Les « Mauvaises configurations Cloud » est un terme large, englobant plusieurs types de problèmes qui abordés dans cet article.
Vous comme moi, que vous soyez pigistes, travailleurs autonomes ou entrepreneurs, nous utilisons presque à coup sûr le Cloud. De plus en plus de gens et d’entreprises gèrent leurs infrastructures technologiques ainsi que leurs données dans l’infonuagique ou le Cloud. Cela leur permet d’optimiser, leur temps, leurs opérations et leurs coûts. Par contre, plusieurs sous-évaluent grandement l’importance de leurs configurations. Dans la majorité des cas, les configurations sont de la responsabilité des entreprises bénéficiaires du service. Parfois une simple omission, une petite erreur ou seulement ne pas avoir adhéré aux bonnes pratiques, et tous vos actifs ou ceux de votre entreprise peuvent être à risque. Certaines configurations, si mal appliqués peuvent avoir un effet très regrettable.
Sachez aussi que certains pirates sont ultras rapides à découvrir les brèches de sécurité. 15 minutes, c’est tout le temps nécessaire que certains pirates ont besoin pour vous repérer. La raison est simple, ils balayent l’Internet avec la puissance de leur propre service Cloud à la recherche des oublies des « Mauvaises configurations Cloud » et des vulnérabilités.
Par ailleurs, n’oubliez pas les nouvelles obligations du Projet de Loi 64 du Québec en termes de gestion des données personnelles. En conséquence, vous avez tout intérêt à bien sécuriser l’utilisation de vos environnements Cloud.
Voici donc le TOP 10 des « Mauvaises configurations Cloud » les plus courantes :
1 – Employés non suffisamment formés sur le Phishing
Le moyen le plus simple d’accéder aux données du Cloud est de tromper quelqu’un avec son nom d’utilisateur et son mot de passe. Assurez-vous que tous les employés savent qu’ils ne doivent pas cliquer sur les liens dans les courriels à moins qu’ils ne sachent qui l’a envoyé et qu’ils attendaient le courriel. Certains courriels d’Hameçonnage peuvent sembler très authentiques. Il peut être utile que le service informatique envoie périodiquement des courriels d’Hameçonnage en guise de formation pour voir qui est dupé par ceux-ci, ciblant ainsi les individus pour une formation supplémentaire.
2 – Ne pas avoir une politique de mot de passe robuste
C’est la première des « Mauvaises configurations Cloud ». Dans le monde Cloud, une authentification robuste est primordiale. Les stratégies de mot de passe traditionnelles créent souvent des mots de passe difficiles à retenir pour les humains et faciles à deviner pour les ordinateurs. Apprenez aux employés à utiliser des phrases de passe et d’autres systèmes plus difficiles à pirater. Encouragez l’utilisation d’un gestionnaire de mots de passe pour permettre des mots de passe plus robustes avec moins de risque d’oubli. Sinon, les personnes stockent les mots de passe dans un endroit moins sécurisé parce qu’elles ne peuvent pas s’en souvenir. Assurez-vous également que les mots de passe expirent après 90 jours. Aussi, certains systèmes permettent de ne pas de répéter le même mot de passe dans un délai donné, ce qui est une bonne pratique.
Si vous avez des équipes de développement applicatif, assurez-vous qu’ils ne créent pas des identifiants par défaut pour l’authentification afin de simplifier le processus de développement.
Cette politique de mots de passe ou types de configurations devrait être imposée à tous directement via les systèmes, afin de garantir l’uniformité et le niveau de sécurité. La politique doit aussi prévoir l’authentification à double facteur qui est le point suivant.
3 – MFA non activé
Cet élément trône parmi les « Mauvaises configurations Cloud ». MFA (Multi-Factor Authentication) ou 2FA sont des méthodes d’authentification à double facteur reconnues et sécuritaires qui utilisent deux facteurs d’authentification, comme son nom le dit, pour authentifier les utilisateurs. À ce jour, c’est la barrière la plus efficace qui vous protège contre les mauvais acteurs. Ces facteurs d’authentification peuvent inclure des informations d’identification, mot de passe, SSO, OTP, certificat, l’emplacement, des données biométriques, une question de sécurité et plus encore. MFA permet de garantir que les attaquants qui accèdent aux informations d’identification d’un utilisateur ne puissent pas accéder au système, comme cela s’est produit lors de l’attaque SolarWinds.
