Alors que les rapports précédents se focalisaient sur une seule menace, telle que la gestion des accès à l’identité, les attaques contre la chaîne d’approvisionnement et la sécurité des conteneurs, le rapport « Unit 42 Cloud Threat Report, Volume 7 : Navigating the Expanding Attack Surface » prend du recul pour aborder un problème plus vaste et plus étendu : les acteurs de la menace sont devenus experts pour exploiter les problèmes courants et quotidiens du cloud. On peut notamment citer les mauvaises configurations, les identifiants faibles, l’absence d’authentification, les vulnérabilités non corrigées et les packages de logiciels open source malveillants.

Le rapport comprend une analyse de deux cas réels et distincts de réponse à des incidents de violation du cloud observés en 2022. En anonymisant et en dépersonnalisant les victimes, l’Unit 42 montre comment les attaquants ont exploité des données sensibles divulguées sur le dark web et décrit l’interruption des activités par les rançongiciels.

Nous présentons ci-dessous un extrait des points clés et des recommandations du rapport de l’Unit 42 sur les menaces cloud (Cloud Threat Report, Volume 7 : Navigating the Expanding Attack Surface).

Ce qu’il faut retenir :

En moyenne, il faut 145 heures (environ six jours) aux équipes pour résoudre une alerte de sécurité. 60 % des entreprises mettent plus de quatre jours à résoudre ce type de problème.
Dans les environnements cloud de la plupart des entreprises, 5 % des règles de sécurité déclenchent 80 % des alertes.
63 % des codebase en production présentent des vulnérabilités non corrigées qui sont considérées comme élevées ou critiques (score CVSS >= 7).
76 % des organisations n’appliquent pas l’authentification multifacteur (MFA) pour les utilisateurs de console, tandis que 58 % ne l’imposent pas aux utilisateurs root/admin.
Des données sensibles, telles que les données à caractère personnel, les dossiers financiers ou la propriété intellectuelle, ont été trouvées dans 66 % des espaces de stockage et dans 63 % des espaces de stockage exposés publiquement.
51 % des codebases dépendent de plus de 100 packages de logiciels open source. Cependant, seuls 23 % des packages sont directement importés par les développeurs.

Les omissions courantes dans le cloud

S’appuyant sur des données à grande échelle collectées en 2022, le rapport examine les violations réelles qui ont impacté les moyennes et grandes entreprises, détaille les problèmes observés dans plusieurs milliers d’environnements multicloud et analyse les répercussions des vulnérabilités des logiciels open source sur le cloud. L’Unit 42 de Palo Alto Networks a analysé en particulier les charges de travail de 210 000 comptes cloud dans 1 300 organisations différentes. À l’heure où de nombreuses organisations disposent désormais de plusieurs déploiements dans le cloud, les lacunes en matière de sécurité attirent de plus en plus l’attention des acteurs de la menace.

Si les erreurs des utilisateurs, telles que les configurations non sécurisées, restent la principale préoccupation, les chercheurs de l’Unit 42 ont également observé des problèmes liés aux modèles prêts à l’emploi et aux configurations par défaut proposés par les fournisseurs de services cloud (CSP). Ces paramètres et ces fonctionnalités sont pratiques et permettent une adoption fluide des nouvelles technologies, mais ils ne permettent pas aux utilisateurs de partir sur des bases parfaitement sûres. Exemples de résultats :

76 % des organisations n’appliquent pas l’authentification multifacteur (MFA) pour les utilisateurs de console.
Des données sensibles ont été trouvées dans 63 % d’espaces de stockage exposés publiquement.

Impacts et risques des logiciels open source dans le cloud

Les logiciels open source ont été l’un des moteurs de la révolution du cloud. Cependant, leur utilisation accrue dans le cloud entraîne une plus grande complexité, augmentant la probabilité de logiciels dépréciés ou abandonnés, de contenus malveillants et de cycles de correctifs plus lents. Il incombe donc aux utilisateurs finaux d’analyser minutieusement les logiciels open source avant de les intégrer aux applications. Cette tâche est particulièrement ardue lorsque les entreprises doivent gérer des dizaines de projets dépendant tous de plusieurs milliers de logiciels open source.

Les organisations doivent s’attendre à une expansion de la surface d’attaque des applications cloud natives, alors même que les acteurs de la menace se montrent de plus en plus créatifs pour cibler les configurations erronées de l’infrastructure cloud, des API et de la chaîne d’approvisionnement logicielle elle-même.

Pour se prémunir contre ces menaces, le rapport propose des conseils pratiques pour pallier les lacunes de sécurité sur le cloud. En voici un exemple :

Conseil : un processus de sauvegarde automatisé doit être mis en place pour toute charge de travail cloud risquant d’interrompre les opérations métier en cas de panne. Les sauvegardes doivent être stockées dans des lieux protégés et isolés de l’environnement de production, dans plusieurs sites géographiques, afin d’éviter la création d’un point de défaillance unique. Toutes les organisations doivent disposer de plans de continuité opérationnelle et de reprise après incident (BC/DR) intégrant le processus de récupération des sauvegardes.

Par ailleurs, Palo Alto Networks et l’Unit 42 prévoient que le secteur va se détourner des solutions de sécurité ponctuelles au profit de plateformes de protection des applications cloud natives (CNAPP), qui offrent un spectre complet de capacités tout au long du cycle de développement des applications. Gartner fait écho à ce scénario d’une forte augmentation significative entre 2021 et 2022 de l’adoption des CNAPP, signalant un bond de 70 % des demandes des clients.

La conclusion de ce rapport est que la seule façon de se défendre contre des menaces de sécurité désormais de plus en plus étendues et agressives est de toujours garder une longueur d’avance sur les attaquants.