Au quotidien, inconsciemment, chaque être humain expose des données.
Le temps qui vous sera nécessaire pour lire cet article de blog sera suffisant pour que votre surface d’exposition s’élargisse considérablement. L’accès aux données sensibles se développe dans le cloud, tout comme les différentes façons dont elles peuvent être compromises.
Une part de vos données les plus cruciales étant présente dans l’environnement cloud, comment pouvez-vous la protéger ? Quelles menaces doivent le plus vous préoccuper ?
Lors d’un récent webinaire, Thomas Vinckenbosh, senior analyste sécurité chez Varonis, a présenté les cinq principales menaces actuelles sur le cloud. Ils ont expliqué d’où viennent ces menaces, comment elles peuvent être utilisées contre vous et quelles mesures vous pouvez prendre pour garantir la sécurité de vos données.
Voici le résultat de leurs découvertes :
Menace n° 1 : risque pour l'identité
L’un des défis de l’utilisation du cloud est la prolifération des applications qui créent un ensemble unique d’identités. À mesure que l’empreinte cloud augmente, les équipes de sécurité sont confrontées à la difficulté de surveiller et de sécuriser des identités multiples dans des espaces multiples.
Les acteurs malveillants évoluent également et ciblent spécifiquement les utilisateurs par le biais de diverses tactiques, telles que l’ingénierie sociale et la compromission des comptes personnels.
Le groupe LAPSUS$ a fait la une des journaux lorsqu’il a piraté de grandes entreprises, notamment Microsoft, Okta, Samsung, Ubisoft et Nvidia, en pratiquant l’ingénierie sociale téléphonique et l’échange de cartes SIM. Le groupe appelait les services informatiques et usurpait l’identité de la cible, contournerait l’authentification multifacteur ou les réinitialisations de mot de passe et obtenait accès aux données.
Deux étapes permettent de déterminer l’identité des utilisateurs internes et externes à votre organisation ayant accès à votre environnement.
- Répertorier toutes les applications utilisées au sein de votre entreprise et comprendre les autorisations qui y sont associées.
- Effectuer des rapports sur une base hebdomadaire, mensuelle ou trimestrielle.Les indicateurs figurant dans votre rapport identifieront les domaines qui nécessitent une attention particulière, tels que les utilisateurs obsolètes, l’utilisation des comptes personnels, une augmentation du nombre d’utilisateurs externes ou l’octroi d’un accès administrateur supplémentaire.
Il est également important de définir des paramètres pour les employés quittant l’entreprise, car les comptes utilisateur obsolètes pourraient donner aux anciens employés la possibilité d’exposer vos données sensibles et donner aux attaquants la possibilité d’accéder à votre environnement.
Menace n° 2 : risque lié à la configuration
Une multitude d'applications cloud implique une multitude de paramètres de configuration.
Lors de la mise en œuvre de nouvelles applications, il faut du temps pour savoir comment les paramètres spécifiques sont configurés par défaut, quelles sont les bonnes pratiques, mais également pour savoir si les paramètres des environnements de production diffèrent des environnements sandbox ou de développement.
Varonis Threat Labs a découvert que des utilisateurs anonymes pouvaient exploiter des communautés Salesforce mal configurées pour potentiellement exposer des données sensibles, telles que des listes de clients, des dossiers d’assistance, des adresses e-mail, etc., à n’importe qui sur Internet.
Au minimum, les acteurs malveillants pourraient exploiter les configurations pour effectuer des repérages pour les campagnes de spear-phishing, et dans le pire des cas, ils pourraient voler des informations sensibles relatives à l’entreprise, notamment concernant ses activités, ses clients et ses partenaires.
De nombreuses entreprises ne réalisent pas que Salesforce, ou certaines autres plateformes collaboratives de partage de fichiers, sont conçues dès l’origine pour partager publiquement des données et qu’il s’agit d’une fonctionnalité, et non d’un bogue.
L’audit de vos configurations de sécurité peut contribuer à réduire l’accès injustifié à vos environnements cloud. Certaines applications, telles que Salesforce, disposent également d’outils de contrôle de l’intégrité que vous pouvez exécuter manuellement.
Varonis va au-delà de la visibilité grâce à des fonctionnalités de remédiation intelligentes intégrées à notre plateforme de sécurité des données. Celle-ci évalue en permanence votre posture de sécurité des données, repère automatiquement les erreurs de configuration critiques et vous les présente en temps réel dans un tableau de bord DSPM personnalisable.
Menace n° 3 : risque lié aux applications tierces
Les applications tierces se connectent à vos applications SaaS ou d’infrastructure, échappant souvent à la surveillance des équipes de sécurité, car les utilisateurs peuvent s’accorder des autorisations, souvent sans réfléchir à deux fois aux conséquences que cela peut avoir concernant ces applications.