4 – Gestion des accès mal adaptée
Ne donnez pas aux gens l’accès aux données auxquelles ils n’ont pas besoin d’accéder. Il ne s’agit pas de ne pas leur faire confiance, mais de minimiser les dommages qu’un compte puisse causer. C’est une règle de base en sécurité. Avec les systèmes informatiques modernes qui complètent automatiquement les adresses de courriel, il est facile d’envoyer des données sensibles à la mauvaise personne. Un accident est si vite arrivé.
Si quelqu’un est licencié, vous devez fermer son accès immédiatement, idéalement à l’heure exacte que vous lui avez indiquée afin qu’il ne puisse pas causer de dommages avant de quitter. Nous avons tous vu ce courriel privé qui est envoyé à l’ensemble du réseau de l’entreprise ayant un message dont le contenu est non approprié.
5 – Ressources exposées publiquement
Les ressources publiques sont une cible convoitée pour les attaquants, car elles constituent un moyen accessible pour effectuer une reconnaissance dans le réseau organisationnel et progresser latéralement vers des ressources sensibles et critiques. Par conséquent, les erreurs de configuration impliquant ces ressources sont particulièrement risquées. Ne vous fiez pas que la sécurité est déjà appliquée ou suffisante. Sachez que les pirates balayent Internet via leurs propres services Cloud et recherchent systématiquement ces situations qui représentent une majorité des cas. Un simple petit crochet à une case peut avoir de lourdes conséquences. Des exemples de telles erreurs de configuration incluent une politique d’accès générique basée sur les ressources ou la réutilisation de secrets et de clés ou autres.
6 – Ressources partagées entre comptes
Certains fournisseurs de Cloud permettent aux administrateurs de l’infrastructure Cloud de donner à un utilisateur l’accès à une ressource dans un autre compte. C’est une action connue sous le nom d’accès entre comptes ou de partage de ressources. Cette pratique peut conduire à donner accidentellement accès à un grand nombre d’utilisateurs, y compris l’externe. Cette « Mauvaises configurations Cloud » peut facilement conduire à une violation de données sensibles. Pouvoir faire un partage à l’externe devrait nécessiter systématiquement une approbation d’une personne en autorité.
7 – Des données non protégées par des clés de chiffrement
Le chiffrement permet de protéger les données sensibles d’être accédées par quiconque. Ne pas savoir quelles données n’ont pas de chiffrement pourrait rendre les données sensibles accessibles aux mauvais acteurs. Ces derniers peuvent ensuite les divulguer ou les utiliser à des fins de ransomware. Évitez d’envoyer des informations sensibles « en clair ». Les sites ou applications avec lesquels vous échanger des informations devraient toujours avoir du chiffrement « HTTPS » pour sécuriser vos données lors de leur transport et échange avec vos interlocuteurs.
Pour une sécurité maximale, optez pour une gestion de clés de chiffrement totalement privée dont même votre fournisseur Cloud n’a pas accès. Évidemment, cela requiert une architecture applicative supplémentaire.
8 – Télétravail pas suffisamment sécurisé
Si vous voyagez fréquemment pour le travail, évitez d’utiliser les Wi-Fi publics et ceux de l’hôtel. Vous devriez utiliser un VPN corporatif « non public », sous le contrôle de votre entreprise, ayant été configuré avec des options qui garantiront le chiffrement de vos échanges et protégeront vos données sensibles, quelle que soit la manière dont vous êtes connecté.
9 – Aucune sauvegarde
Ne prenez pas à la légère cet élément de sécurité. Cela vaut toujours la peine de conserver une sauvegarde supplémentaire en dehors de votre fournisseur de Cloud habituel, en particulier pour les données les plus importantes. Le Cloud n’est pas infaillible. De plus en plus d’articles font la mention des risques du Cloud. Alors, il est également utile de conserver au moins certaines données critiques à un autre endroit ou sur un disque physique protégé par la sécurité du site ou vos propres clés de chiffrement sous votre contrôle. De bonnes sauvegardes peuvent vous protéger contre les rançongiciels et les attaques similaires ou contre la destruction de données, intentionnelle ou non.
