Gorodenkoff - stock.adobe.com
Le passage au cloud reste entaché par de nombreuses lacunes
Deux études viennent souligner les risques associés à un recours non maîtrisé aux services cloud. Les incidents les ayant matérialisés pour quelques entreprises emblématiques apparaissent tout sauf isolés.
L’adoption du cloud ne fait plus de doute. Mais la rigueur n’est pas encore suffisamment au rendez-vous. C’est du moins ce qui ressort de deux études tout juste publiées.
La première est issue de Netskope, qui s’est penché les indicateurs du Center for Internet Security (CIS). Selon ceux-ci, la gestion des identités et des accès apparaît comme l’une des principales lacunes. C’est d’ailleurs à elle que l’on peut attribuer, in fine, plus des deux tiers des brèches constatées sur AWS. Ce n’est donc pas par simple fantaisie ou excès de zèle qu’Amazon lui-même alerte depuis l’été 2017 les utilisateurs de buckets S3 configurés de manière trop laxiste. Et le sujet ne s’arrête pas au stockage – comme certains détournements d’instances AWS et Azure ont pu le montrer cette année.
Selon Netskope, la plupart des violations de politiques de sécurité relevées par des systèmes de DLP touchent encore au stockage en mode cloud (54 %), tout juste devant le courrier électronique (35,3 %), et les systèmes collaboratifs (10,1 %). Les téléversements, quant à eux, arrivent en tête des incidents.
L’étude de l’éditeur souligne que les départements RH et marketing sont les plus friands de services cloud, avec en moyenne plus de 170 d’entre eux constatés, dont plus de 96 % non prêts pour l’entreprise.
La situation peut apparaître d’autant plus préoccupante que l’on place ces chiffres en face de ceux de McAfee, lui aussi éditeur d’une passerelle d’accès cloud sécurisé depuis le rachat de Skyhigh Networks l’an passé. Car pour lui, les fichiers hébergés en mode cloud contenant des données sensibles représentent 21 % du total, en progression de 53 % sur un an. En outre, le partage de telles données par le biais d’un lien accessible à tous a progressé de 23 %.
Pour revenir à la question de la configuration des services IaaS et PaaS, selon McAfee, une entreprise fait en moyenne l’expérience de plus de 2200 incidents de mauvaise configuration par mois. Globalement, les entreprises auraient en moyenne 14 services IaaS/PaaS mal configurés fonctionnant au même moment. Et pour ne rien gâcher, 5,5 % des buckets S3 seraient en fait ouverts à tous les vents.
Et s’il fallait se convaincre du risque lié à l’usage du cloud à l’insu des services informatiques, quelques derniers chiffres pourraient y aider. Ainsi, selon McAfee, une entreprise génère en moyenne plus de 3,2 milliards d’événements dans le cloud par mois, dont rien moins que 31,3 millions relèvent d’une menace réelle – interne ou liée à la compromission d’un compte. Ce dernier cas concernerait 80 % des entreprises, à raison d’au moins une fois par mois.