Les informations d'identification compromises sont le fléau de la sécurité cloud.

Version imprimable, PDF et e-mail

D'après une enquête réalisée auprès de 150 décideurs du secteur de l'informatique par Censuswide, une entreprise spécialisée dans les études de marché, neuf sur dix cyberattaques contre les environnements cloud étaient au moins en partie dues à des identifiants confidentiels compromis.

Au total, 65 % des personnes interrogées ont affirmé avoir été informées de tentatives d'attaques contre leur environnement cloud, parmi lesquelles 80 % ont avoué que ces attaques avaient bien compromis leur environnement cloud.

Cette enquête, commanditée par le fournisseur d'outils de gestion d'accès privilégié Centrify, montre clairement la situation des identifiants à une époque où de nombreuses organisations se préoccupent bien plus de l'intégrité de leurs chaînes logistiques logicielles suite à la série d'importantes failles de sécurité qui ont permis à des malwares d'être intégrés à une application de gestion des réseaux très utilisée.

L'enquête révèle que les problèmes de sécurité inquiètent, peu importe le type de cloud employé. Quasiment la moitié des personnes interrogées (45 %) ont opté pour un cloud privé, tandis que près d'un tiers (31 %) d'entre elles utilisent des environnements hybrides et multicloud. Un peu moins d'un quart (23 %) ont uniquement recours à un cloud public.

La gestion des environnements multicloud est la plus grande difficulté induite par la transition vers le cloud (36 %), suivie par les risques de cybersécurité et la migration vers le cloud à égalité avec 22 % et par le respect des réglementations (19 %), toujours d'après l'enquête.

Les cybercriminels s'attaquent aux identifiants en grande partie parce que la plupart des contrôles que les services informatiques avaient mis en place dans leur environnement sur site ont été sacrifiés sur l'autel de la commodité à l'ère du cloud. Non seulement les développeurs d'application fournissent leur propre infrastructure, mais le nombre de personnes ayant accès à ces services cloud sans être directement employées par l'organisation est également nettement plus élevé. Il n'est pas rare pour une grande variété de consultants d'avoir des identifiants qui leur permettent d'accéder facilement à des applications cloud ainsi qu'aux infrastructures qui les font tourner.

Pour ne rien arranger, il arrive également que les services cloud soient mal configurés. Sans le vouloir, les développeurs qui utilisent des outils comme Terraform pour gérer l'infrastructure de code configurent régulièrement les ressources cloud de manière incorrecte, et les cybercriminels ont appris à repérer ces erreurs sur différents clouds. Grâce à l'essor du DevSecOps, de nombreuses organisations commencent tout juste à se pencher sur cette question. Un grand nombre d'adeptes du DevOps qui priorisent la vitesse de développement et de déploiement des applications au détriment du reste négligent les contrôles de sécurité depuis des années. Ce problème devient critique car les responsables informatiques doivent désormais évaluer les processus de leur chaîne logistique logicielle dans leur intégralité.

Dans la plupart des cas, ces évaluations n'ont que trop tardé. Déployer de nouvelles applications aussi vite que possible est un objectif commercial louable, mais si les failles de sécurité sont le prix à payer, tous ces efforts seront sans doute faits en vain. Une application ne peut être un succès que si elle est sûre.

Le jour viendra bientôt où la sécurité sera une extension plus naturelle du processus d'assurance qualité. En attendant, les équipes de cybersécurité doivent trouver le moyen de développer une relation de travail probante avec les développeurs d'application au sein de leur organisation. En règle générale, ces développeurs ne déploient pas intentionnellement des applications cloud ayant été compromises par un malware. Toutefois, une majorité d'entre eux ne saisissent pas bien la facilité avec laquelle un identifiant dont ils ont perdu le contrôle peut causer la perte d'une application.

  

Remonter en haut de page
Tweeter
Partager
Partager