Explication des vulnérabilités et des risques de sécurité courants liés à Cloud

Les vulnérabilités de Cloud sont des angles morts ou des points d'entrée qui peuvent être exploités par des acteurs malveillants.

Contrairement aux environnements traditionnels, où les vulnérabilités se situent le plus souvent au niveau du périmètre (comme les pare-feu), les vulnérabilités de l'informatique en nuage peuvent provenir de plusieurs endroits, comme les mauvaises configurations, le contrôle d'accès, un modèle de responsabilité partagée non défini, l'informatique fantôme, etc.

Un environnement en nuage est intrinsèquement interconnecté avec de multiples utilisateurs, partenaires, applications et fournisseurs.

Une surface d'attaque aussi large signifie que les actifs en nuage sont exposés à des menaces provenant de détournements de comptes, d'initiés malveillants, de détournements de comptes, d'une mauvaise gestion des identités et des informations d'identification, et d'API peu sûres.

Une différence évidente entre les menaces et les vulnérabilités réside dans leur urgence.

Si une vulnérabilité représente une faiblesse existant dans les limbes, attendant d'être exploitée, la menace est un événement malveillant ou négatif qui se produit généralement au moment présent et qui nécessite une intervention urgente.

Ensuite, la vulnérabilité est ce qui a exposé en premier lieu l'organisation aux menaces de sécurité informatique.

Par exemple, une mauvaise configuration du nuage représente une vulnérabilité qui peut entraîner des contrôles d'accès insuffisants et, finalement, la menace d'une cyberattaque.

En bref, la vulnérabilité est une faiblesse, et la menace est l'action ou l'événement potentiel qui pourrait exploiter cette faiblesse. Si le nuage était une porte verrouillée, la vulnérabilité serait une serrure avec un point faible, et la menace serait quelqu'un qui la forcerait à s'ouvrir.

Au fond, les infrastructures en nuage reposent sur plusieurs couches et composants ; des vulnérabilités peuvent exister à chaque couche.

Conséquence directe de paramètres incorrects ou trop permissifs, les mauvaises configurations rendent un système moins sûr qu'il ne devrait l'être. Elles peuvent se produire dans des conteneurs basés sur le cloud (tels que des seaux S3 mal configurés), des pare-feu ou des machines virtuelles non corrigées.

Parmi les exemples de mauvaises configurations, citons l'accès public en lecture et en écriture alors qu'il devrait être privé, des autorisations obsolètes ou non corrigées, ou même l'absence de paramètres de cryptage.

Les erreurs de configuration peuvent être dues à une erreur humaine, à un manque de connaissances ou à des scripts d'automatisation mal rédigés et peuvent entraîner des pertes ou des fuites de données, une atteinte à la réputation en cas d'attaque et le non-respect des normes réglementaires.

C'est ce qui s'est passé avec CapitalOne en 2019, lorsqu'un pare-feu d'application web mal configuré a permis l'accès non autorisé à un bac S3 contenant des données sensibles (numéros de sécurité sociale inclus) sur plus de 100 millions de clients. CapitalOne a dû payer une pénalité de 80 millions de dollars, à cause de cette brèche.

Par définition, les environnements en nuage évoluent rapidement, sont décentralisés et ne sont souvent pas entièrement contrôlés par les équipes de sécurité, d'où un certain manque de visibilité.

Cela peut se produire soit parce que les fournisseurs n'offrent que des outils de base pour la visibilité, une surveillance plus approfondie entraînant un coût supplémentaire, soit parce que les équipes au sein d'une organisation sont à bout de souffle et ne disposent pas des compétences spécifiques à l'informatique dématérialisée nécessaires pour surveiller véritablement l'infrastructure.

La tendance des organisations à privilégier la rapidité au détriment de la sécurité est également un facteur contributif.

