L’analyse de Claire Loffler, Security Engineer chez Vectra AI
Au cours des dernières années, les entreprises et les responsables de la sécurité se sont concentrés sur la manière de mieux gérer et sécuriser l'infrastructure de cloud computing, dans un contexte où les cyberattaques d'entreprise évoluent et se multiplient. Le ransomware reste un sujet de débat important parmi les professionnels de la cybersécurité. L'autre question récurrente est liée aux attaques de la chaîne d'approvisionnement, y compris les produits traditionnels sur site ainsi que les services fournis via le cloud.
La migration vers le cloud et le SaaS, ainsi que l'incapacité à trouver des talents expérimentés qui comprennent les implications du cloud en matière de sécurité, sont également des questions liées. Il existe une tension entre les entreprises qui souhaitent devenir agiles en adoptant le cloud et les équipes de sécurité qui tentent d'obtenir une visibilité et de mettre en œuvre la sécurité dans ces environnements. Dans un monde parfait, cette tension serait résolue de manière équilibrée, mais nous ne vivons pas dans un monde parfait et souvent, l'impératif économique de déployer rapidement de nouveaux services devance la capacité des organisations à le faire en toute sécurité.
Le problème du cloud
Il n'y a pas si longtemps, les réseaux sur site étaient grands ouverts aux attaquants, c'est pourquoi nous nous sommes concentrés sur ce point. Aujourd'hui, les employés accèdent principalement aux applications via Internet. Cela signifie que nous devons examiner les journaux des plates-formes du cloud telles que Amazon Web Services (AWS), Azure et Google Cloud Platform (GCP), les systèmes d'identité du cloud tels que Azure AD et Okta et les applications de collaboration telles que Microsoft 365 et Google Workspace.
La pandémie a souvent incité les entreprises à adopter des configurations multi-clouds ou hybrides, non pas dans le cadre d'une grande stratégie, mais en raison d'un besoin urgent. En conséquence, des services tels que Microsoft 365 ou les plateformes d’e-commerce ont été mis en œuvre rapidement, sans tenir compte de leur impact sur l'infrastructure ou la sécurité. En outre, les différentes unités commerciales ou départements ont souvent évolué dans des directions différentes, ce qui a ajouté des couches de complexité. Aujourd'hui, nous nous trouvons à un moment décisif où nous devons comprendre la réalité de la situation et comment y remédier.
Ransomware dans le cloud
Le passage au cloud computing a ouvert des passerelles que les attaquants peuvent exploiter pour obtenir un point d'entrée, et ils commencent à en tirer pleinement parti. Sur site, si un cybercriminel veut chiffrer les données d'une entreprise, il doit passer par l'exercice laborieux de la connexion à un serveur, de l'extraction de toutes les données à travers le réseau, de leur chiffrement et de leur réécriture sur le serveur et enfin de la suppression de la copie originale. Pour réussir, les opérateurs de ransomware essaient de s'introduire dans le plus grand nombre d'endroits possible et de chiffrer le plus de données possibles. Dans le cloud, les opérateurs de ransomware peuvent tirer parti du chiffrement côté serveur fourni par les plateformes cloud, ce qui leur permet de chiffrer les données beaucoup plus rapidement et sans effort.
Un cloud comme AWS ou Azure présente deux surfaces d'attaque différentes. Il y a la surface d'attaque traditionnelle où les attaquants passent par le réseau pour attaquer une charge de travail s'exécutant dans le cloud, puis volent les données. Et il y a le plan de gestion ou le plan de contrôle d'une plateforme cloud qui représente un ensemble de contrôles plus puissant et moins bien compris.
Regarder vers l'avenir
À mesure que les données précieuses des clients se déplacent vers le cloud, les ransomwares font de même. Nous nous posons donc des questions telles que : à quoi ressemble la combinaison du cloud et des ransomwares, à quelle vitesse les attaquants deviendront-ils capables d'exploiter le cloud, et quelles mesures devons-nous prendre dès maintenant ? En soulignant les signes avant-coureurs qui existent, nous pouvons nous protéger contre les ransomwares dans les systèmes du cloud et comprendre pourquoi cela est sensiblement différent des mesures défensives requises pour les systèmes sur site.
Les responsables des systèmes d'information doivent aujourd’hui établir un lien entre le monde de la sécurité et celui des affaires, afin que les investissements soient priorisés et que les infrastructures soient protégées.