Le cloud compromet une esquive pour les acteurs de la menace comme en attestent les victimes

Il suffit en moyenne de trois étapes pour qu’un acteur de la menace infiltre un environnement cloud cible et accède à ses actifs « joyaux de la couronne », et par conséquent, un grand nombre d’organisations sont maintenant confrontées à des incidents de sécurité cloud, avec au moins 80 % signalant un incident « grave » au cours des 12 derniers mois.

C’est ce qui ressort de deux rapports différents sur l’état de la sécurité du cloud publiés aujourd’hui par les spécialistes du secteur Orca Security et Snyk, qui révèlent tous deux de nouvelles informations sur les cyberrisques et les défis mis en évidence par l’adoption généralisée du cloud, et sur la façon dont les équipes de sécurité y sont confrontées.

Le rapport d’Orca, compilé par son bien nommé Research Pod, analyse les données de charge de travail et de configuration capturées à partir de milliards d’actifs sur AWS, Azure et Google Cloud au cours des sept premiers mois de 2022, afin d’identifier où les lacunes existent et ce que les équipes de sécurité peuvent faire pour les combler.

Outre l’idée inquiétante qu’un acteur de la menace n’a besoin que d’enchaîner trois faiblesses connectées et exploitables dans un environnement cloud pour causer des ravages potentiels, Orca a constaté que la grande majorité (78%) de ces voies d’attaque commençaient par une vulnérabilité ou une exposition commune connue (CVE) comme vecteur initial, suggérant que les organisations ne parviennent pas, comme toujours, à corriger de manière appropriée.

Il a également constaté que les organisations continuent de laisser leurs ressources de stockage cloud, telles que les compartiments AWS S3 et les objets blob Azure, complètement exposées à l’Internet public et ne mettent pas en œuvre de mesures de sécurité de base telles que l’authentification multifacteur (MFA), le chiffrement et l’analyse des ports.

En outre, Orca a constaté que les organisations ont tendance à négliger les services natifs du cloud, probablement parce que même s’ils sont faciles à lancer, ils ont besoin d’une surveillance et d’une configuration régulières.

Quelque 58 % des organisations ont des fonctions sans serveur avec des runtimes non pris en charge, et 70 % ont une API Kubernetes accessible au public.

Avi Shua, PDG et cofondateur d’Orca, a déclaré : « La sécurité du cloud public dépend non seulement des plates-formes cloud fournissant une infrastructure cloud sécurisée, mais aussi de l’état des charges de travail, des configurations et des identités d’une organisation dans le cloud.

« Il reste encore beaucoup de travail à faire dans ce domaine, des vulnérabilités non corrigées et des identités trop permissives, aux ressources de stockage laissées grandes ouvertes. Il est important de se rappeler, cependant, que les organisations ne peuvent jamais résoudre tous les risques dans leur environnement. Ils n’ont tout simplement pas la main-d’œuvre pour le faire. Au lieu de cela, les organisations doivent travailler de manière stratégique et s’assurer que les risques qui mettent en danger les actifs les plus critiques de l’organisation sont toujours corrigés en premier. »

Outre sa statistique principale – selon laquelle les quatre cinquièmes des entreprises ont subi un incident de sécurité cloud grave – qu’il s’agisse d’une violation de données, d’une fuite ou d’une intrusion – au cours des 12 derniers mois, le rapport de Snyk a également révélé que 58% des répondants estimaient que le risque basé sur le cloud était susceptible d’augmenter au cours des 12 prochains mois, et 25% craignaient d’avoir récemment subi une violation de données cloud mais n’en étaient pas conscients.

Snyk a également trouvé des preuves d’un certain scepticisme à l’égard des approches natives du cloud, avec 41% déclarant qu’elles introduisaient plus de complexité et de complication dans leurs efforts en matière de sécurité, en particulier en termes de formation et de collaboration, et d’accès aux ressources d’ingénierie.

Toutefois, lorsque les répondants eu ont travaillé pour améliorer leur sécurité cloud, ils ont trouvé de multiples avantages, notamment une collaboration accrue, une productivité accrue et une innovation plus rapide.

« Cette nouvelle recherche devrait servir de signal d’alarme sur le fait que notre risque collectif de sécurité du cloud est universel et ne continuera de croître que si nous redoublons d’efforts sur des approches obsolètes et des outils hérités », a déclaré Josh Stella, vice-président et architecte en chef chez Snyk.

« Les perspectives ne sont pas tout à fait sombres, cependant, car les données révèlent également clairement que l’évolution de la sécurité du cloud et l’adoption de la collaboration DevSecOps peuvent permettre aux organisations mondiales de poursuivre leur rythme actuel d’innovation de manière plus sûre. »

Le rapport de Snyk était basé sur une étude menée auprès de plus de 400 praticiens de l’ingénierie et de la sécurité dans le cloud, ainsi que de dirigeants de différents types d’organisations et d’industries.