10 – Pas ou peu de surveillance
Même les organisations bien établies manquent parfois de mécanismes de surveillance et de journalisation stricts et robustes. La journalisation et le suivi régulier des activités sur vos plateformes Cloud sont cruciaux.
Ces journaux peuvent être utiles pour :
- Identifier les actions suspectes et les angles morts de sécurité
- Reconnaître les actions non autorisées de l’employé
- Avoir des rapports réguliers
- Démontrer la conformité
- Identifier tout autre erreur ou mauvaises configurations
Cependant, les journaux ne sont utiles que s’ils sont surveillés en permanence afin de prendre les mesures appropriées. Assurez-vous que vous disposez de suffisamment de journaux pour chaque activité susceptible d’entraîner une faille de sécurité. Mettez en place des alertes automatisées et ciblées basées sur ces journaux afin que toute violation ou activité suspecte puisse être identifiée et traitée avant qu’elle ne se traduise par une violation.
Aller à l’encontre des meilleures pratiques
En plus des vulnérabilités ci-haut mentionnées, les fournisseurs de Cloud et les experts en Cybersécurité ainsi que les gouvernements offrent souvent des guides sur les meilleures pratiques pour configurer correctement le Cloud afin d’éviter les mauvaises configurations Cloud pouvant entraîner de graves erreurs. De plus, il existe aussi des standards, dont l’International Organization for Standardization avec leur document ISO/IEC 27017 expressément pour le Cloud. Il y en a aussi certains autres comme le NIST Cloud Computing Program qui offrent aussi les lignes directrices à suivre concernant les bonnes pratiques de sécurité dans le monde du Cloud. La référence de l’ISO/IEC 27017 est très intéressante, car elle prévoit aussi les limites de responsabilité à considérer entre les fournisseurs de services Cloud et les clients consommateurs afin d’éviter les malentendus.
Il est donc fortement recommandé de suivre les tendances, les recommandations et d’adhérer bonnes pratiques pour protéger les infrastructures Cloud contre des accès non autorisés.
Conclusions
Que vous soyez un individu ou une entreprise, la sécurité est votre responsabilité. L’utilisation de services Cloud ne signifie pas que vous pouvez externaliser la gestion de sa sécurité. Tout au long du cycle de vie des données en possession de votre entreprise, la sécurité est et demeure votre responsabilité. Même si vous comptez sur les outils de sécurité de votre fournisseur de Cloud, vous devez toujours disposer d’un programme écrit de sécurité des données qui définit le processus de votre entreprise pour sécuriser les informations personnelles des consommateurs. De pus, les membres responsables de votre personnel doivent en connaître la maintenance, la surveillance, les tests et la mise à jour de ce programme.
Techniquement, vous devez garantir une robuste gestion des accès sans faille avec de l’authentification à la hauteur de la valeur de vos données. L’utilisation de l’authentification à double facteur est la base dans le monde du Cloud. Il est primordial que les partages d’accès aux informations soient bien encadrés et contrôlés. Toujours avoir à l’esprit que vos données qui sont échangées doivent demeurées confidentielles via les bons algorithmes de chiffrement. En tout temps avoir une sauvegarde de vos données les plus critiques, car le Cloud n’est pas infaillible. Considérer mettre en place des alertes qui vous aviseront des événements les plus critiques que vous devez surveiller. Surveillez régulièrement vos rapports et journaux d’activités d’utilisation des services Cloud. Soyez à l’affût des violation ou activité suspecte.
Oui le Cloud computing augmente l’efficacité et la simplicité opérationnelles et peut aussi diminuer les coûts, à condition que des mesures et contrôles de sécurité soient solidement mis en place. Sinon, une simple petite erreur peut provoquer une brèche de sécurité et avoir un coût désastreux pour votre entreprise.
Votre Cloud est-il suffisamment sécurisé ?
Pour plus d’information, n’hésitez pas à joindre le groupe d’entraide ou me contacter directement pour de l’accompagnement sur le sujet.
Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois
