+ 33 1 53 75 82 00

Sécurité du cloud : top 10 des risques et moyens d’y remédier

En offrant plus de flexibilité et plus d’agilité à moindre coût, les systèmes hébergés dans le cloud ont changé la donne pour de nombreuses entreprises. Seulement voilà, les environnements cloud apportent aussi leur lot de risques pour la sécurité. Public ou privé, peu importe le modèle de cloud adopté, les cybercriminels chercheront à s'infiltrer par tous les moyens (campagne de phishing, vulnérabilité d’un système, source interne à l’entreprise, etc.) pour accéder à vos données. 

D’où la nécessité d’adopter des mesures fortes pour durcir la sécurité du cloud. C'est d'ailleurs le message martelé par le rapport d’enquête sur les compromissions de données (DBIR) depuis des années. Cette page vous invite à faire un tour d'horizon des 10 grands risques de sécurité dans le cloud et des moyens d’y remédier.

1. Compromissions des données

Les énormes volumes de données stockés dans les environnements de cloud publics et privés sont devenus des mines d’or pour les cybercriminels. Du fait de leur exposition à Internet, les systèmes cloud comportent un certain nombre de risques intrinsèques. Or, même si les motivations varient, l’objectif des cybercriminels reste souvent de détourner cette manne de données confidentielles à leur profit : dossiers médicaux, données personnelles, secrets commerciaux, propriété intellectuelle, données financières ou à caractère politique, etc.

Solution : Utilisez plusieurs facteurs d’authentification et chiffrez vos données. En cas de compromission, changez immédiatement les mots de passe des administrateurs locaux et réseau. Enfin, centralisez la gestion des journaux de manière à en faciliter l’accès aux spécialistes de la réponse à incident en cas de compromission.

2. Détournement de compte

Une gestion lacunaire des identifiants et des identités peut exposer les entreprises aux attaques et tentatives de détournement. Phishing, pretexting, systèmes d’inscription simplifiés... les cybercriminels se servent de diverses méthodes pour prendre le contrôle des environnements. Un botnet capable de subtiliser les identifiants d’un utilisateur pourra par exemple s’en servir pour accéder à une application utilisant le même service cloud. Une fois à l’intérieur du sytème, les hackers peuvent contrôler le compte, faire main basse sur les données et nuire à la réputation de l’entreprise.

Solution : Limitez les accès aux zones sensibles, imposez une authentification forte à deux facteurs et empêchez les utilisateurs de partager leurs identifiants. Suivez également l'activité de chaque compte et assurez-vous de pouvoir retracer son appartenance à un humain.

3. Failles de sécurité des API

Votre API est souvent la porte d’entrée vers votre service cloud, pour les utilisateurs légitimes comme pour les attaquants. Étant donné que l'API est souvent la seule ressource dotée d’une adresse IP publique, cela en fait également le point le plus vulnérable. Certaines entreprises sont amenées à confier leurs identifiants d’API à des entités tierces, ce qui augmente leur exposition et soulève de nouveaux problèmes de sécurité. Pire encore, si un attaquant parvenait à s’emparer du jeton d'un client pour accéder à un service cloud, il pourrait s'en servir pour accéder et manipuler les données d’un autre client.

Solution : Appliquez les bonnes pratiques d’authentification forte et mettez en place un mécanisme de contrôle des accès à votre API. Vous devez également maîtriser la chaîne des dépendances qui lient vos API, sans oublier d'ajouter plusieurs couches de sécurité pour réduire le risque d’accès non autorisé.

4. Malwares

Selon notre dernier rapport d’enquête sur les compromissions de données, les malwares restent une menace très présente. Ici, les attaquants se servent de scripts ou de codes pour intercepter des communications, exfiltrer des données et compromettre l’intégrité d’informations sensibles. Les portes dérobées (backdoors) et serveurs de commande et contrôles (CnC) sont ainsi devenus des outils de choix pour les cybercriminels. Le principe est très simple : un e-mail ou une URL sur les réseaux sociaux sert d'appât pour accéder aux systèmes. Une fois à l’intérieur, le hacker télécharge d'autres malwares, les encode pour contourner le dispositif de détection et les installe directement.

Solution : Sensibilisez vos équipes de cybersécurité et vos salariés aux bonnes pratiques de navigation et de téléchargement. Installez des pare-feu et maintenez-les à jour. Pensez également à surveiller en permanence les configurations et accès à tous les comptes.

5. Perte des données

Dans le cloud, les entreprises peuvent perdre des données pour diverses raisons. Un hacker peut par exemple obtenir l’accès à un système et en exfiltrer des données. Mais les raisons peuvent aussi être plus banales. Un fournisseur de services cloud peut par exemple supprimer accidentellement des données. De même, si des données sont chiffrées et que le client perd la clé de chiffrement correspondante, ces données pourront être perdues à jamais. Les catastrophes naturelles (incendies, ouragans, tremblements de terre, etc.) sont d’autres causes potentielles. Bref, quelles qu'en soient les raisons, les conséquences d’une perte définitive de données peuvent être désastreuses pour une entreprise.

Solution : Veillez à toujours sauvegarder vos données sur d’autres supports, de préférence en combinant des systèmes de stockage sur site et dans le cloud. Examinez les clauses du contrat de votre fournisseur de services cloud concernant la perte de données. Demandez-lui également des précisions sur les questions relatives à la redondance et aux autres dispositifs en place pour la sauvegarde des données.

