Problèmes et défis inhérents à la sécurité dans le cloud

Les problèmes de sécurité dans le cloud ont grimpé en flèche suite à l'augmentation de notre activité en ligne. Les activités des cybercriminels ont commencé à mettre en lumière de nombreux défauts dans le cloud à la suite d'événements récents, éveillant l'intérêt des départements informatiques du monde entier. Même si les cybermenaces sur le paysage numérique se sont multipliées pendant l'épidémie, les problèmes de sécurité dans le cloud arrivent rapidement en première ligne.

Exemples de menaces actuelles en matière de sécurité dans le cloud :

• Les systèmes d'entreprise accessibles à distance manquent d'une configuration sécurisée et de contrôles de sécurité en raison d'une absence de préparation à un passage obligatoire au travail à la maison.
• La formation des utilisateurs finaux sur l'ingénierie sociale est toujours nécessaire car des identifiants utilisateurs sont volés par des emails frauduleux et autres escroqueries.
• Les utilisateurs ne sont pas sensibilisés à la configuration sécurisée de leurs appareils personnels. Des appareils précédemment hors réseau comme les thermostats se sont transformés en points d'entrée potentiels permettant aux cybercriminels de pénétrer dans des réseaux particuliers privés.

Les risques liés à la sécurité informatique dans le Cloud

La sécurité en matière de cloud computing pose problème depuis longtemps. Alors que les services cloud personnels comme l'iCloud d'Apple ont eu leur part de controverse, le défi majeur concerne aujourd'hui la sécurité des opérations des entreprises et des gouvernements.

Là où les réseaux et le matériel utilisés peuvent être un environnement plus contrôlé, l'accès à distance introduit davantage de points de contact exposés à des attaques potentielles. Chaque connexion et chaque composant doit être connecté à une structure sécurisée pour garantir l'absence de failles égarées. Dans le cadre d'un plan de travail à distance sécurisé, les ordinateurs portables, les téléphones et les appareils connectés au réseau eux-mêmes sont tous configurés et testés par les équipes informatiques internes pour garantir leur résistance.

Malheureusement, la propagation mondiale du COVID-19 a entraîné un passage ultra-rapide au travail à la maison. L'adoption non planifiée d'une infrastructure de travail distante a été accompagnée de politiques incomplètes pour les outils comme l'accès aux serveurs dans le cloud. L'utilisation croissante des plateformes de collaboration basées dans le cloud et des systèmes de réunion virtuelle a engendré une recrudescence des complications informatiques.

Selon une étude Fugue, près de 3 équipes sur 4 utilisant des systèmes dans le cloud ont enregistré plus de 10 incidents quotidiens dus à une configuration inappropriée du système. Depuis les failles de stockage aux politiques non strictes sur l'accès aux systèmes, 84 % des équipes informatiques craignent d'avoir subi une attaque à leur insu. Le recours manuel inefficace utilisé par la plupart des équipes introduit des erreurs humaines, qui interrogent sur la fiabilité du dépannage dans le cloud.

Les cybercriminels se sont mis à exploiter l'augmentation de l'utilisation du cloud, ciblant tout, depuis les établissements de santé aux services au personnel en ligne. Les brèches de sécurité existant déjà, l'erreur humaine représente un autre sujet d'inquiétude pour les entreprises. Le personnel informatique et les utilisateurs de terminaux doivent rester constamment à l'affût des cybermenaces, entraînant ainsi une « fatigue à l'égard des alertes » et autres erreurs de jugement.

Les risques liés à la sécurité informatique dans le Cloud

Les risques liés à la sécurité des services de cloud computing se répartissent de la façon suivante :

• Les vulnérabilités système représentent le côté technique des menaces et doivent être traitées de manière proactive par du personnel qualifié.
• L'erreur ou la négligence de la part des utilisateurs de terminaux représente le côté humain, qui nécessite une formation continue et une sensibilisation pour pouvoir les éviter.
• Les cybercriminels sont aussi puissants que les failles humaines et techniques d'un système dans le cloud leur permettent de l'être. Toutefois, l'expérience en matière de manipulation des éléments à la fois techniques et humains offre un avantage aux cybercriminels.

