Les problématiques liées à la sécurité du cloud sont aussi vieilles que le cloud lui-même. Bien qu'il s'agisse d'une technologie relativement nouvelle, presque toutes les organisations sont maintenant clientes d'un fournisseur cloud, quels que soient leur taille et leur secteur d'activité. Les cybercriminels ont donc mis au point des méthodes d'attaques ciblées. En soi, l'informatique sur le cloud n'est pas moins sécurisée que la plupart des formes traditionnelles d’IT. Cependant, il est primordial de comprendre les vulnérabilités spécifiques du cloud et les méthodes d'attaque utilisées.
La zone d’ombre en sécurité informatique sur le cloud se nomme « Shadow IT » : l'utilisation d'applications cloud qui ne sont pas approuvées ou gérées par le département informatique et qui présentent un risque particulièrement élevé. Cela montre également que les comptes cloud sont une cible de choix pour les cybercriminels qui les utilisent souvent pour s’infiltrer dans une organisation. Une étude a récemment révélé que 15 millions de tentatives de connexions non autorisées avait été réalisées début 2019, dont plus de 400 000 ont réussi.
Méthodes d'attaque populaires
La façon dont ces attaques sont mises en place les fait ressembler à des connexions échouées lambda. De cette façon, elles ne se démarquent pas et ne bloquent pas le compte. Environ 25 % des clients d'Office 365 et de G Suite ont été victimes d'une brèche réussie due au traitement de mots de passe par IMAP. Ces campagnes s'adressent principalement à des utilisateurs importants tels que les cadres et leur personnel administratif.
Les cybercriminels ne se limitent pas à l’utilisation des données de connexion volées pour accéder aux comptes piratés, surtout si la cible initiale n'a pas l'autorisation nécessaire pour transférer de l'argent ou partager des données importantes. Dans ces cas, les criminels utilisent les identifiants de connexion pour étendre leur accès au sein d'une organisation et infiltrer les applications cloud des autres utilisateurs.
Plus d’un tiers des entreprises victimes de cyberattaques l’an dernier ont été la cible de campagnes de phishing. Lors de ces attaques, les cybercriminels utilisent des comptes cloud piratés pour envoyer des emails de phishing au sein d'une organisation. Ces emails semblent légitimes aux yeux des collaborateurs et aident les criminels à élargir efficacement leurs accès. Il arrive que les cybercriminels modifient les règles de redirection des emails, ou les droits d’un compte pour s’en octroyer l’accès. Ils lancent également des attaques de type "Homme Du Milieu" (interceptant la communication entre deux autres parties) à partir d'un compte piraté. Ils utilisent aussi les comptes détournés pour envoyer des e-mails de phishing à d'autres organisations (partenaires), contaminant ainsi l'environnement cloud des tiers.
Une autre méthode d'attaque consiste à utiliser des applications tierces qui ont accès aux données Office 365 et G Suite. L'infiltration ou l'obtention de jetons OAuth se fait par phishing, ingénierie sociale, malware ou comptes compromis. Il s'agit d'une façon discrète mais persistante d'obtenir des données et qui présente un risque élevé de non-conformité. Pour lutter contre de telles attaques, l'utilisation d'applications tierces, les autorisations OAuth accordées et la réputation de l'application doivent être constamment surveillées. Un système d'alerte et la possibilité de supprimer automatiquement les applications est également nécessaire.
CASB à la rescousse
Pour contrer ces attaques, il est primordial d’adopter le même point de vue que des cybercriminels en mettant l'accent sur le facteur humain. Une approche centrée sur les personnes et des formations de sensibilisation à la sécurité sont un pilier de la stratégie de cyberdéfense des entreprises. Les Very Attacked People (VAPs) nécessitent une surveillance rapprochée car ce sont des cibles particulièrement attractives pour les cybercriminels en raison de leurs droits d'accès.
Ensuite, pour mieux protéger l’organisation contre le piratage de comptes cloud il est nécessaire de se concentrer sur les défenses techniques. Le Cloud Access Security Broker (CASB) a un rôle crucial à jouer à cet égard. Un CASB aide de quatre façons :
- Gestion des applications cloud : Les CASBs gèrent les applications et fournissent une vue générale du cloud. Il est possible de connaitre l’historique complet d’utilisation de l’application et de déterminer le niveau de risque des applications afin d’autoriser ou restreindre l'accès de certains utilisateurs.
- Défense contre les menaces cloud : Les CASBs peuvent vous aider à identifier les attaques dans le cloud en surveillant les connexions suspectes et excessives. Les CASBs utilisent également des sandbox et des outils pour contrer les logiciels malveillants afin d’arrêter et analyser les attaques. Dans certains cas, les CASBs sont également reliés aux bases de données des entreprises de cybersécurité. Cela permet de reconnaître les méthodes d'attaque les plus récentes.
- Protéger les données sensibles : Les CASBs offrent la possibilité de trouver et de supprimer des fichiers partagés en externe ou publiquement. De plus, ils aident à prévenir la perte de données.
- Conformité : La conformité aux récentes lois et règlements peut s'avérer difficile pour les données stockées sur le cloud, comme par exemple le RGPD. Grâce à la surveillance, aux processus automatisés et aux capacités de production de rapports, un CASB peut vous aider à prouver votre niveau de conformité.
Le paysage de la menace sur le cloud ne cible pas d’industrie en particulier ; tous les secteurs sont attaqués. Certaines industries sont plus vulnérables, mais toutes les organisations peuvent bénéficier d'une bonne visibilité sur les attaques cloud et de mesures de sécurité automatisées grâce aux renseignements sur les menaces.
Des mesures de sécurité appropriées peuvent aider à prévenir ou à corriger rapidement les comptes compromis au sein des organisations ou chez les partenaires et les clients. Les entreprises doivent mettre en œuvre des mesures de sécurité intelligentes à plusieurs niveaux - y compris l'éducation des collaborateurs via des formations à la cybersécurité - pour lutter contre ces menaces en constante évolution qui réussissent de mieux en mieux à compromettre les comptes cloud des utilisateurs.
Par Nicolas Godier, Senior System Engineer chez Proofpoint