Cependant, lorsque la visibilité est perçue comme un coût et non comme un facteur de valeur, les adversaires peuvent pénétrer dans une infrastructure en nuage et rester inaperçus pendant une période plus longue.

Avec autant d'outils, de tableaux de bord et de journaux à l'intérieur d'un réseau en nuage, il est difficile d'établir des corrélations et d'obtenir des informations exploitables sur ce qui se passe.

La gestion de l'accès définit quel utilisateur ou quelle application peut accéder à une ressource en nuage.

Il s'agit de gérer les identités numériques et de contrôler l'accès aux services, applications et données en nuage.

Certaines limites et restrictions doivent être mises en place pour s'assurer que les informations sensibles ne se retrouvent pas entre des mains autorisées. Dans un monde où les prises de contrôle de comptes touchent plus de 77 millions de personnes rien qu'aux États-Unis, certaines pratiques deviennent primordiales :

• Mise en œuvre de l'authentification multifactorielle (MFA)
• Appliquer le principe de l'accès au moindre privilège (n'accorder l'accès que s'il est requis par la tâche)
• Utiliser le contrôle d'accès basé sur les rôles pour gérer l'accès en fonction des fonctions professionnelles

Dans le cas contraire, les organisations s'exposent à des violations de données, au non-respect des réglementations et à des perturbations opérationnelles.

Les attaquants peuvent pénétrer dans un système par le biais d'un compte détourné et exploiter de mauvaises politiques d'accès, ils peuvent passer à des ressources ou des systèmes de niveau supérieur ; l'objectif est d'obtenir un plus grand contrôle sur le système et de causer éventuellement des dommages importants.

Au sein d'une infrastructure en nuage, l'API peut permettre à différents systèmes, services ou applications d'interagir avec l'environnement en nuage.

Cela signifie que les API peuvent contrôler l'accès aux données, à l'infrastructure et aux fonctionnalités.

Une API non sécurisée peut signifier qu'elle n'exige pas un utilisateur ou un jeton valide pour y accéder, qu'elle accorde plus d'accès que nécessaire ou qu'elle enregistre des données sensibles.

Si les API sont mal configurées ou exposées, les attaquants accèdent aux données (informations sur les utilisateurs, données financières, dossiers médicaux), même sans disposer d'informations d'identification complètes.

C'est ce qui s'est passé en 2021, lorsqu'une faille dans l'API de Pelotona permis à n'importe qui d'accéder aux données des comptes d'utilisateurs, même pour les profils privés. Découverte par Pen Test Partners, la faille laissait passer des requêtes non authentifiées, exposant des détails tels que l'âge, le sexe, la localisation, le poids, les statistiques d'entraînement et les anniversaires.

L'accès à une base de données aussi complexe aurait pu donner lieu à des attaques de type doxxing, vol d'identité ou ingénierie sociale.

L'informatique fantôme désigne l'utilisation de logiciels, de matériel ou d'autres systèmes informatiques au sein d'une organisation à l'insu, sans l'approbation ou sans le contrôle du service informatique ou du service de sécurité.

Par commodité ou par malveillance, les employés peuvent rechercher d'autres outils que ceux officiellement fournis, introduisant ainsi des risques importants de cybersécurité dans l'organisation.

Dans la pratique, l'informatique fantôme peut ressembler à ce qui suit :

• Un employé téléchargeant des documents d'ingénierie sensibles sur un espace de stockage en nuage personnel.
• Une personne utilisant des outils d'accès à distance non autorisés (tels que AnyDesk) pour dépanner des systèmes industriels ou accéder à des environnements SCADA dans des infrastructures critiques.
• Organiser des appels vidéo via des plateformes non approuvées (comme WhatsApp) au lieu de la norme de l'entreprise.

Dans les infrastructures critiques ou les environnements hautement sécurisés, l'informatique parallèle peut créer de dangereux angles morts, ouvrant la voie à des fuites de données, à l'introduction de logiciels malveillants ou à la non-conformité aux réglementations.

