La check list sécurité indispensable à l'ère des menaces cloud !

Lors de l'évaluation du paysage des menaces liées au cloud, on peut évaluer l'ampleur du risque de deux points de vue : la croissance de la cible / opportunité d'attaque, et la croissance de l'intérêt des pirates. Les dernières recherches sur ces points soulignent la rapidité avec laquelle les menaces liées au cloud se développent.

Tout d'abord, l'utilisation des applications cloud dans l'entreprise continue d'augmenter - le nombre moyen d'applications utilisées a augmenté de 20% en 2020, l'activité cloud représentant désormais 53% du trafic Internet de l'entreprise.  Cette croissance provient principalement des applications personnelles et des applications ayant une note "mauvaise" dans le Cloud Confidence IndexTM (CCI), c'est-à-dire une application qui met en danger les données sensibles. Ces statistiques montrent clairement que les possibilités d'attaque sont de plus en plus nombreuses et que les entreprises qui n'ont pas de stratégie claire pour atténuer les menaces permises par l'activité du cloud courent un risque important.

Deuxièmement, les cybercriminels continuent d'abuser des services cloud, notamment ceux des clouds publics les plus populaires et les plus connus. Les services cloud permettent en fait de légitimer les attaques, les acteurs malveillants utilisant des domaines de confiance et des certificats valides pour exploiter la confiance des utilisateurs et échapper à la détection.

Les menaces liées au cloud comprennent :

Les logiciels malveillants dans le cloud computing

Les logiciels malveillants provenant du cloud continuent de se développer, le pourcentage de ce type de logiciels diffusés à l'aide d'applications cloud atteignant 61% à la fin de 2020. Ce ne sont pas les applications cloud les moins connues et les plus douteuses qui sont les plus ciblées ; les pirates privilégient les applications les plus populaires parmi les utilisateurs d'entreprise, telles que OneDrive, Amazon S3 et Sharepoint, car elles disposent d'une large base d'installation et les victimes perçoivent la marque de confiance comme un gage de sécurité.

Documents Office malveillants

Les pirates utilisent de plus en plus souvent des documents Office malveillants comme chevaux de Troie pour transmettre des charges utiles (payloads), notamment des rançongiciels (qui volent des données sensibles et demandent une rançon à l'entreprise victime) et des portes dérobées (qui peuvent rester dans un réseau sans être détectées pendant de longues périodes, permettant à un acteur malveillant d'entrer et de sortir à volonté sans être détecté). Les documents Office malveillants représentent 27% de tous les téléchargements de logiciels malveillants détectés et bloqués par les solutions du marché. 

Phishing dans le cloud

L'omniprésence des applications cloud d'entreprise en fait une cible facile pour les attaques de phishing. Ce type d’applications est désormais la cible de 33,5% de toutes les campagnes de phishing (où des pirates créent une page de connexion fausse - mais convaincante - pour recueillir des informations). Si la majorité des leurres de phishing sont encore hébergés sur des sites web traditionnels, 13% sont désormais hébergés dans des applications en cloud.

Données sensibles dans les applications personnelles

Les instances personnelles d'applications cloud continuent de présenter un risque pour la sécurité des données dans l'entreprise. Une majorité d'utilisateurs (83%) utilisent des instances personnelles de services cloud tels que OneDrive ou Google Drive sur des appareils managés, téléchargeant en moyenne 20 fichiers par mois. La gestion des politiques et des autorisations entre les deux instances différentes d'un même service peut être un défi pour les équipes de sécurité mal équipées.

L'évolution vers des politiques de sécurité granulaires

L'ampleur et la complexité de l'utilisation des applications cloud dans l'entreprise ne cessant de croître, le risque pour la sécurité des données de l'entreprise augmente également. Les pratiques établies, telles que l'utilisation de domaines de confiance, de certificats valides et l'autorisation d'applications populaires pour contourner les défenses en ligne, ne font qu'augmenter les chances de succès des attaques. Les politiques grossières du type "autoriser/refuser" sont un facteur déterminant du succès des techniques de phishing hébergées dans le cloud, en raison du manque de précision permettant d'identifier si l'utilisateur visite une page de connexion légitime gérée par l'entreprise ou un formulaire hébergé dans le cloud et contrôlé par un pirate.

Les meilleures pratiques en matière de sécurité du cloud pour protéger les données et les utilisateurs sont les suivantes. Les dirigeants doivent continuellement revoir cette liste avec les équipes de réseau et de sécurité afin de garantir une sécurité idéale.  

  1. Authentification forte et contrôles d'accès différenciés pour les applications gérées et non gérées.
  2. Contrôles d'accès adaptatifs basés sur l'utilisateur, l'application, l'instance, l'appareil, l'emplacement, les données et la destination pour accorder de manière sélective l'accès à des activités spécifiques.
  3. Accès réseau Zero-Trust (ZTNA) aux applications privées dans les centres de données et les services de cloud public pour réduire l'exposition des applications et limiter les mouvements de réseau externes.
  4. Évaluation continue de la sécurité des services de cloud public pour détecter les mauvaises configurations et les données exposées au public.
  5. Analyse en ligne depuis le cloud des applications cloud gérées et non gérées.
  6. Activation sélective et sûre des applications cloud sur la base d'une évaluation des risques par un tiers.
  7. Contrôles granulaires des politiques de protection des données, y compris les mouvements de données vers et depuis les applications, les instances, les utilisateurs, les sites Web, les appareils et les emplacements.
  8. Protection des données du cloud (DLP) pour les données sensibles contre les menaces internes et externes.
  9. Analyse du comportement pour les anomalies, plus des scores d'indice de confiance pour les utilisateurs.
  10. Coaching en temps réel des utilisateurs sur l'activité et le mouvement des données.