6. Attaques par déni de service

Les attaques par déni de service (DoS) dominent depuis un certain temps le paysage des menaces dans le cloud. Si elles n’entraînent que rarement une compromission de données, les attaques DoS peuvent néanmoins causer des ralentissements inacceptables, voire paralyser toutes les opérations. Perpétrées à partir d’une seule (déni de service) ou de plusieurs sources (déni de service distribué), ces attaques ont pour objectif de saturer toutes les ressources (processeurs, mémoire, espace disque, bande passante réseau, etc.) d’un environnement cloud virtualisé pour en perturber le service. Exode de la clientèle, atteinte à la réputation de la marque, interruption des activités pendant le processus de remédiation... l'onde de choc peut être aussi vaste que durable pour l'entreprise victime. 

Solution : Installez un antivirus et un pare-feu. Examinez vos configurations réseau à la recherche de vulnérabilités exploitables. Faites appel à un prestataire externe pour vous aider à surveiller et protéger vos systèmes.

7. Menaces internes

Comme son nom l'indique, la menace interne vient de l’intérieur même d’une entreprise : salariés, intérimaires, contractuels, stagiaires, etc. Ainsi, certains dépasseront ou abuseront intentionnellement de leurs privilèges d’accès dans le simple but de faire main basse sur des données et de nuire à l’entreprise. Or, les services cloud offrent des niveaux d’accès plus importants aux acteurs internes, notamment ceux qui s’appuient exclusivement sur les fournisseurs de services cloud pour leur sécurité. Mais attention : l’intention n’est pas toujours malveillante et peut simplement relever de l’erreur. Un collaborateur peut par exemple charger accidentellement des données sensibles ou privées sur un référentiel public. Quant aux adeptes du « Shadow IT », ils peuvent souscrire un service cloud à l'insu de la DSI, exposant par là-même leur entreprise à des risques de sécurité.

Solution : Limitez l’accès aux ressources critiques, notamment par des octrois d’accès aux seuls utilisateurs et adresses IP de confiance. Enregistrez, surveillez et auditez régulièrement l’accès des utilisateurs aux données sensibles. Organisez également des formations sur la cybersécurité et affinez vos protocoles de gestion des données.

8. Menaces APT

Les cybercriminels recourent souvent à des attaques de masse et peu ciblées. Dans le cas des menaces APT (Advanced Persistent Threats), c'est tout le contraire qui se produit : les attaquants procèdent méthodiquement et par étape contre des cibles très précises. Ils utilisent notamment l’ingénierie sociale pour soutirer des informations à des collaborateurs internes. Le phishing et le pretexting représentent également des moyens redoutablement efficaces d'installer des programmes malveillants. Les auteurs de menaces APT pensent long terme. Leur méthode : se tapir dans l'ombre et recueillir patiemment des informations avant de lancer l'attaque.

Solution : Adoptez des mesures de sécurité proactives (par ex. surveillance régulière des systèmes à la recherche d’éventuelles anomalies) et sensibilisez les utilisateurs aux tactiques d’ingénierie sociale comme le phishing via les appareils mobiles.

9. Mauvaise due diligence

Lorsqu’elles choisissent de migrer leurs données vers le cloud ou qu’elles héritent de l'infrastructure cloud d'une entreprise rachetée, les entreprises s’exposent à des risques de sécurité qu’elles n’avaient pas forcément anticipés. D’où la nécessité de mener au préalable une due diligence appropriée et approfondie. Avant de choisir un nouveau fournisseur de services cloud, il est important de connaître les protocoles de sécurité en place et de clarifier les rôles et responsabilités de chacun en cas d’incident de sécurité. La croissance externe peut être un excellent moteur de développement, mais n'oubliez pas que vous hériterez également de l'exposition aux risques de l’entreprise rachetée. C’est pourquoi vous devrez dresser un bilan complet de son écosystème digital et des éventuelles failles de sécurité.

Solution : Prenez le temps de cerner les risques associés aux nouvelles orientations stratégiques de votre entreprise. Ensuite, menez des audits pour dresser un tableau complet des pratiques et protocoles en place pour la gestion et la sécurité des données.

10. Vulnérabilités des technologies mutualisées

Notre article intitulé « Guide des services et de la sécurité dans le cloud » revient sur les trois types de services cloud existants : l’IaaS, le SaaS et le PaaS. Pensés pour fournir un accès simple et évolutif à des matériels et logiciels hébergés dans le cloud, ces services soulèvent aussi un certain nombre de questions de sécurité. De la même manière que des locataires d'appartements habitent dans un même immeuble, les entreprises partagent ces ressources et services avec d’autres sur les mêmes serveurs. Or, cette mutualisation des ressources ouvre la voie aux failles de sécurité. Un attaquant pourrait ainsi exploiter les vulnérabilités des applications d’une entreprise pour accéder aux ressources ou données d’une autre. 

Solution : Implémentez l’authentification multifacteur sur tous les hôtes, veillez à l’actualisation des correctifs sur les ressources partagées et effectuez des audits de sécurité réguliers sur vos environnements cloud.

La solution Verizon

Verizon est un leader reconnu qui accompagne la transformation digitale de milliers d’entreprises autour de systèmes et services cloud sécurisés. Ce que nous faisons pour elles, nous pouvons le faire pour vous. Pour en savoir plus, découvrez les solutions Verizon de sécurité dans le cloud.