[Témoignage] Le cloud et ses spécificités

Par Ping Identity

Entre 2020 et 2021, les bases utilisateurs dans le cloud ont augmenté de manière exponentielle lorsque, à l’heure de la pandémie, les entreprises sont passées au digital. En 2022, 94 % de l’ensemble des entreprises ont recours à des services cloud, et une entreprise peut gérer en moyenne 1 000 machines virtuelles ou plus en même temps dans des environnements virtualisés et sur des clouds publics. En parallèle, des milliers d’appareils et de composants Software Design Infrastructure (SDI) sont connectés et répartis sur une infrastructure « cloud » mondiale. D’après les prévisions, il y aura d’ici 2025 plus de 100 zettaoctets de données stockées dans le cloud.

Identités cloud numériques

En raison de l’utilisation croissante du cloud, des applications, des objets et des terminaux, le nombre et la variété d’identités qu’un individu doit suivre ont explosé. Une personne n’est plus une identité unique. Presque tous ceux qui utilisent des ordinateurs ou qui accèdent à Internet aujourd’hui ont une forme d’identité numérique. Il peut s’agir de la combinaison d’une adresse électronique et d’un mot de passe, de l’historique de leur navigateur Internet, de l’historique de leurs achats et des informations de leur carte de crédit enregistrée par un magasin en ligne, ou des caractéristiques d’identification stockées dans un système de gestion des identités et des accès (IAM). Typiquement, une personne pourrait avoir plus de 15 identités réparties sur des comptes de réseaux sociaux, des applications, des services cloud, des mobiles et des appareils physiques.

L’un des plus grands problèmes associés au cloud est le nombre trop important d’identités. Au lieu d’avoir une poignée de réseaux, le cloud a des centaines de milliers d’identités qui représentent leurs propres périmètres individuels. Étant donné qu’il y en a tant, suivre ces identités cloud et les protéger constitue un processus d’inventaire à grande échelle sans fin, dans lequel des utilisateurs sont en permanence ajoutés et supprimés. Passer au cloud sans avoir de mesures de gestion des identités adaptées ne fait qu’exacerber les problèmes des identités sur site.

L’utilisation dans le monde des plus grands services de stockage sur le cloud donne une idée du nombre d’identités stockées sur le cloud. En 2018, Google Drive a dépassé le milliard d’utilisateurs, tandis que la plateforme cloud Google Workspace a globalement atteint 2 milliards d’utilisateurs en 2020. Le second service de stockage sur cloud le plus populaire, à savoir Dropbox, est également très suivi avec plus de 700 millions d’utilisateurs. Si ces 3,7 milliards de personnes utilisant ces services cloud avaient également au moins 15 identités cloud, cela représenterait un minimum de 55,5 milliards d’identités sur le cloud, soit plus de sept fois la population de la planète. Voici le nombre d’identités d’utilisateurs pour les plus grands services cloud :

• AWS (Amazon Web Services) - Plus de 1 million d’utilisateurs actifs
• Dropbox - 15,48 millions d’utilisateurs payants
• Google - 2 milliards d’utilisateurs
• Microsoft Azure - 715 millions d’utilisateurs
• iCloud (Apple) - 850 millions d’utilisateurs

Risques du cloud computing

Si le cloud computing présente de nombreux avantages, puisqu’il procure aux entreprises un service pratique, évolutif et immédiatement accessible par ses utilisateurs ; des risques sont également associés au cloud :

• Accès non autorisé : Les problèmes de sécurité sur le cloud les plus courants incluent les accès non autorisés dus à des contrôles des accès inadaptés et la mauvaise utilisation des identifiants des employés. Concernant les utilisateurs autorisés, les facteurs qui y contribuent sont notamment les administrateurs et l’absence d’une visibilité correcte sur les droits, la gestion et la gouvernance. Des API non sécurisées et un accès non autorisé sont les premières vulnérabilités affectant la sécurité sur le cloud.
• Perte ou vol de données : Lorsque vous stockez des dossiers et des données sur le serveur de quelqu’un d’autre, vous confiez vos données au fournisseur. Toutefois, cela ne signifie pas que vous avez abandonné ou totalement transféré la responsabilité de vos données en cas de perte due à une erreur du système ou de vol par des cybercriminels. Les cybercriminels peuvent pirater des serveurs ou des malwares peuvent rendre les données illisibles par des humains et des logiciels. Dans de nombreux cas, ces données ne peuvent pas être récupérées, donc la prévention de la perte de données est un outil essentiel.
• Les attaques par refus de service ou les refus distribués de service : Une attaque par refus de service (DoS ou DDoS) est une attaque visant à mettre à l’arrêt une machine ou un réseau, et le rendre inaccessible par les utilisateurs qu’il vise. Elle peut rendre les systèmes inaccessibles pour les utilisateurs et perturber gravement les opérations commerciales.

