L’émergence de nouveaux usages rendus possibles par le cloud constitue des failles potentielles dans la sécurisation des accès aux systèmes d’information et aux données. (Photo: Alphaspirit)

L’émergence de nouveaux usages rendus possibles par le cloud constitue des failles potentielles dans la sécurisation des accès aux systèmes d’information et aux données. (Photo: Alphaspirit)

Le cloud a envahi le quotidien des entreprises et des particuliers. Ce qui amène à se poser la question de la dépendance à ces services, applications et espaces de stockage dématérialisés et du niveau de sécurité des infrastructures.

Musique en streaming, sauvegarde des photos et vidéos personnelles, mais aussi applications métiers indispensables aux activités des entreprises (CRM, ERP, Source-to-Pay), tout est dans le cloud, ou presque. Si l’on s’en réfère aux chiffres publiés par l’institut Gartner et IDC, le marché mondial des services de cloud public s’élevait en 2018 à 186,4 milliards de dollars, et devrait atteindre 277 milliards de dollars en 2021.

Le cloud favorise la numérisation de l’économie et l’émergence de nouveaux usages – mobilité et travail collaboratif, par exemple –, qui sont autant de vecteurs d’amélioration de la productivité. Ils constituent aussi des brèches potentielles dans la sécurisation des accès aux systèmes d’information et aux données.

En matière de sécurité, les entreprises se reposent trop sur le cloud

Selon une étude de l’Unité 42 de Palo Alto Networks, réalisée entre mai et septembre 2018, portant sur les menaces existantes et émergentes dans la sécurité du cloud, il apparaît que 29% des entreprises ont eu leurs comptes potentiellement compromis.

Près de 27% d’entre elles permettent un accès à leur cloud avec des droits d’administration «root», et 41% des clés d’accès n’ont pas été changées dans les 90 derniers jours. Une attitude légère qui ne contribue pas à faire du cloud un espace sécurisé. D’autant que la même étude met en évidence d’autres faits inquiétants: un tiers des entreprises stockent, en clair, leurs données sur au moins un service dans le cloud, la moitié des bases de données ne sont pas chiffrées, et 32% des tests de conformité RGPD sont des échecs!

Le discours des prestataires cloud est souvent le suivant: «Nous vous offrons des conditions de sécurité que vous ne seriez pas en capacité de mettre en œuvre par vos propres moyens.» Si cette affirmation est un pur reflet de la vérité, elle a un effet pervers auprès des entreprises et des utilisateurs. Elle conduit à une certaine déresponsabilisation et une tendance à minimiser les dangers.

C’est le cas pour les failles mises à jour dans les processeurs Intel (Spectre, Meltdown, et maintenant L1 Terminal Fault) et dans la plate-forme Apache Struts 2 (faille RCE), dont les entreprises ne semblent pas avoir mesuré la portée. L’étude de l’Unité 42 révèle que 23% des entreprises utilisent des serveurs sans rustines critiques dans le cloud.

«Les prestataires de cloud constituent la première ligne de défense en mettant à jour leurs infrastructures et leurs services, mais les clients ont également un rôle à jouer pour identifier et patcher les hôtes vulnérables», précise le rapport. Le cloud est une longue chaîne de valeur, et chaque maillon doit offrir le meilleur pour ne pas risquer de fragiliser l’ensemble de l’écosystème et conduire à un désastre.

Articles Associés