Comment lutter contre le fléau des mauvaises configurations du cloud

Un magasin de données cloud exposé contenant les informations personnelles des joueurs de l'équipe nationale de football d'Australie souligne la menace croissante posée par les mauvaises configurations du cloud. Selon IBM, ils ont été à l’origine du premier accès dans 11 % des violations de données l’année dernière. Mais en mettant en œuvre les meilleures pratiques telles que des audits de sécurité réguliers, des contrôles d'accès et un cryptage plus stricts, et en adhérant aux normes industrielles comme ISO 27001, ce type de risque peut être atténué.

Que s'est-il passé à Football Australie ?

En février, des chercheurs de Cybernews confirmé ils avaient découvert une fuite de données au sein de l'instance dirigeante du football australien. L'incident a été provoqué par des clés Amazon Web Services (AWS) mal configurées et a exposé 127 compartiments de données sensibles.

Il est alarmant de constater que l'un de ces conteneurs ne disposait d'aucune protection et contenait des informations personnelles identifiables (PII) telles que les contrats et les passeports des joueurs de l'équipe nationale de football d'Australie. D'autres données exposées comprenaient les détails des fans qui ont acheté des billets pour les matchs, le code source et les scripts de l'infrastructure numérique, ainsi que d'autres informations détaillant l'infrastructure de l'organisation. Football Australia affirme avoir comblé la faille de sécurité après avoir reçu une alerte des chercheurs.

Une mauvaise configuration du cloud est une épidémie

Il peut être difficile pour les équipes informatiques en sous-effectif ou surmenées de suivre le rythme rapide de l’innovation cloud et de garantir que les services utilisés par leur entreprise sont correctement configurés.

« Les mauvaises configurations du cloud sont devenues endémiques pour des raisons compréhensibles. Le rythme effréné de l’innovation dans le cloud a rapidement accru la complexité », a déclaré Kelly Indah, analyste en sécurité chez Increditools, à ISMS.online. « AWS propose à lui seul plus de 200 services, chacun avec plusieurs options de configuration. De nombreuses organisations ont eu du mal à maintenir leurs compétences internes à jour au milieu de ce tsunami technologique.

Indah décrit également la complaisance de certains professionnels de l'informatique comme une cause majeure de mauvaise configuration du cloud, avertissant : « La simplicité transparente du cloud a conduit certains à sous-estimer le soin requis pour verrouiller correctement les environnements. »

De plus, les professionnels de l'informatique croient parfois à tort que le fournisseur de cloud est responsable de toutes les questions de cybersécurité, selon Sean Wright, responsable de la sécurité des applications chez Featurespace.

Cependant, la réalité est que les fournisseurs et les utilisateurs ont tous deux une « responsabilité partagée » sécuriser le cloud Infrastructure. Wright explique à ISMS.online que les fournisseurs de cloud gèrent généralement les problèmes d'infrastructure tels que le matériel, la mise en réseau et les logiciels, tandis que l'utilisateur est responsable de la gestion des comptes cloud et de la sécurité des configurations.

Lorsque des personnes sans formation appropriée utilisent des plateformes cloud, des problèmes tels que des erreurs de configuration surgissent inévitablement.

« Avec autant de services disponibles, il est facile de se tromper », affirme Wright.

Vance Tran, co-fondateur de Pointer Clicker, affirme que l'innovation rapide dans le cloud a conduit les fournisseurs à publier de nouvelles fonctionnalités « plus rapidement que les entreprises ne peuvent mettre à jour leurs politiques et former leur personnel ».

« De plus, les entreprises répartissent les responsabilités entre de nombreuses parties prenantes sans surveillance suffisante, ce qui rend difficile la surveillance et la responsabilité de la gestion de la configuration de la sécurité », explique-t-il à ISMS.online.

