Face à la généralisation de l'utilisation du cloud par les entreprises à des fins de stockage et de traitement informatique, le risque d'attaque ciblant les services cloud ne cesse d'augmenter. Les entreprises doivent tenir compte de cette réalité et protéger leur infrastructure contre les vulnérabilités potentielles du cloud. D'après une étude menée en 2021 par IBM, le coût de la reprise des activités à la suite d'une compromission de données provoquée par des vulnérabilités de la sécurité du cloud s'élève en moyenne à 4,8 millions de dollars. Ce montant énorme inclut les coûts d'investigation et de réparation de la compromission, ainsi que les éventuelles amendes ou sanctions imposées par le législateur.

Mais les conséquences d'une sécurité déficiente ne sont pas uniquement financières. La compromission de données clients peut entacher la réputation de l'entreprise, avec à la clé une diminution de son chiffre d'affaires. Le coût total d'une sécurité inefficace du cloud peut donc être considérable, raison pour laquelle les entreprises doivent prendre des mesures pour protéger leurs données de façon adéquate contre les vulnérabilités du cloud.

Cet article passe en revue les six principales vulnérabilités du cloud auxquelles votre entreprise est susceptible d'être confrontée et propose des conseils pour les atténuer. En effet, en matière de cybersécurité, des mesures de prévention proactives sont toujours préférables à des mesures correctives prises dans l'urgence.

How to Find and Eliminate Blind Spots in the Cloud

Ce guide passe en revue les possibilités de journalisation et de visibilité qu'offrent Amazon Web Services (AWS) et Google Cloud Platform (GCP), ainsi que les angles morts de ces services et comment les éliminer.

Télécharger

1. Erreurs de configuration du cloud

Les erreurs de configuration du cloud sont sans doute la vulnérabilité la plus souvent rencontrée par les entreprises, comme le révèle une étude récente de la NSA. Ces erreurs peuvent prendre de nombreuses formes, et nous en examinons quelques-unes ci-dessous. Elles sont souvent causées par une méconnaissance des bonnes pratiques ou par l'absence d'évaluation par l'équipe DevOps/en charge de l'infrastructure.

Gestion des identités et des accès

La gestion non sécurisée des identités et des accès (IAM) est une vulnérabilité courante des systèmes cloud. En bref, ce problème survient lorsqu'un utilisateur ou un service de votre infrastructure a accès à des ressources auxquelles il ne devrait pas pouvoir accéder et/ou dont il n'a pas besoin.

Pour atténuer cette menace :

  • Appliquez le principe du moindre privilège à l'ensemble de vos ressources et utilisateurs cloud. Évitez toujours d'octroyer un accès complet à une ressource si un service n'a besoin que d'un accès en lecture seule ou à une partie de la ressource.
  • Utilisez des outils tiers pour identifier les erreurs de configuration des règles IAM. Par exemple, une plateforme de protection des applications cloud native (CNAPP) peut vous aider à mieux repérer ce type d'erreur.
  • Examinez régulièrement les accès et les privilèges, car les besoins en matière d'accès évoluent au fil du temps.

Stockage public de données

Cette vulnérabilité se produit lorsqu'un blob déterminé, tel qu'un compartiment S3 ou, plus rarement, une base de données SQL, est accessible, en tout ou en partie, au public, qui bénéficie ainsi d'un accès en lecture seule ou en lecture et en écriture. Ce problème est souvent dû à une erreur de configuration d'une ressource.

Votre équipe DevOps, vos administrateurs système et vos managers doivent respecter quelques principes de base pour réduire le risque d'erreur de configuration du stockage public de données.

Pour atténuer cette menace :

  • Utilisez des outils tiers pour analyser votre infrastructure et détecter rapidement ce type de vulnérabilité.
  • Par défaut, définissez toujours le stockage des données de vos ressources cloud comme étant « privé ».
  • Si vous utilisez Terraform ou un autre cadre IaC (Infrastructure-as-Code, ou infrastructure sous forme de code), demandez à un autre membre de votre équipe d'examiner les fichiers IaC.

Autres erreurs de configuration

De nombreuses autres vulnérabilités rentrent dans cette catégorie. Voici un bref récapitulatif des bonnes pratiques à mettre en place pour réduire les erreurs de configuration :

  • Utilisez toujours le protocole HTTPS plutôt qu'HTTP (cela vaut aussi pour les autres protocoles, par ex., SFTP plutôt que FTP). Par ailleurs, utilisez la dernière version du protocole SSL/TLS.
  • Limitez les ports entrants et sortants si une machine donnée ayant accès à Internet n'en a pas besoin.
  • Stockez les secrets, tels que les clés API, les mots de passe, etc., dans un endroit unique et protégez-les à l'aide d'une solution sécurisée de gestion des secrets (par ex., AWS Secrets Manager).