Actu
La gestion des identités et des accès pose un problème majeur pour les déploiements I/PaaS, selon Netskope
octobre 2018 par Netskope
Netskope annonce la parution de l’édition Automne 2018 de son rapport Netskope Cloud Report™, consacré à l’utilisation des services cloud en entreprise et aux tendances afférentes. Selon ce rapport, qui a analysé les « CIS Benchmarks » du Center for Internet Security pour AWS (Amazon Web Services), 71,5 % des violations concernant AWS ont trait à la gestion des identités et des accès. Face à l’adoption généralisée des services d’infrastructure de cloud public tels que AWS dans les grandes entreprises s’affirme la nécessité de mettre en place des règles claires autour de la gestion des identités et des accès afin de garantir la sécurisation des données névralgiques.
Une gestion hasardeuse des identités et des accès expose les entreprises à des risques
Récemment, plusieurs fuites de données majeures, très médiatisées, ont été attribuées à des erreurs de configuration sur certaines ressources, comme les compartiments S3, faisant ressortir d’énormes lacunes dans les stratégies de sécurité I/Paas de quantité d’entreprises. Si nombre d’établissements ont érigé des garde-fous autour des services cloud, via des solutions d’authentification à plusieurs facteurs et d’authentification unique (SSO) notamment, la migration de ces moyens d’action sur une infrastructure cloud comme AWS est souvent négligée. Or, les entreprises s’exposent à des risques de sécurité considérables en ne colmatant pas ces failles.
Pour nombre des violations commises en matière de gestion des identités et des accès, le rapport met en cause les règles d’instance, les contrôles d’accès à base de rôles, les conditions spécifiées pour l’accès à des ressources ou les règles applicables aux mots de passe – des problèmes simples auxquels les entreprises peuvent remédier aisément sans avoir recours à une solution de sécurité externe.
Parmi les autres violations relevées par les « CIS Benchmarks » figurent, par catégorie, la surveillance (19 %), le réseau (5,9 %) et la journalisation (3,6 %). Dans les violations commises par type de ressource, EC2 mène le jeu (avec 66,2 % des violations), suivi par CloudTrail (15,2 %), S3 (10,9 %), IAM (4,5 %) et d’autres (3,2 %). En termes de gravité, 86,3 % des violations étaient de gravité moyenne, 9,1 % de gravité élevée, 4 % de gravité alarmante et 0,6 % de faible gravité.
Les violations DLP dans le cloud sont en hausse
Comme dans les précédents rapports, la plupart des violations détectées par les systèmes DLP (prévention des fuites d’information) continuent à se produire sur les services de stockage cloud (54 %) et le webmail (35,3 %) ; viennent ensuite les services collaboratifs (10,1 %) et autres (y compris l’infrastructure cloud) à 0,6 %. Les règles DLP sur les infrastructures cloud sont en hausse, du fait de l’utilisation accrue de ces services.
Parmi les violations DLP, les activités de transferts sur serveur sont majoritaires à 55,3 %, suivies par les téléchargements (32,4 %), les envois (11,2 %) et autres (1,1 %). Le rapport s’est également intéressé à ce type de violations pour l’I/Paas, en les classant dans une catégorie distincte, afin de mieux appréhender les domaines et activités sur lesquels les équipes de sécurité axent leurs règles DLP. Comme pour la catégorie prise dans son ensemble, les transferts sur serveur et téléchargements sont les plus ciblés par les violations, à 64,1 % et 35,7 % respectivement.
« À mesure que les entreprises adoptent progressivement une approche multi-cloud, les équipes informatiques doivent continuellement évaluer la sécurité de leur infrastructure de cloud public et ne rien ignorer des données qui entrent et sortent de ces services »,indique Sanjay Beri, fondateur et CEO de Netskope. « Les entreprises doivent également s’attacher à utiliser les mêmes profils de sécurité, règles et moyens d’action sur l’ensemble des services — SaaS, IaaS et web – afin de réduire les frais généraux et charges fixes à mesure que l’utilisation des services cloud passe à l’échelle supérieure. »
Nombre moyen de services cloud par entreprise, par catégorie de services
Ce trimestre, le nombre moyen de services cloud par entreprise a progressé de 5,5 % pour atteindre 1 246, contre 1 181 dans le rapport de février 2018. La grande majorité de ces services (92,7 %) ne sont pas prêts pour l’entreprise, ce qui leur vaut un score « moyen » ou faible dans l’indice de confiance Netskope Cloud Confidence IndexTM(CCI).
Tout comme dans l’édition de février 2018, les services RH et marketing sont, en nombre moyen, les plus utilisés par les entreprises, suivis par les services collaboratifs.
Catégorie de service / Nombre moyen de services cloud / % non prêts pour l’entreprise
– RH : 175 / 96 %
– Marketing :170 / 98 %
– Collaboration : 110 / 83 %
– Finance/Comptabilité : 76 / 94%
– CRM : 76 / 93%
– Gestion des applications/services informatiques : 31 / 93%
– Stockage dans le cloud : 28 / 67%
– Social : 26 / 92%