Différents types de mauvaise configuration

Pour relever ce défi, les équipes informatiques et de cybersécurité doivent être conscientes de plusieurs erreurs de configuration courantes du cloud. Ceux-ci incluent des clés et des informations d'identification exposées – selon Football Australia – des contrôles d'accès mal configurés, des règles de port ouvert et de pare-feu et des données sensibles non cryptées au repos et en transit, explique Tran de Pointer Clicker.

Une série de problèmes de sécurité peuvent survenir lorsque les équipes informatiques autorisent un trop grand nombre de personnes à accéder aux services cloud ou si elles utilisent des ports obsolètes tels que FTP sur leurs hôtes cloud, explique Stephen Pettitt, directeur commercial de M247. Selon lui, de tels problèmes rendent la vie des professionnels de l'informatique « encore plus difficile ».

Rendre accidentellement des données sensibles accessibles à tous est une mauvaise configuration récurrente du cloud, selon Matt Middleton-Leal, directeur général de la région EMEA Nord chez Qualys.

« Par exemple, 31 % des compartiments AWS S3 sont accessibles au public, ce qui les expose à des vulnérabilités et attaques potentielles en matière de sécurité », explique-t-il à ISMS.online. « Les compartiments S3 publics exposent également d'autres services – par exemple, les instances EC2 et les bases de données RDS peuvent être compromises si leurs clés d'accès, leurs informations d'identification ou leurs fichiers de sauvegarde sont stockés dans un compartiment S3 non sécurisé.

Indah d'Increditools ajoute que les problèmes courants tels que les compartiments de stockage cloud accessibles au public et l'incapacité à appliquer des contrôles d'accès plus stricts « offrent une invitation ouverte aux cybercriminels ».

Les meilleures pratiques peuvent aider

Wright de Featurespace conseille aux organisations de s'assurer que seuls les professionnels suffisamment formés sont autorisés à utiliser les plateformes et services cloud. À défaut, il conseille de constituer une équipe d’experts capables de garantir la sécurité de la mise en œuvre du cloud.

Pointer Clicker's Tran ajoute que les modèles de sécurité Zero Trust et la segmentation du réseau peuvent atténuer de nombreux risques de mauvaise configuration du cloud. L'audit régulier des services cloud pour détecter les erreurs de configuration et l'utilisation d'outils de sécurité automatisés comme Amazon GuardDuty aideront également les équipes de sécurité à identifier rapidement les vulnérabilités, ajoute-t-il.

S’assurer que les équipes interfonctionnelles comprennent les modèles de sécurité partagés est une autre étape importante.

« Le cloud fait de la sécurité l'affaire de tous », affirme Tran. « Avec la bonne culture et les bons processus en place, même les petites organisations peuvent rester au top d'un paysage en constante évolution. »

Adopter un cadre industriel mondialement reconnu comme ISO 27001 peut également réduire le risque de mauvaises configurations du cloud, selon Rob Warcup, partenaire chez Leading Edge Cyber. Il déclare à ISMS.online : « La norme ISO 27001 est un excellent cadre pour garantir que toutes les bases sont couvertes, y compris la section « 6.2 Sensibilisation, éducation et formation à la sécurité de l'information » et la section 5.1 Politiques de sécurité de l'information.

Selon Indah d'Increditools, prendre des mesures proactives telles que des audits réguliers, des simulations d'attaques, des formations de sensibilisation à la sécurité, des contrôles d'accès stricts et le cryptage des données permettront aux entreprises d'empêcher les erreurs de configuration du cloud.

« Avec une vigilance et un engagement continu envers les meilleures pratiques de sécurité du cloud, les organisations peuvent éviter de laisser la porte grande ouverte au vol de données », affirme-t-elle. « Renforcez vos configurations cloud avant de devenir la prochaine mise en garde. »

Comme Football Australia l’a récemment découvert, une mauvaise configuration du cloud peut avoir de graves conséquences. Des vérifications régulières des failles de sécurité et le respect des normes de sécurité reconnues par l'industrie, comme la norme ISO 27001, devraient aider les organisations à mieux gérer les risques dans cette partie en croissance rapide de leur surface d'attaque.