Les organisations sont confrontées à d’importants défis pour configurer en toute sécurité les rôles, les accès et les privilèges des utilisateurs au sein des ressources dans le cloud. La gestion des autorisations IAM des charges de travail est une tâche chronophage, car l’accès administrateur n’est pas le seul risque à surveiller : il est essentiel de se méfier également des autorisations qui permettent à un utilisateur d’accéder à des données sensibles ou d’escalader ses privilèges. Les charges de travail dans le cloud étant un point d’entrée courant pour les attaquants, il est essentiel de veiller à ce que les autorisations sur ces ressources soient aussi limitées que possible.
Une étude de Datadog, la plateforme d’observabilité, a analysé les données relatives à la posture de sécurité d’un échantillon de milliers d’organisations, qui utilisent AWS, Azure ou Google Cloud, afin de comprendre comment les organisations abordent et atténuent les risques qui conduisent fréquemment à des incidents de sécurité documentés. Le rapport suggère que, bien que certains éléments d’une posture de sécurité solide dans le cloud montrent des signes d’amélioration, les organisations sont toujours confrontées à des défis importants.
Il s’agit notamment de la gestion des informations d’identification statiques et à longue durée de vie, de la configuration sécurisée des rôles, des accès et des privilèges des utilisateurs au sein des ressources dans le cloud, et de l’application des meilleures pratiques de protection telles que l’authentification multifactorielle (MFA).
76 % d’utilisateurs IAM disposent de clés d’accès inutilisées
L’étude met en évidence une dépendance continue à l’égard des informations d’identification à longue durée de vie, qui sont statiques et n’expirent pas. Malgré les risques de sécurité connus, près de la moitié des clés d’accès analysées avaient plus d’un an, voire plus de trois ans pour certaines d’entre elles. Cela représente une vulnérabilité importante, car ces types d’informations d’identification sont souvent impliqués dans les atteintes à la sécurité du cloud. Dans AWS, 76 % des utilisateurs IAM ont des clés d’accès actives. Dans Azure AD, 50 % des applications disposent d’informations d’identification actives, tandis que 27 % des comptes de service de Google Cloud ont des clés d’accès actives. Le chiffre inférieur pour Google Cloud est probablement dû à la présence de comptes créés et gérés par Google, que les développeurs n’utilisent généralement pas à d’autres fins.Pour AWS, l’étude a comparé ses chiffres avec les données du rapport 2022. Depuis, la situation des identifiants AWS ne s’est malheureusement pas améliorée. Parmi les 76 % d’utilisateurs IAM qui disposent de clés d’accès (contre 72 % il y a un an), nombreux sont ceux qui ne les utilisent pas activement. Parmi ces utilisateurs près de la moitié (49 %) ont une clé d’accès qui n’a pas été utilisée au cours des 90 derniers jours, contre 40 % il y a un an. Un utilisateur sur trois a des identifiants actifs qui ont plus d’un an et n’ont pas été utilisés au cours des 30 derniers jours, contre 25 % il y a un an.
Une application insuffisante de l’authentification multifactorielle
Un autre sujet de préoccupation est l’application insuffisante de l’authentification multifactorielle (MFA). Bien que l’AMF soit une étape efficace pour sécuriser les identités dans le cloud, un nombre substantiel d’utilisateurs d’AWS et d’Azure n’y ont pas recours. Dans AWS, l’étude a identifié que près d’un tiers (31 %) des utilisateurs IAM ayant un accès à la console n’ont pas de MFA appliqué, ce qui concerne deux organisations sur cinq. L’étude révèle également que 45 % des organisations AWS avaient un ou plusieurs utilisateurs IAM qui s’authentifiaient à la console AWS sans utiliser le MFA, et que seulement 20 % des organisations Azure avaient tous les utilisateurs Azure AD qui s’authentifiaient avec le MFA.Le rapport met également en lumière l’adoption du service de métadonnées d’instance V2 (IMDSv2) dans AWS, qui est essentiel pour la protection contre les attaques par falsification de requête côté serveur. Bien qu’il y ait eu une augmentation de son application, l’adoption n’est toujours pas généralisée, avec seulement 21 % des instances EC2 appliquant l’IMDSv2.
Les buckets de stockage public sont désormais une source bien connue de fuites de données dans les environnements cloud. C’est la raison pour laquelle les fournisseurs de cloud mettent en œuvre des mécanismes pour bloquer de manière proactive l’accès public au stockage, même pour les données mal configurées, et pour empêcher que des données ne deviennent accessibles au public par erreur. Les blocs d’accès public dans les services de stockage cloud ont vu leur adoption augmenter, ce qui indique une prise de conscience des risques associés aux buckets de stockage public.
Dans AWS, près de trois quarts des buckets S3 (72 %) sont désormais couverts par un bloc d’accès public, ce qui représente une augmentation significative par rapport aux chiffres précédents (52 %). Sur Azure, deux conteneurs de stockage blob sur cinq (21 %) se trouvent dans un compte de stockage qui bloque de manière proactive l’accès public.
Les privilèges des charges de travail sont excessifs
En outre, l’étude révèle qu’une part importante des charges de travail dans le cloud dispose de privilèges excessifs, qui pourraient être exploités par des attaquants pour accéder à des données sensibles. Par exemple, dans AWS, près d’une instance EC2 sur quatre dispose d’autorisations d’administrateur ou d’autorisations très sensibles.Enfin, l’exposition des machines virtuelles à l’internet public reste un risque important, avec 7 % des instances EC2, 3 % des VM Azure et 13 % des VM Google Cloud qui se sont révélées publiquement exposées. Ces instances exposées sont des cibles potentielles pour des attaques par force brute ou l’exploitation de vulnérabilités connues.
L’étude suggère des améliorations continues dans la posture de sécurité du cloud, grâce à des paramètres par défaut plus sécurisés de la part des fournisseurs de cloud et à l’adoption accrue de solutions qui analysent les configurations non sécurisées. Toutefois, il reste des défis à relever en ce qui concerne la gestion des informations d’identification à long terme, l’adoption tardive du MFA, l’application de la norme IMDSv2 et le contrôle des privilèges excessifs. Le rapport souligne l’importance d’une surveillance continue et d’une remédiation rapide des mauvaises configurations pour renforcer la sécurité du cloud.