La moitié des entreprises qui utilisent le service de stockage cloud Amazon Web Services (AWS) S3 ont subi au moins une fuite de données en 2017. Dans la majorité des cas, ce n’est pas la sécurité de cette plate-forme qui est en cause. C’est l’absence d’une politique de sécurité dans les entreprises qui est la principale raison !
Publié début 2018, un rapport du Crowd Research Partners (basé sur les réponses des 350 000 membres de la communauté de sécurité de l’information sur LinkedIn) confirme que la sécurité reste la principale préoccupation des DSI et des responsables informatiques.
La protection contre la perte de données et les violations de la confidentialité suscitent le plus d’inquiétude. Car ces menaces sont réelles. Selon un rapport publié par RedLock en mai 2018, presqu’un tiers des entreprises ont vu leurs comptes compromis en 2017 à cause d’un manque de sécurité du cloud.
Et la situation est encore plus inquiétante avec Amazon Web Services. 51 % des entreprises ont été victimes d’une fuite de données l’année dernière. Dans la plupart des cas, l’erreur est humaine et elle se trouve chez le client. Par exemple, dans le cas de FedEx et de Tesla, les données sensibles stockées sur les serveurs AWS S3 n’étaient pas protégées par un mot de passe.
AWS : Le Machine Learning
Dans le cas d’Accenture en octobre 2017, c’est une erreur de configuration de « buckets » (compartiments) sur le service de stockage S3 qui a été à l’origine d’une compromission de données (dont des identifiants, des clés de chiffrement et des informations de clients…). Mais le pire a été révélé en novembre dernier par la société de sécurité UpGuard : un sous-traitant du Pentagone avait laissé fuiter 1,8 milliard de posts sur S3 !
Ces fuites doivent plus qu’inciter les professionnels à mettre en place différents garde-fous pour ne pas être victimes. Ces mesures ne concernent bien sûr pas qu’Amazon. Mais étant donné la place importante qu’occupe ce poids lourd dans les activité cloud des entreprises, il est essentiel de se concentrer sur AWS 3.
Amazon a investi beaucoup de temps et d’argent dans la sécurité d’AWS. L’entreprise a mis en place différentes mesures. Au mois d’août 2017, elle a déployé son service Macie (payant). Il utilise le Machine Learning pour surveiller l’accès aux données et détecter une éventuelle anomalie.
Mais il est toujours possible qu’une mauvaise configuration de sécurité par un client d’AWS ou une attaque sophistiquée puisse créer une faille.
Tous ces risques doivent inciter les entreprises à déployer différents processus pour renforcer la sécurité des données dans AWS.
1# Contrôler les accès sur AWS
On ne le répétera jamais assez, mais la première mesure concerne le poste de travail. Et donc l’utilisateur. D’un côté, les entreprises doivent sensibiliser leurs collaborateurs afin qu’ils acquièrent les bons réflexes et lâchent par contre les mauvaises habitudes (comme le post it avec le mot de passe d’AWS collé sur l’écran du PC…).
De l’autre, les responsables informatiques et les DSI doivent renforcer les contrôles d’accès et des profils : politique de gestion des mots, cloisonnement des accès par métier, chiffrement des données… Autant de mesures « généralistes », mais qui sont encore plus indispensables pour les accès cloud où très souvent la facilité d’usage et le collaboratif passent avant la confidentialité !
2# Être responsable
Laisser la sécurité d’AWS à Amazon n’est juridiquement pas raisonnable. C’est oublier un peu vite la coresponsabilité entre le client et ses sous-traitants. Le RGPD est d’ailleurs très explicite sur ce point : c’est du 50/50. Dans le cas du cloud, Amazon (comme les autres plates-formes) s’appuie sur un système de responsabilité partagée.
Amazon assume l’entière responsabilité de la protection de ses systèmes, y compris la configuration logicielle et les ordinateurs physiques, les serveurs et les connexions. Il est également chargé de détecter et de bloquer toute intrusion ou tentative frauduleuse d’accès.
Mais ses clients sont responsables de la gestion et de la configuration de tout ce qui se passe à l’intérieur d’AWS. Cela comprend toutes les applications qu’il exécute à l’aide du système de gestion des identités et des accès (IAM) d’AWS, ainsi que la protection des données par mot de passe.
L’organisation cliente est également responsable de la protection de ses propres systèmes et connexions. Cela implique en particulier
- Le déploiement et l’administration de solutions de sécurité comme l’authentification multifactorielle ;
- Les mises à jour régulières des logiciels et des systèmes d’exploitation ;
- La configuration précise de ces logiciels de sécurité ;
- La traçabilité des activités de tous les utilisateurs ;
- La sélection des données à mettre ou non dans AWS.
3# Traquer les comptes dormants
Environ 450 000 comptes sont toujours actifs alors que leurs utilisateurs sont partis… Cette étude menée par Varonis démontre que les entreprises ne gèrent pas correctement leurs accès et leurs utilisateurs.
Dans le cas d’AWS ou d’une autre plate-forme cloud, il est prioritaire de configurer les comptes pour qu’ils expirent automatiquement après 90 jours sans aucune utilisation.
Un compte inactif n’apporte aucun avantage, mais il augmente le nombre de vulnérabilités et d’occasion d’infiltrer un réseau ou de voler des données.
