nouvelles

Cybersécurité :l’affaire de tous

Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT, analyse l’évolution du cyber-risque dans le contexte de la généralisation du cloud computing.

Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT, analyse l’évolution du cyber-risque dans le contexte de la généralisation du cloud computing. Malgré leurs avantages indéniables, ces infrastructures portent en effet des enjeux nouveaux en termes de sécurité. Les utilisateurs de services cloud doivent donc être pleinement conscients de leurs responsabilités.

D’après vous, quels sont les risques principaux associés au cloud computing ?
Cela dépendra du modèle que vous utilisez, à savoir un cloud public ou un cloud privé. Les services de cloud public sont populaires car ils sont souples et permettent un traitement à la demande quasiment instantané, mais ils comportent aussi des risques de sécurité significatifs. Gardez à l’esprit que la plupart des risques classiques des infrastructures sur site existent toujours dans le cloud. Ils viennent donc s’ajouter aux risques supplémentaires liés à cette configuration, vos données étant partiellement contrôlées par un tiers. Lorsque vous adoptez un service de cloud, vous perdez la maîtrise intégrale de votre architecture informatique, du stockage des données et du contrôle de l’accès. De plus, les responsabilités respectives du client et du fournisseur de service de cloud portent souvent à confusion. Dans une configuration en cloud privé, vous avez beaucoup plus de contrôle sur ces différents éléments et c’est pour cela que de nombreuses entreprises optent pour un modèle de cloud hybride, où elles tentent d’exploiter le meilleur des deux univers : le cloud privé pour les informations critiques et les données personnelles d’une part, le cloud public pour les données moins sensibles et les applications non critiques d’autre part.

Surestimons-nous les risques de sécurité ou, au contraire, ne les prenons-nous pas assez au sérieux ?
Je ne pense pas que nous surévaluions les problèmes de sécurité, pour au moins deux raisons : premièrement, le cloud computing n’est qu’un élément d’une tendance plus importante, incluant la mobilité, les médias sociaux et le BYOD. Ces tendances sont interconnectées et forment un risque de sécurité global. Même si vous bâtissez un cloud privé au sein de votre entreprise, vos salariés utiliseront certainement leurs appareils personnels ou des services de cloud grand public et pourraient involontairement occasionner des fuites de données sensibles.

Par exemple, l’année dernière, l’université de la santé et des sciences de l’Oregon a dû alerter plus de 3 000 patients car certaines de leurs informations médicales étaient stockées sur un service de cloud public non-conforme à la législation HIPAA. Plusieurs étudiants en médecine avaient décidé d’utiliser Google Drive pour partager des données relatives à ces patients, probablement par manque de souplesse du système de la faculté. Bien que cette initiative soit partie d’une bonne intention, elle a constitué une infraction à la législation HIPAA (pouvant donner lieu à des sanctions civiles et pénales) et a entaché la réputation de l’université. Ce cas illustre l’importance d’une bonne gouvernance et démontre à quel point il est essentiel que vos salariés comprennent vos politiques de sécurité.

Deuxièmement, la demande pour des solutions de cloud public et communautaire entraîne une consolidation très importante de la propriété intellectuelle et l’inclusion de très nombreuses données personnelles dans des infrastructures partagées. Ces configurations concentrées attirent de plus en plus les criminels qui consacrent des sommes et des efforts considérables pour pouvoir y accéder. Adobe a récemment signalé une attaque cybernétique au cours de laquelle le code source de plusieurs de ses produits logiciels et les données personnelles (dont les mots de passe) de près de 3 millions de clients ont été volés. Ce chiffre a ensuite dû être réévalué à 38 millions. Ainsi, en réponse à votre question, non, je ne pense pas que nous sous-estimions les risques de sécurité.