Même si les failles d'exploitation zero-day restent tout à fait possibles, de nombreux cybercriminels peuvent utiliser des vecteurs d'infiltration connus bien plus simples pour pénétrer les systèmes dans le cloud d'une entreprise. Voici des exemples de problèmes inhérents à l'utilisation du cloud :

Configuration du cloud

Les systèmes dans le cloud configurés de manière inappropriée sont monnaie courante car nombre de sites de travail configurent des systèmes à distance pour la première fois. Une structure basée dans le cloud nécessite des sauvegardes étendues niveau backend pour réduire ses points faibles en cas d'attaque en ligne. Un délai adéquat doit être donné pour effectuer une configuration détaillée dans le cloud, un grand nombre de départements informatiques ayant lancé le processus à toute vitesse.

L'étude de Fugue d'avril 2020 cite un manque de sensibilisation aux politiques comme raison majeure de la gestion inefficace de ces menaces. De la même façon, les équipes manquent de surveillance et de réglementations appropriées pour l'ensemble des API logicielles interagissant avec les services cloud. Avec les nombreux niveaux d'autorisations et de contrôles non indispensables aux opérations, le manque de préparation des équipes informatiques n'est guère surprenant.

L'absence d'essais à pleine charge constitue également un problème lors de la transition vers le travail à distance. La charge d'un site de travail dans son ensemble, c'est-à-dire des dizaines ou des centaines de sites de travail utilisant les serveurs basés dans le cloud, nécessite une capacité de test répétée. La stabilité du système ne peut être garantie sans elle et peut entraîner le fonctionnement imprévu d'une infrastructure autrement sécurisée.

Avec tous ces problèmes, des procédures inhabituelles voient le jour lors de l'installation et du test. Un dépannage et une correction simultanés demandent aux équipes informatiques de longues heures de travail, auxquelles elles risquent de ne pas pouvoir s'atteler au maximum de leurs performances. Chacune de ces faiblesses peut constituer une porte ouverte pour un cybercriminel.

Politiques de travail à la maison BYOD

Des politiques BYOD (Bring Your Own Device, apportez votre propre appareil) ont été mises en œuvre par certaines entreprises pour faciliter le travail à distance et accroître la flexibilité. Même si une telle approche permet aux entreprises d'alléger leurs coûts matériels et leur maintenance au niveau des salariés, elle crée des failles potentielles sur leurs systèmes informatiques.

Puisque les activités personnelles et professionnelles se combinent via l'utilisation d'un appareil, les systèmes cloud sont plus exposés aux attaques malveillantes émanant d'appareils non protégés. Dans la plupart des lieux de travail, l'utilisation personnelle est censée être réservée aux appareils personnels, réduisant ainsi le contact avec les comptes et les fichiers des utilisateurs de terminaux.

Les réseaux sur site sont protégés par des pare-feu, les routeurs wifi sont sauvegardés, et même les téléphones fournis par l'employeur sont gérés par le département informatique. Celui-ci garantit systématiquement que toute surface d'attaque possible bénéficie des protocoles de sécurité et des mises à jour logicielles les plus récents.

Le nouveau climat de connectivité à distance a pris de nombreuses entreprises au dépourvu, avec peu, voire pas d'ordinateurs et de téléphones d'entreprises configurés pour une utilisation à distance à fournir à leurs salariés. Les infections via des programmes malveillants existants font partie des nombreux sujets d'inquiétude liés à l'utilisation des appareils personnels non sécurisés. Les systèmes d'exploitation et autres logiciels d'appareils obsolètes peuvent facilement être utilisés à des fins malveillantes. D'autres appareils du réseau domestique d'un salarié peuvent également faire office de vecteurs pour les programmes malveillants.

Même avec du matériel sécurisé vérifié par le département informatique, la plupart des anciennes protections sur site sont devenues inappropriées car aucun processus ne vérifiait la sécurité du réseau privé de chaque utilisateur.

Ingénierie sociale et autres cyberattaques

Les cybercriminels ont décuplé leurs efforts pour s'infiltrer dans des failles inattendues de l'architecture cloud et tirer profit des entreprises ou perturber leur activité, alors même que le monde entier traverse une crise sans précédent.

Le phishing permet aux cybercriminels de se faire passer pour des individus ou des autorités de confiance pour inciter leurs victimes à leur fournir des données précieuses ou leur donner accès à des domaines privés. Ce terme s'applique généralement au vol en ligne d'identifiants de comptes ou d'argent. Les méthodes d'ingénierie sociale de ce type sont appréciées des cybercriminels pour accéder aux systèmes dans le cloud à partir des données de salariés ou autres individus.

