent aux équipes informatiques de longues heures de travail, auxquelles elles risquent de ne pas pouvoir s'atteler au maximum de leurs performances. Chacune de ces faiblesses peut constituer une porte ouverte pour un cybercriminel.
Des politiques BYOD (Bring Your Own Device, apportez votre propre appareil) ont été mises en œuvre par certaines entreprises pour faciliter le travail à distance et accroître la flexibilité. Même si une telle approche permet aux entreprises d'alléger leurs coûts matériels et leur maintenance au niveau des salariés, elle crée des failles potentielles sur leurs systèmes informatiques.
Puisque les activités personnelles et professionnelles se combinent via l'utilisation d'un appareil, les systèmes cloud sont plus exposés aux attaques malveillantes émanant d'appareils non protégés. Dans la plupart des lieux de travail, l'utilisation personnelle est censée être réservée aux appareils personnels, réduisant ainsi le contact avec les comptes et les fichiers des utilisateurs de terminaux.
Les réseaux sur site sont protégés par des pare-feu, les routeurs wifi sont sauvegardés, et même les téléphones fournis par l'employeur sont gérés par le département informatique. Celui-ci garantit systématiquement que toute surface d'attaque possible bénéficie des protocoles de sécurité et des mises à jour logicielles les plus récents.
Le nouveau climat de connectivité à distance a pris de nombreuses entreprises au dépourvu, avec peu, voire pas d'ordinateurs et de téléphones d'entreprises configurés pour une utilisation à distance à fournir à leurs salariés. Les infections via des programmes malveillants existants font partie des nombreux sujets d'inquiétude liés à l'utilisation des appareils personnels non sécurisés. Les systèmes d'exploitation et autres logiciels d'appareils obsolètes peuvent facilement être utilisés à des fins malveillantes. D'autres appareils du réseau domestique d'un salarié peuvent également faire office de vecteurs pour les programmes malveillants.
Même avec du matériel sécurisé vérifié par le département informatique, la plupart des anciennes protections sur site sont devenues inappropriées car aucun processus ne vérifiait la sécurité du réseau privé de chaque utilisateur.
Les cybercriminels ont décuplé leurs efforts pour s'infiltrer dans des failles inattendues de l'architecture cloud et tirer profit des entreprises ou perturber leur activité, alors même que le monde entier traverse une crise sans précédent.
Le phishing permet aux cybercriminels de se faire passer pour des individus ou des autorités de confiance pour inciter leurs victimes à leur fournir des données précieuses ou leur donner accès à des domaines privés. Ce terme s'applique généralement au vol en ligne d'identifiants de comptes ou d'argent. Les méthodes d'ingénierie sociale de ce type sont appréciées des cybercriminels pour accéder aux systèmes dans le cloud à partir des données de salariés ou autres individus.
Le phishing avec charge utile de programme malveillant fonctionne en se faisant passer pour des parties de confiance et en incitant les victimes à ouvrir des fichiers ou à cliquer sur des liens infectés. Les salariés peuvent être ciblés pour infecter le stockage dans le cloud, des bases de données ou autres structures en réseau d'une entreprise. Une fois infectés, ces programmes malveillants peuvent se propager et provoquer diverses perturbations ou, plus fréquemment, créer une violation de données au niveau de l'entreprise dans son ensemble.
Les attaques par force brute, pour ce qui est de l'infiltration dans le cloud, impliquent une collecte d'identifiants, qui entraîne à son tour la saisie d'identifiants volés à d'autres comptes dans différents services. Les cybercriminels tentent de tirer parti de toute réutilisation du mot de passe et du nom d'utilisateur possible sur plusieurs comptes. Généralement, ils acquièrent des identifiants volés à partir de failles de comptes existants, avec des identifiants vendus sur le Dark Web. Des tentatives rapides de collecte d'identifiants à partir de plusieurs lieux distants peuvent signaler cette activité.
Les attaques par déni de service distribué (Distributed Denial-of-Service, DDoS) surchargent les serveurs cloud ou la structure qui l'entoure pour perturber ou désactiver les services. Ceci peut survenir en coulisses des menaces de phishing et basées sur les botnets, au cours desquelles les cybercriminels accèdent à un système et utilisent une « armée » d'ordinateurs distants pré-formée pour lancer l'assaut. La facilité d'exécution et l'importance des dégâts sur les opérations Web rendent les attaques DDoS particulièrement séduisantes aux yeux des cybercriminels. Pâtissant d'une configuration d'infrastructure incohérente, de nombreuses entreprises qui utilisent des systèmes dans le cloud sont encore plus vulnérables.
Si vous cherchez à renforcer la sécurité de vos données dans le cloud, vous devez prendre en compte plusieurs points. Le chiffrement des données est un point clé de la sécurité dans le cloud. Avec le chiffrement, vous pouvez faire en sorte que vos données soient virtuellement inutilisables sans les clés de chiffrement pour les déverrouiller. Voici quelques conseils.
En tant qu'utilisateur individuel privé, vous pouvez prendre les mesures suivantes :
Si vous cherchez à sécuriser vos systèmes de PME ou d'entreprise, prenez en compte les points suivants :
Les défis liés à la sécurité du cloud computing peuvent être relevés dès le départ par des outils et des méthodes de protection destinés aux utilisateurs finaux. Que ce soit pour un usage personnel ou pour la planification des politiques informatiques de l'entreprise, voici quelques conseils pour vous aider à sécuriser vos services cloud :
Produits associés :
Articles connexes :