Sécurité cloud

Le terme “sécurité cloud” englobe l'ensemble des technologies, des contrôles et des pratiques utilisés pour protéger les personnes, les données et les infrastructures contre les attaques et les risques de conformité sur les plateformes de cloud computing. La sécurité du cloud est essentielle pour tirer le meilleur parti du cloud computing de manière sûre et conforme.

Un élément clé de la sécurité du cloud est le CASB, qui signifie Cloud Access Security Broker ou Cloud App Security Broker. Un CASB peut être déployé sur site ou dans le cloud, entre les utilisateurs de services et les applications en cloud. Il surveille l'activité dans le cloud, bloque les attaques et applique les politiques de sécurité^[1].

La sécurité cloud aide les organisations à protéger les utilisateurs contre les menaces basées sur le cloud en :

• Révélant les plateformes et services de cloud computing auxquels leurs utilisateurs accèdent
• Surveillant l'activité du cloud computing pour détecter les attaques et les actions des utilisateurs qui mettent involontairement l'organisation en danger
• Empêchant les cyberattaquants et autres utilisateurs non autorisés d'accéder à des données et ressources sensibles
• Protégeant les comptes des utilisateurs dans le cloud contre les prises de contrôle
• Faisant respecter la politique de sécurité et de conformité

Les organisations utilisent le cloud computing et les outils de collaboration ou de messagerie dans le cloud pour partager des fichiers et des informations avec leurs collègues et partenaires. Dans le même temps, elles peuvent mettre en danger les données réglementées et la propriété intellectuelle (PI), comme les secrets commerciaux, les dessins techniques et d'autres données d'entreprise sensibles. La négligence ou le manque de formation des employés peut entraîner un partage excessif de fichiers via des liens publics, auxquels tout le monde peut accéder. Le vol de données par des initiés est également fréquent. Par exemple, les vendeurs qui quittent votre entreprise peuvent voler des données client sur un CRM dans le cloud.

Le terme Shadow IT désigne l'utilisation d'applications et de services “cloud” sans l'accord explicite des services informatiques. Les utilisateurs utilisent généralement des applications SaaS (Software-as-a-Service) non approuvées pour le partage de fichiers, les médias sociaux, la collaboration et les conférences web.

Lorsque les utilisateurs téléchargent des données d'entreprise dans des applications non approuvées, ils peuvent enfreindre les réglementations relatives à la confidentialité des données et à la résidence.Et il y a un autre défi : les applications et scripts tiers avec des autorisations OAuth.

Les applications tierces connectées à OAuth accèdent aux services de cloud computing approuvés par l'IT, tels que Microsoft Office 365 et Google G Suite. Il est courant de voir une centaine, voire un millier d'applications et de scripts dans l'environnement cloud d'une organisation. Certains d'entre eux présentent des risques en raison d'une mauvaise conception, leur donnant des autorisations de données plus larges que nécessaire. D'autres sont malveillantes ou faciles à exploiter. Quel est le danger d'OAuth ? Une fois qu'un token OAuth est autorisé, l'accès aux données et aux applications de l'entreprise se poursuit jusqu'à ce qu'il soit révoqué.

Un CASB peut aider les organisations à relever quatre grands défis en matière de sécurité dans le cloud.

Le Shadow IT

Les personnes et les services d'une entreprise déploient souvent de nouvelles applications et de nouveaux services dans le cloud sans l'approbation, ni même la connaissance, des responsables de la sécurité informatique. Ces services peuvent entraîner des pertes de données, des surpartages de données, des problèmes de conformité, etc.

Dans le même temps, de nombreux utilisateurs installent des applications et des scripts tiers avec des autorisations OAuth qui accèdent à des services de cloud computing approuvés par les services informatiques, tels que Microsoft Office 365 et la suite Google G.

Nombre de ces applications sont utiles, ajoutant des fonctionnalités utiles aux applications standard de cloud computing. Mais certaines présentent des risques parce qu'elles sont ouvertement malveillantes ou simplement mal conçues avec des autorisations de données plus larges que nécessaire. Et une fois qu'un jeton OAuth est autorisé, l'accès aux données et aux applications de l'entreprise se poursuit jusqu'à ce qu'il soit explicitement révoqué, même si le mot de passe de l'utilisateur change.

Les CASB offrent une visibilité et un contrôle sur l'informatique parallèle afin de limiter les risques liés aux personnes.

Compromission des comptes cloud

Les cybercriminels utilisent souvent des comptes dans le cloud compromis pour accéder à des données précieuses et même à des fonds. Une fois que les attaquants mettent la main sur les informations d'identification des comptes dans le cloud, ils se font passer pour des utilisateurs légitimes. Ils peuvent tromper vos employés en leur demandant d'envoyer de l'argent ou de leur communiquer des données d'entreprise. Ils peuvent également détourner des comptes de messagerie pour distribuer du spam et des emails de phishing.

Dans une étude portant sur plus de 1 000 locataires de services cloud possédant plus de 20 millions de comptes utilisateurs, plus de 15 millions de tentatives de connexion non autorisées ont eu lieu au cours du seul premier semestre 2019. Plus de 400 000 de ces tentatives ont abouti à des connexions réussies. Au total, environ 85 % des locataires ont été la cible de cyberattaques et 45 % d'entre eux avaient au moins un compte compromis dans leur environnement^[3].

