Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

McAfee révèle que les données dans le Cloud sont bien plus exposées que les entreprises ne le pensent

octobre 2018 par McAfee

McAfee dévoile les résultats de son rapport ‘Cloud Adoption and Risk’. Ce dernier
analyse des milliards d’événements Cloud de clients anonymisés pour évaluer l’état actuel des
déploiements et détecter où se trouvent les risques. Le rapport a révélé ainsi que près d’un quart
des données dans le Cloud peuvent être catégorisées comme sensibles, exposant ainsi une
entreprise à des risques en cas de vol ou de fuite de données. Si l’on ajoute à cela le fait que le
partage de données sensibles dans le Cloud a augmenté de 53 % d’une année sur l’autre,
les entreprises qui n’adoptent pas une stratégie Cloud, intégrant à la fois la protection contre la
perte de données, les audits de configuration et les contrôles de collaboration, risquent de mettre
en danger la sécurité de leurs données les plus précieuses, tout en s’exposant à un risque accru
de non-conformité aux règlements internes et externes.

Aussi, bien que les entreprises utilisent massivement le Cloud public pour proposer de nouvelles
expériences à leurs clients, une entreprise connaît, en moyenne par mois, plus de 2 200 incidents
de mauvaise configuration au sein de ses platefomes IaaS (Infrastructure-as-a-Service) et PaaS
(Platform-as-a-Service). Aujourd’hui, les fournisseurs de services Cloud ne couvrent que la
sécurité du Cloud en lui-même, et ne protègent pas les données clients, l’utilisation de leur
infrastructure et de leurs plateformes par les clients. Les entreprises demeurent
responsables de la protection du partage de leurs données, d’où la nécessité de déployer
des solutions de sécurité Cloud couvrant tout le spectre c’est-à-dire du SaaS (Software-as-a-
Service) au IaaS en incluant le PaaS.

« Utiliser le Cloud est devenu la nouvelle norme pour les entreprises, à tel point que les employés
n’hésitent plus à y stocker et y partager des données sensibles », a déclaré Rajiv Gupta, Senior
Vice-President de l’entité Cloud Security Business. « Les menaces, le partage de manière
accidentelle, les erreurs de configuration dans les services Cloud SaaS, ou dans les services
Cloud en mode IaaS/PaaS sont tous en nette croissance. Afin de continuer à soutenir leur activité,
les entreprises ont besoin d’un moyen simple et efficace pour protéger leurs données et pour se
défendre contre les menaces dans l’ensemble des services SaaS, IaaS et PaaS. »

La collaboration dans le Cloud entre avantage et inconvénient

Les services Cloud offrent une occasion unique de renforcer le business grâce à leur capacité
rapide d’évolution, à l’agilité et aux nouvelles possibilités de collaboration qu’ils offrent aux
entreprises. A l’image de Box et des outils de productivité comme Office 365 qui sont utilisés pour
en accroître la fluidité et l’efficacité. Cependant, la collaboration est synonyme de partage, action
qui n’est pas toujours maîtrisée et qui représente un risque d’exposition des données sensibles.

Comme l’illustrent les résultats du rapport :
• Le partage de données sensibles via un lien d’accès public a connu une croissance de 23 %
année après année.
• Les données sensibles envoyées à une adresse électronique personnelle ont également
augmenté de 12 % par rapport à 2016.

Pour sécuriser les données sensibles dans les applications de stockage, de partage de fichiers
et de collaboration dans le Cloud, les entreprises doivent d’abord savoir quels services Cloud
sont utilisés. Il leur faut ensuite parvenir à conserver leurs données sensibles et savoir
comment elles sont partagées et avec qui. Une fois cette visibilité acquise, les entreprises
peuvent alors appliquer des politiques de sécurité appropriées pour interdire le stockage de
données hautement sensibles dans des services Cloud non approuvés. Elles pourront aussi
fournir des protections afin d’empêcher le partage non conforme de données sensibles provenant
de services Cloud approuvés, par exemple lorsque les données sont partagées avec des
adresses électroniques personnelles ou via une liaison ouverte et publique.

Le IaaS et les PaaS, les risques de mauvaise configuration

Avec le Software-as-a-Service (SaaS), la protection des données et de l’identité de l’utilisateur
ainsi que l’accès aux données sont principalement de la responsabilité du client. Avec
l’Infrastructure-as-a-Service (IaaS), les clients ont une plus grande part de responsabilité qui
comprend à la fois les données, l’identité, l’accès, les applications, les contrôles du réseau et de
l’infrastructure hôte. Bien que cela donne aux clients la possibilité de disposer d’un meilleur
contrôle sur leur infrastructure Cloud, cela augmente parallèlement la surface exposée aux
risques de sécurité et leur responsabilité à cet égard.
Les fournisseurs IaaS, comme Amazon Web Services (AWS) mettent à disposition plusieurs
services d’infrastructure et de plateforme, chacun ayant des paramètres de sécurité profonds et
complexes. Le fait que les entreprises utilisent plusieurs fournisseurs IaaS/PaaS qui exécutent
plusieurs instances du produit de chacun amplifie le défi de sécurité inhérent aux services
IaaS/PaaS.

