L'adoption rapide des services de cloud computing a donné aux entreprises un faux sentiment de sécurité en ce qui concerne la protection de leurs données.
Le cloud a permis aux entreprises de lancer et de développer des opérations mondialisées à des vitesses autrefois inimaginables en limitant l'investissement en ressources, en augmentant les communications mondiales et en fournissant tout, des services informatiques aux applications entièrement fonctionnelles en tant que service. En conséquence de cette explosion technologique, de nouvelles menaces en ligne ont proliféré, dépassant le développement des solutions de sécurité nécessaires pour les combattre.
Nouvelles menaces et émergence du cloud computing
Après l'émergence du « Web 2.0 » au milieu des années 2000, le cloud computing et la puissance de la virtualisation ont donné naissance à tout ce qui est imaginable « en tant que service ». Cela incluait tout, des ressources brutes (IaaS) aux applications cloud natives entièrement fonctionnelles livrées en tant que service cloud (SaaS).
Naturellement, de nouveaux fournisseurs de solutions de sécurité ont émergé, et les fournisseurs existants ont dû s'adapter. Les données ont été transférées des solutions sur site vers le cloud, nécessitant de nouvelles solutions de gouvernance et de protection. L'infrastructure est gérée par les fournisseurs de services, ce qui nécessite que les deux parties fassent preuve de diligence raisonnable. Les applications cloud natives nécessitent de nouveaux types de pare-feu et de configurations de politiques de sécurité.
La liste continue. En conséquence, le marché de la cybersécurité dans le cloud croît rapidement. En 2016, la taille du marché de la sécurité cloud était évaluée à moins de 5 milliards de dollars, selon Grand View Research. D'ici 2022, ce chiffre devrait atteindre 13 milliards de dollars, selon MarketWatch.
En 2018, l'entreprise moyenne a connu plus de 30 menaces de sécurité liées au cloud par mois, selon McAfee, soit une augmentation de 27,7 % par rapport à l'année précédente. Cela inclut les menaces provenant d'acteurs tiers, les menaces internes et les utilisateurs privilégiés.
Risques du cloud computing
Contrôle d'accès et menaces internes
Le contrôle d'accès basé sur le cloud fait référence à la gestion des utilisateurs autorisés à accéder aux systèmes et données basés sur le cloud à distance. Cela est devenu un problème énorme puisque les services basés sur le cloud sont exploités et accessibles à l'échelle mondiale. En conséquence, les entreprises doivent suivre qui accède à quelles informations, gérer les identités et privilèges des utilisateurs, et surveiller les activités suspectes. Les opérations de contrôle d'accès réussies doivent combiner des solutions axées sur l'authentification et la gestion des identités.
Les entreprises utilisant des services cloud doivent gérer de manière cohérente l'accès aux informations stockées dans le cloud, surtout si ces informations sont considérées comme sensibles. Les données sensibles doivent être cryptées, et les clés cryptographiques doivent être stockées en toute sécurité tandis que les clés de chiffrement sont tournées.
Elles doivent gérer le cycle de vie des utilisateurs autorisés. Les logiciels de gestion des accès privilégiés aident à attribuer des permissions à des systèmes spécifiques à des parties approuvées. Inversement, les identités doivent être déprovisionnées après la résiliation de l'accès, des comportements suspects ou des incidents de sécurité.
Bien que les clés de sécurité et la gestion des accès puissent sembler évidentes, il est facile pour les individus de mal étiqueter les données ou d'oublier de protéger les informations. C'est ainsi que Facebook a divulgué des millions de numéros de téléphone en août. L'entreprise a laissé des fichiers contenant des données sensibles sur un serveur qui n'était pas protégé par un mot de passe, encore moins crypté. Exiger une authentification multi-facteurs pour la majorité des points d'accès est une solution facile ; cependant, cela peut ne pas être idéal pour tout le monde.
Mauvaise configuration et violations de données
L'incident récent de Facebook était probablement le résultat de vieux serveurs mal gérés et oubliés. Cependant, de nombreuses violations de données plus importantes résultent de la mauvaise configuration des mécanismes de sécurité. Les hackers et autres cybercriminels utilisent ces mauvaises configurations pour escalader leurs privilèges et accéder à des données sensibles et des informations privées.
C'est exactement ce qui est arrivé à Capital One en juillet 2019. Un ancien employé d'AWS a profité d'un pare-feu d'application web mal configuré pour obtenir une escalade de privilèges. En conséquence, des informations sensibles concernant plus de 100 millions de personnes aux États-Unis et environ 6 millions de Canadiens ont été divulguées.
Plus tôt cette année, McAfee a interrogé 1 000 entreprises sur les mauvaises configurations. Ils ont découvert que 99 % des mauvaises configurations passent inaperçues. Malgré le fait que les entreprises signalent en moyenne 37 incidents de mauvaise configuration par mois, les données réelles de McAfee suggèrent que le nombre est plus proche de 3 500 incidents par mois.
Bien que la responsabilité incombe finalement à ceux qui utilisent les services cloud, assurer une configuration correcte est possible en utilisant des solutions telles que la gestion des politiques de sécurité réseau et les logiciels de gestion de la configuration en général. Beaucoup de ces solutions sont natives du cloud et sont conçues pour identifier les mauvaises configurations courantes et appliquer des politiques de sécurité cloud strictes.