Les attaquants compromettent généralement les comptes de l'une des trois façons suivantes :

• Les attaques par force brute (bruteforce), une technique d'essai et erreur dans laquelle l'attaquant soumet de nombreuses combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce que quelque chose fonctionne.
• Le “credential phishing”, qui consiste à utiliser des emails socialement conçus pour inciter les utilisateurs à donner leurs mots de passe.
• Le recyclage de mots de passe, dans lequel l'attaquant utilise des mots de passe qui sont divulgués lors d'une fuite de données sans rapport, en comptant sur le fait que l'utilisateur possède un autre compte avec le même nom d'utilisateur (souvent une adresse électronique) et le même mot de passe est en danger.

Cloud, fuite de données et vol d'IP

Au cours d'une journée de travail typique, les gens partagent des informations avec des collègues, des partenaires et d'autres personnes via des outils de collaboration ou de messagerie dans le cloud. Mais le manque de formation des employés ou la malveillance des travailleurs peuvent entraîner le partage de données sensibles avec ceux qui ne devraient pas être en mesure de les voir.

Les entreprises sont confrontées à des risques croissants de mise en conformité dans le cloud face à l'évolution constante des réglementations en matière de cybersécurité. Les réglementations gouvernementales et sectorielles exigent que vous sachiez où se trouvent vos données dans le cloud et comment elles sont partagées. Le règlement général de l'Union européenne sur la protection des données (RGPD) concerne des millions d'organisations. C'est pourquoi l'élaboration d'un plan de conformité aux nouvelles règles est essentielle pour toutes les organisations. Un CASB peut être une clé.

Les attaques d'aujourd'hui visent les gens, pas la technologie. C’est tout aussi vrai pour le cloud que pour les locaux. Lorsque les entreprises déplacent leurs plateformes de messagerie et de collaboration du réseau d'entreprise vers le cloud, elles deviennent vulnérables aux attaques. Les cybercriminels ont tendance à cibler les applications SaaS populaires comme Microsoft Office 365 et la suite Google Workspace.

Presque tout le monde dans votre entreprise utilise ces applications, qui détiennent la clé de la communication et des données vitales de l'entreprise. Les attaquants utilisent diverses techniques pour compromettre les informations d'identification des comptes dans le cloud et profiter des utilisateurs vulnérables, notamment :

• Des attaques intelligentes par force brute. Des outils automatisés sont utilisés pour proposer de multiples combinaisons de noms d'utilisateurs avec des mots de passe exposés dans de grandes décharges d'informations d'identification.
• Des campagnes de phishing avancées. Ces campagnes ciblées et bien conçues se présentent sous différentes formes et incitent les gens à révéler leurs données d'authentification.
• Des partages de fichiers malveillants. Les liens de phishing, les voleurs d'identités et les téléchargeurs sont généralement utilisés dans ce type d'attaques. Les acteurs de la menace distribuent également des logiciels malveillants via des services en ligne tels que Dropbox.

Un CASB doté d'un large éventail de solutions de sécurité dans le cloud avec de solides capacités de détection, de correction et d'authentification basée sur les risques offre la meilleure défense contre les menaces actuelles centrées sur les personnes, notamment les attaques par force brute, les attaques de phishing et les partages de fichiers malveillants.

Protection contre les menaces basées sur le cloud

Les cybercriminels ont tendance à cibler les personnes, et non la technologie, avec des applications SaaS populaires livrées dans le cloud, comme Microsoft Office 365 ou la suite Google Workspace. Un CASB doté d'un large éventail de solutions de sécurité dans le cloud offre la meilleure défense contre les menaces actuelles centrées sur les personnes.

Restez en conformité

Plus vos employés, sous-traitants et partenaires partagent de données dans le cloud, plus le risque de fuite augmente. Vous avez besoin d'une stratégie sécurité des données dans le cloud qui soit consciente des risques et qui relie les points pour détecter et prévenir de telles brèches. En outre, il est essentiel de respecter les réglementations gouvernementales et les mandats des entreprises. Il s'agit notamment des éléments suivants :

• Informations d'identification personnelle (IIP) comme les numéros de sécurité sociale ou la date de naissance
• Informations relatives aux cartes de paiement des consommateurs (PCI)
• Informations de santé protégées (ISP) telles que les dossiers médicaux.

Gérez les applications cloud dans votre environnement

Compte tenu de la prolifération des applications diffusées dans le cloud, la gouvernance de l'utilisation de ces applications est essentielle. On estime qu'une entreprise moyenne utilise environ 1 000 applications dans le cloud, et que certaines d'entre elles présentent de graves lacunes en matière de sécurité. Elles peuvent enfreindre les réglementations relatives à la résidence des données comme le RGPD. En outre, les attaquants utilisent souvent des modules complémentaires tiers et l'ingénierie sociale pour tromper les gens et leur faire accorder un large accès à vos applications SaaS approuvées.

Les capacités de gouvernance des applications dans le cloud offrent une visibilité importante sur les risques de sécurité dans le cloud. Elles fournissent également des contrôles importants qui alertent et guident les utilisateurs finaux et mettent en place des réponses automatisées pour l'accès au cloud, telles que “autoriser”, “en lecture seule” ou “bloquer”.

[1] Gartner Inc. “Magic Quadrant for Cloud Access Security Brokers”
[2] Ibid.
[3] Proofpoint. “Cloud Attacks Prove Effective Across Industries in the First Half of 2019”