Comment pensez-vous que les risques de sécurité évolueront à l’avenir ? La cybermenace va-t-elle aller croissant ou diminuer peu à peu ?
Il est évidemment toujours difficile de prédire le futur, mais il semble évident que la nature de la menace et les acteurs impliqués évoluent. Le risque principal associé au cloud computing est la perte ou le vol de données. Et il n’est pas seulement du fait de criminels, car de plus en plus d’acteurs gouvernementaux sont impliqués, comme le démontrent un certain nombre de rapports. En termes de types d’attaques, je m’attends à une augmentation du détournement de session, de l’hameçonnage, d’API vulnérables et d’attaques par déni de service. La perte involontaire de données devrait également augmenter.

Près de 4 clients sur 10 ont perdu des données au sein de leur infrastructure cloud en raison d’une fausse manoeuvre. Le cloud constitue également un terrain de choix pour des organisations criminelles, qui dopent la puissance de leurs attaques grâce aux performances de ces infrastructures. La plaisanterie du moment dans le secteur est qu’en parallèle des SaaS, Iaas et PaaS, il y a une énorme demande d’AaaS, pour Attack as a Service. Dans un environnement partagé, on peut également craindre que les criminels accèdent aux partitions, en faisant porter la responsabilité de leurs actes aux clients légitimes.

Vous avez décrit deux types de menaces : celles provenant d’entités avec des intentions criminelles ou malveillantes et les erreurs accidentelles émanant généralement des employés. Comment se pondèrent-elles ?
On parle plus fréquemment des menaces malveillantes, tout au moins après leur survenance, mais je souhaiterais souligner que les erreurs internes causent généralement plus de dégâts que les attaques provenant de l’extérieur ! Sachez que la menace interne ne se limite pas à vos salariés, mais peut aussi provenir du personnel de votre fournisseur de service cloud ou d’autres prestataires ou fournisseurs de TIC.

Alors, comment se protéger contre ces menaces et que puis-je attendre de mon fournisseur de service cloud à cet égard ?
Lorsque vous choisissez un fournisseur de service cloud, assurez-vous que celui-ci s’est bâti une réputation solide en matière de bonnes pratiques opérationnelles et respecte les normes internationales, telles qu’ISO 27001. À tout moment, un fournisseur de service cloud doit respecter les meilleures pratiques ; notamment l’habilitation du personnel, le contrôle des sous-traitants et des fournisseurs, la mise en place de mesures de sécurité physiques dans les centres de données, la gestion des identités et des accès et la gouvernance en matière de sécurité. Ce dernier point couvre également les potentiels conflits d’intérêt, par exemple aucune personne ne peut à la fois être chargée de saisir et de contrôler les données.

Enfin, vous restez responsable de vos données. C’est probablement le message le plus important que je puisse transmettre. En tant que client, vous êtes le propriétaire et le contrôleur de vos données. Vous êtes donc responsable de celles-ci et vous devez respecter les réglementations en vigueur. Si vos données sont déplacées d’un point à un autre et qu’elles enfreignent alors une loi, vous êtes tenus pour responsable. Il est donc de votre responsabilité de mettre en place un système de gouvernance solide, qui ne couvre pas seulement vos mesures de sécurité personnelles mais aussi les SLA de votre fournisseur de service cloud. Ne vous fiez pas aux contrats type, car ils ne couvrent souvent pas suffisamment les risques de sécurité et de conformité. La plupart des plans de continuité d’activité des entreprises ont été conçus pour couvrir leur infrastructure classique sur site. Or, quand ces dernières évoluent vers un modèle de cloud, elles négligent souvent d’étendre la portée de leurs plans de continuité d’activité pour inclure ces fournisseurs tiers. Elles considèrent que ce fournisseur de service cloud prendra la responsabilité de sauvegarder les données et autres éléments de ce type, mais ce n’est pas toujours le cas.

Les fournisseurs sont responsables de l’infrastructure physique et du réseau, mais c’est le client qui est responsable de la configuration du serveur et surtout des données. Le conseil le plus important que je puisse donner est de mobiliser entièrement votre équipe de sécurité autour de votre stratégie de cloud globale et de définir clairement la localisation et l’accès à vos données. Gardez toujours le contrôle sur vos données, car vous serez toujours le responsable endernier ressort.


Charles Fox,
Enterprise Architect chargé
de la cybercriminalité chez BT