Les initiés malveillants, négligents ou compromis peuvent être plus difficiles à détecter en raison de la confiance accordée à l'utilisateur ou au système concerné.

Les dommages potentiels causés par ces personnes peuvent entraîner des violations de données, des interruptions de service, des violations de la réglementation et des pertes financières.

Une vulnérabilité de type "zero-day" est une faille de sécurité inconnue jusqu'alors, qui n'a pas de correctif disponible au moment de sa découverte et qui peut être exploitée avant que le vendeur n'en prenne connaissance.

Dans les environnements en nuage, il s'agit notamment de vulnérabilités dans les API des plateformes en nuage, les systèmes d'orchestration de conteneurs, les applications SaaS ou les charges de travail hébergées en nuage.

La nature dynamique, interconnectée et multi-locataires de l'informatique en nuage permet aux failles de se propager rapidement et d'affecter de nombreuses ressources, tandis que les utilisateurs ne disposent pas de la visibilité nécessaire sur l'infrastructure pour une détection rapide.

En outre, l'application de correctifs aux systèmes en nuage peut prendre du temps, ce qui augmente la fenêtre d'exposition aux jours zéro.

À partir de 2023, la prévention des erreurs de configuration du nuage sera une préoccupation majeure pour plus de la moitié des entreprises, selon ce rapport, qui met en évidence la gravité des conséquences possibles.

L'une des conséquences les plus dommageables des vulnérabilités du cloud est l'exposition ou la perte de données sensibles.

Les entreprises s'appuient souvent sur des solutions de stockage en nuage pour conserver leurs dossiers clients, leurs informations propriétaires ou leurs données opérationnelles.

Ainsi, une violation peut signifier le vol d'identités personnelles, d'informations financières, de propriété intellectuelle ou même de secrets commerciaux.

Au-delà des effets immédiats, de tels incidents peuvent également entraîner une atteinte à la réputation à long terme et une perte de confiance de la part des clients.

Les personnes touchées peuvent renoncer à certains services et les partenaires peuvent reconsidérer leurs relations d'affaires.

Même si la violation est rapidement maîtrisée, le coût de l'enquête, des mesures correctives, de la notification aux clients et des poursuites éventuelles peut se chiffrer en millions de dollars, sans compter les coûts d'opportunité liés à la perte de productivité et à l'érosion de l'image de marque.

La plupart des secteurs sont régis par des cadres de conformité stricts - tels que GDPR, HIPAA, PCI DSS ou CCPA - qui décident de la manière dont les données doivent être stockées, consultées et protégées.

Lorsque les vulnérabilités conduisent à un accès non autorisé ou à un contrôle inadéquat des données sensibles, les entreprises risquent d'être déclarées en violation de ces lois. Les régulateurs peuvent imposer des amendes substantielles, engager des poursuites judiciaires ou appliquer des restrictions opérationnelles.

Par exemple, dans des juridictions telles que l'Union européenne, les sanctions prévues par le GDPR peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial, ce qui fait d'un simple incident un événement aux enjeux considérables.

Les vulnérabilités de Cloud existent depuis suffisamment longtemps pour que les organisations puissent développer des méthodologies entières visant à atténuer les risques de vulnérabilité.

Les infrastructures Cloud sont très dynamiques, car de nouveaux services sont déployés et des intégrations sont ajoutées régulièrement.

Chacun de ces changements introduit un risque de mauvaise configuration ou d'exposition, ce qui fait de l'évaluation des vulnérabilités une tâche permanente.

Même lorsque les organisations identifient les vulnérabilités et commencent à appliquer des correctifs, certains systèmes peuvent ne pas fonctionner correctement avec les versions mises à jour.

Dans ce cas, certaines vulnérabilités doivent subsister pour assurer la continuité des opérations, d'où la nécessité de les gérer.