Imaginez la situation suivante : vous créez un compte sur la dernière application de réseau social et, pour éviter de remplir un long formulaire, vous pouvez simplement connecter votre compte Gmail, ce qui vous permet d’accéder à vos informations stockées dans cette application.
Il peut être difficile de comprendre quelles applications sont installées et à quoi elles ont accès, ce qui est similaire aux risques liés à l’identité présentés dans la menace n° 1.
Il existe également le risque lié aux applications contenant des vulnérabilités que des acteurs malveillants pourraient exploiter. En un seul clic, l’accès peut être accordé à ces applications malveillantes.
L’équipe de Varonis Threat Labs a généré un scénario d’attaque dans lequel nous avons créé une application réaliste et utilisé une technique de phishing pour inciter un utilisateur à installer une application et à lui accorder un accès complet à son environnement Microsoft 365. Même si notre scénario était une simulation, la plupart des pirates informatiques et des groupes de ransomwares n’ont pas voulu s’arrêter là et ont continué à exploiter les informations qu’ils ont découvertes.
À mesure que l’utilisation des applications tierces augmente, évaluer nos applications connectées et les risques qu’elles impliquent devient essentiel. Nous vous recommandons d’analyser les autorisations pour chaque application et de classer leur niveau de risque comme faible, moyen ou élevé.
Vous pouvez évaluer le nombre d’employés qui utilisent l’application et leurs niveaux d’activité grâce à l’automatisation ou à des rapports manuels. Par exemple, les utilisateurs qui n’ont pas ouvert d’application à haut risque au cours des six derniers mois devraient voir leurs droits révoqués pour éviter toute fuite. L’application devra également être déconnectée, même si elle n’est pas utilisée.
La surveillance et le nettoyage continus de votre bibliothèque d’applications tierces faciliteront la surveillance et la maintenance des applications qui ont accès à vos données.
Menace n° 4 : vulnérabilités du cloud
Les vulnérabilités présentes dans le cloud ne le sont généralement pas par conception et peuvent être des bogues ou des failles dans le code ou l’application.
En 2021, notre équipe de recherche a identifié un bogue dans Salesforce, intitulé « trou de ver d’Einstein », qui exposait des événements de calendrier pouvant contenir des données très sensibles telles que le nom des participants, les adresses électroniques, les URL de réunion, les mots de passe et les réponses envoyés aux organisateurs. Avant que le bogue ne soit corrigé, les informations relatives aux réunions contenant des informations potentiellement sensibles ont été exposées sur Internet.
Il est important de surveiller et d’observer ce qui se passe dans les applications, quels que soient le degré de contrôle que vous avez sur leur programme et/ou votre capacité à corriger les bogues et appliquer des correctifs de manière appropriée. Il est également important d’informer en interne les équipes quant aux risques que vous font courir les applications sur lesquelles les équipes de sécurité n’ont aucune prise.
Tout le monde partage une partie du risque et doit comprendre que le cloud est plus accessible que jamais.
Menace n° 5 : risques liés aux liens/autorisations
La plupart des applications cloud sont conçues pour la collaboration et le partage de fichiers, ce qui permet aux utilisateurs finaux de partager des données en externe, à l’échelle de l’entreprise ou même de créer des liens publics accessibles à tous sur Internet.
Bien que le partage de liens facilite la collaboration et la diffusion des informations, cela représente également un risque plus élevé que vos données tombent entre de mauvaises mains et que les employés aient accès à des informations dont ils n’ont pas besoin.
Un exemple classique d’autorisations excessives combinées à une menace interne est la fuite de documents du Pentagone. Un jeune pilote avait accès à des informations classifiées qui ne relevaient pas de son niveau et, bien qu’il existait des défenses périmétriques pour l’empêcher de télécharger les données vers une source externe, il a pu prendre des photos du contenu et transcrire les informations. L’employé a ensuite hébergé ces données sur un serveur Discord, déclenchant une crise diplomatique.
La mise en place de l’automatisation du modèle de moindre privilège peut aider à réduire le risque lié à des droits excessifs en révoquant l’accès aux liens externes et publics à l’échelle de l’entreprise au fil du temps.
La puissance de l’automatisation permet de sécuriser vos informations et allège le travail des équipes de sécurité, en termes d’analyse continue des autorisations des liens pour les milliers d’utilisateurs et les fichiers qu’ils créent.
En conclusion
Les environnements cloud évoluent rapidement, tout comme les menaces qui cherchent à les compromettre. Quel que soit le risque ou le vecteur d’attaque, l’objectif est toujours le même : les menaces ciblent les données.