Le phishing avec charge utile de programme malveillant fonctionne en se faisant passer pour des parties de confiance et en incitant les victimes à ouvrir des fichiers ou à cliquer sur des liens infectés. Les salariés peuvent être ciblés pour infecter le stockage dans le cloud, des bases de données ou autres structures en réseau d'une entreprise. Une fois infectés, ces programmes malveillants peuvent se propager et provoquer diverses perturbations ou, plus fréquemment, créer une violation de données au niveau de l'entreprise dans son ensemble.

Les attaques par force brute, pour ce qui est de l'infiltration dans le cloud, impliquent une collecte d'identifiants, qui entraîne à son tour la saisie d'identifiants volés à d'autres comptes dans différents services. Les cybercriminels tentent de tirer parti de toute réutilisation du mot de passe et du nom d'utilisateur possible sur plusieurs comptes. Généralement, ils acquièrent des identifiants volés à partir de failles de comptes existants, avec des identifiants vendus sur le Dark Web. Des tentatives rapides de collecte d'identifiants à partir de plusieurs lieux distants peuvent signaler cette activité.

Les attaques par déni de service distribué (Distributed Denial-of-Service, DDoS) surchargent les serveurs cloud ou la structure qui l'entoure pour perturber ou désactiver les services. Ceci peut survenir en coulisses des menaces de phishing et basées sur les botnets, au cours desquelles les cybercriminels accèdent à un système et utilisent une « armée » d'ordinateurs distants pré-formée pour lancer l'assaut. La facilité d'exécution et l'importance des dégâts sur les opérations Web rendent les attaques DDoS particulièrement séduisantes aux yeux des cybercriminels. Pâtissant d'une configuration d'infrastructure incohérente, de nombreuses entreprises qui utilisent des systèmes dans le cloud sont encore plus vulnérables.

Comment protéger ses données dans le cloud ?

Si vous cherchez à renforcer la sécurité de vos données dans le cloud, vous devez prendre en compte plusieurs points. Le chiffrement des données est un point clé de la sécurité dans le cloud. Avec le chiffrement, vous pouvez faire en sorte que vos données soient virtuellement inutilisables sans les clés de chiffrement pour les déverrouiller. Voici quelques conseils.

En tant qu'utilisateur individuel privé, vous pouvez prendre les mesures suivantes :

• Utilisation d'un service VPN : un réseau privé virtuel peut vous aider à optimiser la confidentialité et le caractère anonyme de vos données en transit entre votre cloud et vos appareils. Le chiffrement est une fonctionnalité de base de la plupart des services VPN. L'utilisation d'un VPN peut donc vous permettre d'éviter que l'on surveille vos connexions.
• Déterminez si les données que vous stockez ont besoin d'être chiffrées : les données n'ont pas toutes besoin d'être chiffrées, mais les données sensibles doivent toujours disposer de ce niveau de protection. Les meilleures pratiques recommandent d'utiliser le chiffrement pour les fichiers tels que les documents fiscaux ou autres données privées, mais pas pour les fichiers et données déjà publiques. N'oubliez pas que vous pouvez perdre votre accès si vous perdez vos clés de chiffrement.
• Déployez le chiffrement avec précaution : Comme votre fournisseur ne conserve pas la trace des clés de chiffrement elles-mêmes, vous pouvez vous assurer qu'elles ne sont pas stockées dans un emplacement vulnérable comme le stockage d'un ordinateur embarqué.
• Choisissez un service de sécurité qui surveille votre identité : avec des produits comme Kaspersky Security Cloud, vous recevez des mises à jour si vos données sont exposées à une faille de données d'un fournisseur de services cloud. En cas de problème avec l'une ou l'autre de vos méthodes de chiffrement, vous êtes informé et recevez un plan d'action appropriée assurant votre sécurité.

Si vous cherchez à sécuriser vos systèmes de PME ou d'entreprise, prenez en compte les points suivants :

• Chiffrement des données avant leur stockage dans le cloud : en sécurisant vos appareils de stockage de données et vos systèmes d'exploitation locaux, vous contrôlerez davantage la façon dont votre entreprise gère ses mesures de chiffrement.
• Chiffrement de bout en bout : assurez-vous que votre fournisseur propose un chiffrement qui protège vos données lors du transit vers et depuis votre service cloud. Les données sensibles comme les informations financières ou propriétaires d'une entreprise doivent toujours être protégées contre toute interception.
• Gestion de vos clés de chiffrement : le chiffrement nécessite plusieurs clés pour accéder aux données, à soigneusement contrôler et conserver. Déterminez si votre fournisseur de services cloud gère les clés pour vous ou si vous devrez les conserver en interne.
• Utilisez une solution de sécurité dans le cloud : optimiser en permanence le chiffrement des données est une tâche qui se révèle complexe sans assistance. Toutefois, les produits de sécurité comme Kaspersky Hybrid Cloud Security peuvent vous aider à déterminer comment renforcer votre sécurité locale et dans le cloud, tout en restant à l'affût des nouvelles menaces.