Les équipes de sécurité ont besoin d'une approche structurée pour documenter ces exceptions, évaluer les risques associés et appliquer des stratégies de contrôle appropriées, telles que l'isolation de la vulnérabilité du réseau.

La GPSC consiste à analyser l'infrastructure à la recherche de configurations erronées, de violations des politiques et de contrôles d'accès trop permissifs.

Plutôt que de se concentrer sur les failles logicielles, le CSPM s'attaque aux risques architecturaux et de configuration (buckets S3 mal configurés, stockage non crypté ou transferts IAM) qui peuvent conduire à une exposition des données ou à des défaillances en matière de conformité.

Le CSPM offre une visibilité en temps réel des environnements en nuage, des vérifications automatisées par rapport aux cadres de conformité (tels que CIS, PCI ou GDPR) et des alertes en cas de mauvaise configuration.

Les plateformes CNAPP améliorent la sécurité de l'informatique en nuage en unifiant plusieurs couches de protection, en combinant la gestion de la posture de sécurité de l'Cloud en nuage (Cloud Security Posture Management), les plateformes de protection de la charge de travail de l'Cloud (CWPP) et la gestion des vulnérabilités dans un cadre unique.

Ils offrent une vision plus approfondie du cycle de vie des applications, de la configuration de l'infrastructure au comportement de la charge de travail et aux menaces d'exécution.

Les CNAPP peuvent s'intégrer à d'autres outils de sécurité en intégrant la détection basée sur l'hôte, la surveillance comportementale et l'analyse des vulnérabilités directement dans les machines virtuelles, les conteneurs et les environnements sans serveur.

Dans les environnements sur site, les vulnérabilités apparaissent le plus souvent au niveau du périmètre, c'est-à-dire à la frontière entre le réseau interne sécurisé de l'organisation et le réseau externe, souvent non fiable.

Les lacunes en matière de sécurité sur site peuvent se traduire par des logiciels obsolètes, des serveurs mal configurés, des défaillances matérielles, voire des atteintes à la sécurité physique.

Cependant, dans les environnements en nuage, les pare-feu et les réseaux ne forment plus un périmètre stable, car l'identité devient la première et la plus critique des frontières de sécurité.

Même si les principes fondamentaux de la sécurité restent pertinents, l'informatique dématérialisée introduit de nouvelles dynamiques, notamment en ce qui concerne la responsabilité, la visibilité et la volatilité des actifs.

Les environnements Cloud sont principalement exposés à des menaces dynamiques, API, contrairement aux environnements sur site où le danger réside dans des risques bien compris tels que l'accès physique non autorisé, les attaques d'initiés ou les violations du périmètre.

Parmi les principales différences, citons la prévalence des mauvaises configurations comme cause principale des brèches, la présence de ressources à courte durée de vie (conteneurs, fonctions sans serveur), qui échappent souvent aux outils d'analyse traditionnels, et les attaques basées sur l'identité qui deviennent plus fréquentes et privilégiées par les attaquants.

En outre, les responsabilités en matière de sécurité changent également dans l'informatique dématérialisée, principalement en raison du modèle de responsabilité partagée évoqué précédemment.

Dans ce cadre, les organisations sont responsables de la sécurisation des données, des applications, des configurations et des identités, y compris toute la logique entourant le traitement des fichiers :

• Validation et assainissement des fichiers téléchargés.
• Configuration des autorisations d'accès au niveau de l'objet ou du panier.
• Cryptage des données en transit et au repos.
• Mise en œuvre de la surveillance et de la détection des menaces sur les interactions de stockage en nuage.

Enfin, pour faire face à la vitesse et à la complexité de l'informatique dématérialisée, les responsables de la sécurité doivent comprendre à la fois le langage et la nature évolutive des menaces.

Un vocabulaire commun aux équipes DevOps, de sécurité et de direction est fondamental pour une défense coordonnée, et tous les membres de l'équipe doivent s'aligner sur les termes clés de l'industrie tels que :