Télétravail : la flambée d'attaques dans le Cloud montre que les entreprises n'étaient pas prêtes
Les entreprises hébergent de plus en plus de données dans le Cloud, qu'il s'agisse d'informations personnelles ou d'éléments de propriété intellectuelle. L'adoption croissante de solutions Cloud, aussi bien pour gagner en agilité, analyser les données ou faciliter l'accès des employés à ces dernières, par exemple lorsqu'ils travaillent à distance ou depuis leur domicile, accroît le risque d'attaques dans le Cloud.
Les prévisions de ThreatQuotient pour 2020, publiées en décembre, avaient anticipé la probabilité d'une augmentation significative des attaques dans le Cloud en 2020.
À l'époque, c'est-à-dire il y a presque six mois, il était cependant difficile d'imaginer qu'une pandémie de Covid-19 allait éclater et que les cybercriminels en tireraient avantage. Difficile d'imaginer par ailleurs que cette période inédite obligerait les entreprises à adopter à la hâte de nouvelles solutions, en omettant parfois les protocoles habituels, et que les employés auraient très probablement recours au Shadow IT.
Le terme « Cloud » est utilisé pas moins de 29 fois dans le rapport 2020 de Verizon sur les violations de données. La recrudescence de cyberattaques dans le Cloud observée cette année montre que les entreprises n'ont pas mis en oeuvre les meilleures pratiques de cybersécurité avant que leurs employés n'aménagent un bureau à leur domicile et ne basculent entièrement en télétravail.
Le stockage de données vitales dans le Cloud, par un nombre en hausse constante de télétravailleurs, crée davantage de points d'entrée vulnérables à la merci des cybercriminels. Selon une récente étude de Palo Alto Networks, plus de 1 700 domaines malveillants liés au coronavirus sont créés chaque jour. Bien qu'une minorité résident dans des Clouds publics, ils sont plus susceptibles d'échapper au contrôle des pare-feu les moins évolués. Il n'est pas très étonnant de voir les cybercriminels s'attaquer au Cloud sachant l'anonymat que cette technologie leur confère et à quel point il est facile pour les administrateurs Cloud de commettre des erreurs lors de la configuration des paramètres Cloud.
Les États-nations constituent l'une des principales menaces pesant sur les fournisseurs de Cloud. Lorsqu'ils découvrent une enclave particulière renfermant des données confidentielles, telles que la propriété intellectuelle d'une entreprise, ils peuvent lancer une attaque de type « Zero Day » pour échapper aux mesures de confinement et déployer une menace persistante afin de poursuivre leurs déplacements latéraux dans le réseau du fournisseur de Cloud. Ou, plus simplement, un ingénieur en interne déterminé peut transférer des données sensibles sur un disque externe. Dans tous les cas, il y a trop de variables et d'inconnues pour que les ingénieurs en sécurité soient en mesure d'y répondre de manière rapide et efficace.
La migration des données vers le Cloud n'est pas une décision à prendre à la légère. Les professionnels de l'informatique, les DSI et les RSSI des entreprises privées et publiques, et même les utilisateurs lambda de services Cloud, doivent bien réfléchir avant de choisir un fournisseur de Cloud.
Évaluation des risques
Placer des données entre les mains d'un fournisseur de Cloud, c'est lui confier leur sécurité et la réputation d'une entreprise. Avant de prendre une décision, il convient d'évaluer tous les risques liés au transfert des données à un tiers en vue de leur hébergement. Dispose-t-il des protocoles de sécurité requis ? Est-il prêt à répondre à des questions sur ses pratiques en matière de sécurité ? Le fait qu'il ait subi une violation de données par le passé est un signal d'alarme, mais il ne faut pas en tirer de conclusions hâtives. Sa réaction en interne face à l'incident et le soutien qu'il a apporté à ses clients sont de bons indicateurs.
Préparation
Se renseigner sur les pratiques du fournisseur de Cloud. Il est particulièrement important de savoir quel degré de contrôle et de visibilité sera conservé. Le fournisseur de Cloud assume-t-il l'intégralité des responsabilités en termes d'hébergement ou s'agit-il d'un effort conjoint ? Sa technologie est-elle mise à jour instantanément ou de manière « progressive » pour permettre à la communauté d'identifier les vulnérabilités involontaires ? Effectue-t-il des contrôles annuels pour s'assurer que sa pile technologique existante n'est pas devenue obsolète ?
Des acteurs majeurs du Cloud comme Google, Amazon et Microsoft ont beau disposer des équipes et outils de sécurité les plus efficaces, il n'en reste pas moins qu'une entreprise a un rôle clé à jouer dans la sécurité de ses données. Pour éviter les mauvaises pratiques de base susceptibles de compromettre sa sécurité, elle a tout intérêt à se renseigner sur le modèle de responsabilité partagée du fournisseur. Cela lui permet de comprendre comment les responsabilités sont réparties entre le fournisseur et les utilisateurs.
Règles de gouvernance
Il est important de connaître les règles ou protocoles de gouvernance mis en place par le fournisseur de Cloud. Le mieux étant de choisir des fournisseurs faisant preuve de transparence quant à l'emplacement de leur datacenter, surtout si l'entreprise doit répondre à des obligations réglementaires et exigences spécifiques en matière de données. Les données seront soumises aux lois applicables dans le lieu où elles sont stockées.
Ceci dit, le fournisseur d'hébergement doit également connaître les autres réglementations en vigueur, notamment en ce qui concerne les données. Par exemple, si certaines données doivent répondre aux exigences du RGPD, mais que le datacenter est situé à l'autre bout du monde, le fournisseur de Cloud doit être capable de se conformer au RGPD.
Enfin, il faut passer en revue les dispositions du contrat de niveau de service (SLA) du fournisseur relatives aux protocoles de traitement des pertes potentielles de données, aux indemnités ou à la migration des données.
Migration des données et formation
La migration des données est un processus lent nécessitant du temps et de la bande passante, ce qui affecte la capacité d'une entreprise à fonctionner à son niveau optimal. La première règle est de déterminer combien de temps prendra ce processus afin de réduire les arrêts de service. Pour un minimum de perturbations, ne migrer que les sources de données absolument nécessaires.
Investir du temps et de l'argent pour que les employés sachent comment migrer vers le nouvel environnement Cloud est indispensable. Cela permet de s'assurer que les protocoles de sécurité sont bien assimilés, tout en limitant les risques de violation de données imputables à des erreurs humaines.
Ryan Trost, CTO et co-fondateur - ThreatQuotient.
Sur le même thème
Voir tous les articles Cloud