Sécurité des identités cloud

En tant qu’utilisateur, nous sommes largement responsables de la génération de contenus et de données qui créent nos identités en ligne. Dans la mesure où l’on rapporte que 88 % des fuites sur le cloud sont dues à des erreurs humaines, que peuvent faire les entreprises pour aider les individus à préserver leur sécurité quand ils utilisent le cloud ?

1. Établissez un panneau de contrôle des identités :  Les mots de passe peuvent souvent constituer la seule barrière entre un cybercriminel et vos informations sensibles. Les attaquants peuvent utiliser plusieurs programmes pour deviner ou « craquer » les mots de passe, ou plus simplement pour hameçonner des identifiants. Nous conseillons aux utilisateurs de suivre les directives NIST sur la mise à jour des mots de passe, qui est généralement réalisée une fois par an ou en cas de compromission constatée. Toutefois, pour vraiment aider à réduire la diffusion des identifiants, les organisations devraient mettre en place une autorité d’authentification globale pour définir des politiques d’accès et appliquer le concept visant à utiliser le SSO pour tout, dans ses limites pratiques.  Le SSO (et même les mots de passe) devraient être utilisés avec des contrôles de compensation tels que le MFA et les signaux de risques.
2. Optez pour l’authentification multifacteur (MFA) Vérifications : Utilisez le MFA pour la connexion à chaque fois que cela est possible. Si les mots de passe sont compromis, la mise en place de cette couche supplémentaire de sécurité réduira le risque que des cybercriminels qui ont volé les mots de passe se connectent à des comptes. De plus, ajouter une couche d’intelligence à l’aide des signaux de risque aidera à réduire le poids du MFA.
3. Contrôler les accès privilégiés : Sécurise et gère les consoles administratives et les titres ainsi que les secrets tels que les identifiants intégrés, les clés, les jetons, les certificats et les clés API pour les identités des hommes et des machines.
4. Chiffrement des fichiers : Garantit que tous les fichiers importants soient chiffrés. Pour lire un fichier chiffré, l’utilisateur doit avoir accès à un code secret pour permettre le déchiffrement. Cela signifie que seul un utilisateur autorisé peut le voir, pas même le fournisseur de logiciel. Ce degré supplémentaire de sécurité compliquera la tâche n’importe quel attaquant potentiel.

Sécurité des identités des machines

Les gens ne sont qu’une partie du cloud : alors que l’adoption du cloud s’accélère, une explosion d’identités de collaborateurs non humains a été constatée. Les identités des machines agissent intelligemment et prennent des décisions au nom des identités de personnes traditionnelles : il peut s’agir de bots, de fonctions sans serveurs ou de codes d’infrastructure. En raison de l’essor de la transformation numérique, il y a désormais bien plus d’identités non humaines que de personnes. Les identités des machines jouent un rôle intégral dans les transformations numériques, et aident les entreprises à mettre leurs charges de travail à l’échelle, mais aussi à accroître leur productivité. Toutefois, la flambée des identités des machines augmente les risques, et plus de 79 % des organisations ont indiqué avoir connu une faille de sécurité liée aux identités au cours des deux dernières années. Selon le second rapport annuel State of Machine Identity Management Report, 50 % des personnes interrogées ont déclaré que leur organisation était susceptible ou très susceptible de subir un vol d’identité des machines ou une mauvaise utilisation au cours des deux prochaines années.

Comment protéger les identités des machines :

1. Identifiez toutes vos identités et faites-en l’inventaire en permanence.
2. Identifiez l’autorisation réelle de chacune de vos identités et surveillez en permanence toutes les modifications apportées.
3. Assurez-vous que des solutions de sécurisation des identités soient en place et configurées pour gérer et gouverner les identités privilégiées qui ne sont pas des personnes.

Selon Aubrey Turner de Ping Identity, « Alors que l’on estime à 4,2 milliards le nombre de doubles numériques sur le net, nous devons être plus vigilants lorsqu’il s’agit de protéger nos identités en ligne. On rapporte que 88 % des failles du cloud sont dues à des erreurs humaines et si l’on suit les étapes que nous avons détaillées ci-dessus, nous pouvons aider les entreprises à éviter des failles de données importantes menées par des cybercriminels. D’après ces prédictions, nous pouvons espérer que l’avenir des entreprises sera pleinement intégré sur le cloud, et si nous sommes vigilants aujourd’hui, nous pouvons être préparés pour ce qui va arriver ».

Lire la suite...