Dans leur projet de déplacer leurs ressources vers le cloud, de nombreuses entreprises reconnaissent avoir du mal à suivre l'expansion constante de leur surface d'attaque… La faute à un manque de compétences et au non-respect des règles de base.
Les actifs principaux d’une entreprise ne sont qu’à 3 coups d’une cyberattaque. Cela signifie qu'il suffit à un attaquant de trouver trois faiblesses exploitables pour exfiltrer des données ou demander une rançon.
C’est le principal enseignement du rapport d’Orca Security (spécialisé dans l'innovation en matière de sécurité du cloud). Pourquoi les entreprises affichent-elles une telle faiblesse ?
Pour Orca Security, de nombreuses entreprises considèrent la sécurité du cloud comme l'une de leurs principales priorités informatiques mais… la plupart des bonnes pratiques ne sont toujours pas respectées.
Son rapport s’appuie sur les principales conclusions de l'analyse des données de configuration et de workloads du cloud capturées à partir de milliards de ressources du cloud sur AWS, Azure et Google Cloud scannées par la plateforme de sécurité du cloud d'Orca du 1er janvier au 1er juillet 2022.
Le rapport identifie les endroits où des lacunes de sécurité critiques sont encore constatées et fournit des recommandations sur les mesures que les organisations peuvent prendre pour réduire leur surface d'attaque et améliorer les postures de sécurité du cloud.
Ses principales conclusions sont les suivantes :
- Les joyaux de la couronne sont dangereusement à portée de main
Le chemin d'attaque moyen n'a besoin que de 3 étapes pour atteindre un actif de type « crown jewel ». - Les vulnérabilités sont le principal vecteur d'attaque initial
78 % des chemins d'attaque identifiés utilisent des vulnérabilités connues (CVE) comme vecteur d'attaque d'accès initial, ce qui montre que les entreprises doivent accorder une priorité encore plus grande à la correction des vulnérabilités.
- Les ressources de stockage sont souvent laissées non sécurisées :
Les actifs de stockage S3 Buckets et Azure blob accessibles au public sont présents dans la majorité des environnements cloud, ce qui constitue une mauvaise configuration très exploitable et la cause de nombreuses violations de données. - Les pratiques de sécurité de base ne sont pas respectées :
De nombreuses mesures de sécurité de base, telles que l'authentification multifactorielle (MFA), le chiffrement, les mots de passe forts et la sécurité des ports, ne sont toujours pas appliquées de manière cohérente. - Les services natifs du cloud sont négligés
Même si les services cloud-native sont faciles à lancer, ils nécessitent toujours une maintenance et une configuration adéquate. 58 % des organisations ont des fonctions serverless avec des runtimes non pris encharge, et 70 % des organisations ont un serveur API Kubernetes accessible au public.
Or, les technologies obsolètes ouvrent la porte aux ransomwares comme le rappelle une autre étude.
« La sécurité du cloud public ne dépend pas seulement des plateformes cloud qui fournissent une infrastructure cloud sûre, mais aussi beaucoup de l'état des charges de travail, des configurations et des identités d'une organisation dans le cloud », a déclaré Avi Shua, PDG et cofondateur d'Orca Security.
En un mot, le cloud exige une sécurité renforcée.