• 94 % de l’utilisation du IaaS/PaaS se fait sous AWS, mais 78 % des organisations
s’appuyant sur une Infrastructure-as-a-Service et une Plateforme-as-a-Service, utilisent à
la fois AWS et Azure.

• Les entreprises ont en moyenne 14 services IaaS/PaaS mal configurés fonctionnant en
simultané, ce qui donne lieu à plus de 2 200 incidents individuels de mauvaise
configuration par mois.

• 5,5 % des buckets AWS S3 autorisent la lecture à l’échelle mondiale, ce qui les rend
accessibles au public.

McAfee préconnise aux entreprises d’auditer leurs configurations IaaS et PaaS : AWS, Azure,
Google Cloud Platform etc. de façon continue et d’en faire une pratique de sécurité standard.
L’utilisation du IaaS/PaaS se développe rapidement en tant qu’alternative aux datacenters sur
site. Les entreprises doivent anticiper et assumer leurs responsabilités en matière de sécurité :
que ce soit la protection des données et la défense contre les menaces, comme elles le feraient
pour les services Cloud en SaaS, la conformité des configurations ou la protection de la charge
de travail pour les services Cloud en IaaS/PaaS, avant de subir un incident dans l’intégrité de leur
dispositif de sécurité.

Comptes compromis et menaces internes

Le contrôle des données dans le Cloud dépend aussi de la capacité des entreprises à contrôler
qui peut y accéder. La plupart des menaces qui pèsent sur les données hébergées dans le Cloud
proviennent de comptes compromis et de l’interne. Une entreprise moyenne génère plus de 3,2
milliards d’événements par mois dans le Cloud, dont 3 217 sont inhabituels et 31,3 millions sont
des menaces réelles.
• + 27, 7 % : c’est l’augmentation annuelle des événements qualifiés de ‘menaces’ dans le
Cloud, tels qu’un compte compromis, un utilisateur privilégié ou une menace interne.
• 80 % des entreprises sont confrontées à au moins une menace de compte
compromis par mois.
• 92 % d’entre elles ont des identifiants Cloud dérobés à vendre sur le Dark Net.
• Les menaces dans Office 365 ont augmenté de 63 % au cours des deux dernières années.

Afin d’anticiper les comptes compromis et les menaces internes, les entreprises devraient
appréhender le fonctionnement des services Cloud. Elles se doivent également d’identifier les
comportements anormaux, par exemple lorsque le même utilisateur accède simultanément au
Cloud à partir d’emplacements différents et distants, ce qui pourrait indiquer une menace de
compte compromis.
Comme première étape vers la protection des données dans le Cloud, l’entreprise devrait mettre
en oeuvre des Cloud Access Security Brokers (CASB). Ces logiciels hébergés dans le Cloud
appliquent des politiques de sécurité, de conformité et de gouvernance pour les services Cloud.

Ils aident les entreprises à exploiter et à étendre leurs contrôles de sécurité existants, si
nécessaire, ainsi qu’à définir et à déployer de nouveaux contrôles natifs du Cloud, le cas échéant.
La mise en oeuvre d’un CASB permet aux entreprises de protéger systématiquement leurs
données et de se défendre contre les menaces dans l’ensemble du spectre SaaS, IaaS et PaaS.


Méthodologie :
Pour le rapport ‘Cloud Adoption and Risk’, McAfee a analysé les données anonymisées et agrégées sur l’utilisation du Cloud de plus
de 30 millions d’utilisateurs de McAfee MVISION Cloud dans le monde. Ce panel comprend des entreprises de secteurs majeurs pour
McAfee, notamment les services financiers, la santé, le secteur public, l’éducation, le commerce de détail, les nouvelles technologies,
l’industrie, la fabrication, l’énergie, les services publics, le secteur juridique, le transport, l’immobilier et les services commerciaux.
Collectivement, ces utilisateurs génèrent chaque jour des milliards de transactions uniques dans le Cloud. Le registre des services
dans les Cloud de McAfee suit plus de 50 attributs de l’état de préparation/maturité de l’entreprise, ce qui permet de suivre le
comportement à l’aide de signatures de données détaillées pour plus de 25 000 services Cloud. D’autres données contextuelles
proviennent du précédent rapport 2018 réalisé auprès de 1 400 professionnels de la sécurité dans 11 pays, tous utilisant des services
Cloud publics ou privés.


Voir les articles précédents

    

Voir les articles suivants