Intégrations et sécurité des API
Les fournisseurs de services cloud fournissent généralement des interfaces de programmation d'applications (API) à leurs clients pour gérer et interagir avec leurs services. Sans ces API, leurs clients ne pourraient pas utiliser, gérer ou surveiller les services cloud. Ils peuvent également utiliser une interface logicielle pour servir le même objectif.
Ces API peuvent être publiques et fournir une adresse IP à des parties extérieures au réseau sécurisé d'une entreprise. Cela en fait une cible facilement identifiable et une priorité majeure en matière de sécurité. Comme les logiciels, elles peuvent contenir des vulnérabilités.
Par exemple, une vulnérabilité avec le niveau de gravité le plus élevé possible a été découverte dans l'API REST de Cisco en août. Le bug permettait aux hackers d'exploiter un certain nombre de routeurs Cisco car ils contournaient facilement l'authentification et pouvaient obtenir un contrôle total sur l'appareil.
Failles des applications cloud natives
Les vulnérabilités des applications peuvent exposer les entreprises à un certain nombre de menaces de sécurité. Les applications cloud natives restent vulnérables aux mêmes menaces que les applications traditionnelles, ainsi qu'à de nouvelles menaces en raison de la surface d'attaque accrue inhérente au cloud.
Les entreprises fournissant des applications alimentées par des fournisseurs d'infrastructure tiers doivent s'assurer que leur application est exempte de vulnérabilités, que leurs API de gestion sont sécurisées et que les mécanismes sont correctement configurés.
Sans politiques de sécurité appropriées en place, les hackers peuvent exploiter les vulnérabilités du système pour voler des informations, planter des applications ou contrôler des appareils. Une fois compromise, une application vulnérable peut divulguer des informations confidentielles stockées ou intégrées sur elle.
Une autre tendance émergente dans le cloud computing, les applications basées sur des conteneurs, pourrait devenir les prochaines grandes cibles. Heureusement, comme je l'ai écrit le mois dernier, le marché de la sécurité des conteneurs se développe rapidement et évolue pour aider à résoudre les problèmes liés aux conteneurs avec tout, de la détection d'anomalies basée sur l'IA à l'application distribuée des politiques de sécurité au niveau de l'application.
Conformité continue
Enfin, mais non des moindres, la conformité cloud. C'est une menace pour la sécurité d'une entreprise et son portefeuille, sans parler des clients qui font confiance aux entreprises pour protéger leurs données.
Selon McAfee, 21 % de tous les fichiers dans le cloud contiennent des données sensibles. C'est pourquoi les régions, les pays et les États ont pris des mesures pour protéger la vie privée de leurs citoyens. En raison des réglementations sur la confidentialité des données dans le cloud, les données sensibles peuvent devoir être traitées différemment dans diverses juridictions.
Ces réglementations incluent le Règlement général sur la protection des données (RGPD) dans l'Union européenne et la California Consumer Privacy Act (CCPA) qui entre en vigueur le 1er janvier 2020. Les lois sur la protection des consommateurs liées aux données cloud exigent des éléments tels que le contrôle d'accès, la portabilité des données, le chiffrement au repos et le consentement des clients. Beaucoup exigent également que les entreprises fournissent les informations qu'elles ont recueillies sur les consommateurs lorsqu'elles sont demandées.
Heureusement, les solutions de conformité cloud sont conçues pour garantir que toutes les exigences pertinentes en matière de protection des consommateurs sont respectées. Ces produits identifient les ressources à travers les environnements cloud et informatiques, centralisent la gouvernance, évaluent les risques et appliquent des politiques alignées sur les réglementations gouvernementales et industrielles.
Les solutions de confidentialité des données et de sécurité centrée sur les données ont gagné en popularité. Les outils de confidentialité des données sont généralement utilisés pour garantir la visibilité des informations sensibles et leur livrabilité aux clients. Les outils de sécurité centrée sur les données sont conçus pour aider à découvrir les données sensibles tout en auditant continuellement les bases de données et en enquêtant sur les ressources pour les informations sensibles qui pourraient être exposées.
L'utilisation de ces outils aide les entreprises à éviter des pénalités sévères comme l'amende de 50 millions d'euros que Google a dû payer à l'Union européenne pour ne pas avoir respecté les obligations du RGPD. Google aurait pu éviter ces amendes en informant correctement les consommateurs sur la façon dont leurs données sont utilisées et en donnant plus de transparence sur leurs politiques de consentement des données.
Bien qu'il existe de nombreux risques associés au cloud computing, il ne disparaîtra pas. Les entreprises devraient généralement accepter l'idée que la transformation numérique est entrée dans une nouvelle ère de cloud computing et de relations avec les consommateurs régies par les données, la confidentialité et la transparence.
Les dirigeants d'entreprises gérant des informations en ligne doivent continuellement s'informer sur les menaces émergentes et les réglementations. S'ils échouent, ils échoueront à sécuriser les informations de leurs clients, ce qui entraînera de lourdes amendes et, pire encore, la perte de la confiance des clients.
Vous voulez en savoir plus sur Outils de gestion de configuration ? Découvrez les produits Gestion de la configuration.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
