Dans l'aviation, les pilotes utilisent des listes de contrôle avant le vol pour éviter les défaillances catastrophiques dues à des erreurs humaines et à une mauvaise configuration. Dans le domaine de la cybersécurité, d'importantes failles dans le stockage en nuage se produisent constamment en raison d'une mauvaise configuration. Les professionnels de la cybersécurité peuvent s'inspirer de l'aviation pour mettre en œuvre une liste de contrôle de la sécurité du stockage en nuage afin d'éviter ces erreurs coûteuses, dont le dernier exemple est probablement dû à un panier de stockage mal sécurisé.
Les tendances en matière de transformation numérique et de migration vers le cloud ont favorisé l'adoption d'infrastructures et de stockage dans le cloud public, comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform. Au fur et à mesure que les entreprises transforment leurs applications sur site en services cloud, les données d'entreprise précieuses sont également transférées vers le stockage cloud.
En ce qui concerne la protection des données d'entreprise sur un nuage public, la plupart des fournisseurs de services en nuage ont adopté un "modèle de responsabilité partagée", qui fournit un cadre garantissant que les responsabilités en matière de sécurité sont clairement définies entre le fournisseur de services de stockage en nuage et l'organisation qui utilise le service de stockage.
Par exemple, Amazon assume la responsabilité de la "sécurité du Cloud", mais attend de ses clients qu'ils assument la responsabilité de la "sécurité dans le Cloud". Microsoft Azure définit son modèle de responsabilité partagée de manière similaire. D'une manière générale, le fournisseur d'informatique en nuage est responsable de l'hébergement physique, du réseau, des ressources informatiques et du centre de données, tandis que ses clients sont censés assumer la responsabilité de leurs applications, données, points de terminaison, comptes et identités fonctionnant dans l'informatique en nuage.
Malheureusement, de nombreuses organisations ne se rendent pas compte que c'est le cas. Il peut s'agir d'une rupture de communication entre les services, d'une complaisance de la part des administrateurs, ou simplement du fait que l'on ne sait pas ce que l'on ne sait pas, ou encore d'une trop grande confiance dans les mérites de la marque des grands acteurs de l'informatique dématérialisée.
La réalité est très simple et concerne le risque lié aux tiers, c'est-à-dire que lorsque vous utilisez le nuage pour des applications ou le stockage de données, vous utilisez en réalité les ordinateurs et l'infrastructure de quelqu'un d'autre et vous devez vérifier qu'ils sont correctement configurés et sécurisés.
Quoi qu'il en soit, même une simple erreur de configuration du stockage en nuage peut rendre une organisation vulnérable à une violation. En 2021, un bac de stockage Amazon S3 mal configuré a exposé les informations personnelles identifiables de plus de 3 millions de personnes âgées américaines. Dans un autre cas, une liste de surveillance de terroristes américains contenant plus de 1,9 million d'enregistrements a été trouvée exposée sur un stockage en nuage non sécurisé. Il existe des dizaines d'exemples de ce type, dont la plupart n'ont pas été publiés, mais qui sont tous le résultat d'une mauvaise configuration.
Faire une liste et la vérifier deux fois
L'histoire des listes de contrôle pour l'aviation est incroyablement fascinante. En 1935, le major "Peter" Hill, pilote d'essai en chef de l'armée américaine, devait tester le Boeing 299, un prototype de bombardier quadrimoteur. Le major Hill est un pilote expérimenté, ayant piloté près de 60 types d'avions différents au cours de sa carrière. Cependant, lors de son vol d'essai du Boeing 299, le Major Hill s'est immédiatement écrasé après le décollage et est mort brûlé. La cause de l'accident n'est ni une défaillance structurelle, ni une défaillance mécanique, mais plutôt le fait que le major Hill n'avait pas déverrouillé les commandes de l'avion, ce qui le rendait impossible à piloter.
Après l'accident, Boeing a introduit la liste de contrôle comme outil obligatoire pour ses pilotes. Malgré cette tragédie, Boeing a continué à fabriquer plus de 12 000 bombardiers B-17 pour la Seconde Guerre mondiale et l'armée américaine a continué à former ses pilotes civils à l'aide de ces listes de contrôle.
Liste de contrôle d'un bombardier de la Seconde Guerre mondiale
Au-delà de la case à cocher - OPSWAT Secure Stockage
La bonne nouvelle, c'est que la cybersécurité n'est généralement pas une question de vie ou de mort, même si le stress du travail donne l'impression que c'est le cas. Mais il n'y a aucune raison pour que les professionnels de la cybersécurité n'abordent pas la sécurité du stockage en nuage avec la même vigueur qu'un pilote d'avion de chasse pour garantir la sécurité de ses données, en particulier lorsqu'ils stockent des informations personnelles identifiables (financières, médicales et autres) de clients, de partenaires et des informations relatives à leur propre entreprise.
La mise en œuvre d'une liste de contrôle de la sécurité du stockage en nuage peut contribuer à garantir que les organisations respectent les meilleures pratiques telles que le moindre privilège, qui est devenu un principe directeur des modèles de sécurité "Zero Trust". L'automatisation de ce processus à l'aide de la technologie permet d'éviter les erreurs manuelles coûteuses en temps et en argent.
MetaDefender Storage Security améliore sa solution de sécurité du stockage en nuage avec une liste de contrôle de sécurité intégrée, afin que les professionnels de la cybersécurité puissent s'assurer que le stockage en nuage de leur organisation n'est pas mal configuré lorsqu'il est approvisionné, ce qui inclut les étapes de développement et de production du stockage en nuage. MetaDefender va également au-delà de la liste de contrôle, offrant un anti-virus Multiscanning des fichiers pour détecter les menaces connues, et Deep Content Disarm and Reconstruction (CDR) pour prévenir les attaques de type " zero-day " cachées dans les fichiers. La prévention proactive de la perte de données (DLP) fournit une couche supplémentaire d'atténuation des risques de conformité en identifiant et en masquant les IPI (informations personnelles identifiables) et d'autres données sensibles dans les fichiers stockés.
Si vous êtes prêt à mettre en pratique votre liste de contrôle de sécurité pour le stockage sur le cloud, alors marquez votre premier élément de la liste de contrôle comme étant terminé - Contactez OPSWAT dès aujourd'hui pour savoir comment nous pouvons vous aider !