Conseils visant à renforcer votre sécurité dans le cloud

Les défis liés à la sécurité du cloud computing peuvent être relevés dès le départ par des outils et des méthodes de protection destinés aux utilisateurs finaux. Que ce soit pour un usage personnel ou pour la planification des politiques informatiques de l'entreprise, voici quelques conseils pour vous aider à sécuriser vos services cloud :

1. Évitez de télécharger documents et pièces jointes : affichez si possible un aperçu des pièces jointes et des documents. Laissez vos documents en ligne au lieu de les enregistrer pour y accéder depuis un stockage local.
2. Signalez au support informatique toute tentative de phishing : emails, appels téléphonique, SMS ou toute autre forme suspecte de phishing. Informez immédiatement votre fournisseur de service et/ou votre département informatique.
3. Activez l'authentification multi-facteur : une protection à plusieurs niveaux comme la biométrique ou les mots passe sur « clés » USB peut créer davantage de barrières de sécurité. Même si elle n'est pas infaillible, un soupçon de sécurité personnalisée peut aider à faire face à des cyberattaques de faible niveau.
4. Sécurisez vos appareils connectés domestiques (ou au minimum votre accès Internet) : assurez-vous que l'accès administrateur à votre routeur est bloqué par un mot de passe et un nom d'utilisateur forts. Renforcer les mots de passe de votre réseau wifi peut également être judicieux. En cas de travail à distance, pensez à utiliser un point d'accès mobile avec un VPN au lieu de votre réseau domestique.
5. Suivez les conseils prodigués lors de la formation sur la cybersécurité. Les règles et politiques ne sont efficaces que si vous prenez le temps de les mettre en pratique. Suggérez que votre département informatique implémente des exercices virtuels contre les menaces comme le phishing si cela n'a pas déjà été fait.
6. Configurez et exigez l'utilisation d'un VPN. Ce service offre à votre entreprise comme à vous-même un tunnel privé pour que toutes vos données transitent de manière ininterrompue. Assurez-vous que votre fournisseur de VPN propose un chiffrement de bout en bout et bénéficie d'un historique éprouvé.
7. Vérifiez et limitez l'accès des utilisateurs. Le fait de supprimer les comptes utilisateurs inutilisés et de limiter les autorisations utilisateurs à l'essentiel peut garantir une cyberhygiène efficace en cas de travail à distance.
8. Installer un logiciel de sécurité Internet Même si vous faites preuve de vigilance sur vos propres appareils, ceci ne stoppera pas une infection infiltrée via un autre utilisateur sur le cloud de votre espace de travail. Un logiciel antivirus approprié, comme Kaspersky Cloud Security, vous aidera à garantir la sécurité de vos données.
9. L'ensemble de vos logiciels doivent toujours être à jour. Les correctifs de sécurité constituent le composant essentiel de nombreux correctifs logiciels. Installez-les dès que possible pour combler toute faille de données potentielle.
10. Augmentez les niveaux de sécurité sur les systèmes d'exploitation, les applications et les services Web. Les mesures de sécurité par défaut de certains programmes et appareils peuvent opter pour un équilibre entre commodité et sécurité. Nous vous recommandons de les ajuster pour obtenir des autorisations plus strictes afin de contenir les menaces de sécurité.
11. Testez votre configuration de sécurité dans le cloud. Ceci implique l'utilisation de diverses méthodes pour analyser votre réseau et l'ensemble de ses composants en quête de vulnérabilités potentielles. Il est important de tester la force de vos mots de passe. Cette fonctionnalité est proposée par l'outil Kaspersky Password Manager. Même si ce test peut être long lorsque vous l'effectuez vous-même, certains outils de cybersécurité comme Kaspersky Hybrid Cloud Security peuvent renforcer vos systèmes tout en luttant contre les menaces entrantes.

Produits associés :

• Cybersécurité pour vos appareils domestiques
• Sécurité avancée des terminaux pour PME
• Hybrid Cloud Security
• Cybersécurité pour les entreprises, par secteur d'activité

Articles connexes :

• Qu'est-ce que la cybercriminalité ? Risques et prévention
• Comment éviter la plupart des activités de cybercriminalité ?
• Menaces liées à l'Internet des objets
• Qu’est-ce que le phishing ?