Visionnez le webinaire complet en français avec Thomas Vinckenbosch pour en savoir plus sur le risque lié aux identités, les risques liés à la configuration, les risques liés aux applications tierces, les vulnérabilités du cloud, les liens de partage et la façon dont Varonis peut atténuer ces menaces pour protéger vos données.
Comment protéger votre environnement cloud contre les 5 principales menaces du moment
Contenu
Au quotidien, inconsciemment, chaque être humain expose des données.
Le temps qui vous sera nécessaire pour lire cet article de blog sera suffisant pour que votre surface d’exposition s’élargisse considérablement. L’accès aux données sensibles se développe dans le cloud, tout comme les différentes façons dont elles peuvent être compromises.
Une part de vos données les plus cruciales étant présente dans l’environnement cloud, comment pouvez-vous la protéger ? Quelles menaces doivent le plus vous préoccuper ?
Lors d’un récent webinaire, Thomas Vinckenbosh, senior analyste sécurité chez Varonis, a présenté les cinq principales menaces actuelles sur le cloud. Ils ont expliqué d’où viennent ces menaces, comment elles peuvent être utilisées contre vous et quelles mesures vous pouvez prendre pour garantir la sécurité de vos données.
Voici le résultat de leurs découvertes :
Menace n° 1 : risque pour l'identité
L’un des défis de l’utilisation du cloud est la prolifération des applications qui créent un ensemble unique d’identités. À mesure que l’empreinte cloud augmente, les équipes de sécurité sont confrontées à la difficulté de surveiller et de sécuriser des identités multiples dans des espaces multiples.
Les acteurs malveillants évoluent également et ciblent spécifiquement les utilisateurs par le biais de diverses tactiques, telles que l’ingénierie sociale et la compromission des comptes personnels.
Le groupe LAPSUS$ a fait la une des journaux lorsqu’il a piraté de grandes entreprises, notamment Microsoft, Okta, Samsung, Ubisoft et Nvidia, en pratiquant l’ingénierie sociale téléphonique et l’échange de cartes SIM. Le groupe appelait les services informatiques et usurpait l’identité de la cible, contournerait l’authentification multifacteur ou les réinitialisations de mot de passe et obtenait accès aux données.
Deux étapes permettent de déterminer l’identité des utilisateurs internes et externes à votre organisation ayant accès à votre environnement.
Il est également important de définir des paramètres pour les employés quittant l’entreprise, car les comptes utilisateur obsolètes pourraient donner aux anciens employés la possibilité d’exposer vos données sensibles et donner aux attaquants la possibilité d’accéder à votre environnement.
Menace n° 2 : risque lié à la configuration
Une multitude d'applications cloud implique une multitude de paramètres de configuration.
Lors de la mise en œuvre de nouvelles applications, il faut du temps pour savoir comment les paramètres spécifiques sont configurés par défaut, quelles sont les bonnes pratiques, mais également pour savoir si les paramètres des environnements de production diffèrent des environnements sandbox ou de développement.
Varonis Threat Labs a découvert que des utilisateurs anonymes pouvaient exploiter des communautés Salesforce mal configurées pour potentiellement exposer des données sensibles, telles que des listes de clients, des dossiers d’assistance, des adresses e-mail, etc., à n’importe qui sur Internet.
Au minimum, les acteurs malveillants pourraient exploiter les configurations pour effectuer des repérages pour les campagnes de spear-phishing, et dans le pire des cas, ils pourraient voler des informations sensibles relatives à l’entreprise, notamment concernant ses activités, ses clients et ses partenaires.
De nombreuses entreprises ne réalisent pas que Salesforce, ou certaines autres plateformes collaboratives de partage de fichiers, sont conçues dès l’origine pour partager publiquement des données et qu’il s’agit d’une fonctionnalité, et non d’un bogue.
L’audit de vos configurations de sécurité peut contribuer à réduire l’accès injustifié à vos environnements cloud. Certaines applications, telles que Salesforce, disposent également d’outils de contrôle de l’intégrité que vous pouvez exécuter manuellement.
Varonis va au-delà de la visibilité grâce à des fonctionnalités de remédiation intelligentes intégrées à notre plateforme de sécurité des données. Celle-ci évalue en permanence votre posture de sécurité des données, repère automatiquement les erreurs de configuration critiques et vous les présente en temps réel dans un tableau de bord DSPM personnalisable.
Menace n° 3 : risque lié aux applications tierces
Les applications tierces se connectent à vos applications SaaS ou d’infrastructure, échappant souvent à la surveillance des équipes de sécurité, car les utilisateurs peuvent s’accorder des autorisations, souvent sans réfléchir à deux fois aux conséquences que cela peut avoir concernant ces applications.
Imaginez la situation suivante : vous créez un compte sur la dernière application de réseau social et, pour éviter de remplir un long formulaire, vous pouvez simplement connecter votre compte Gmail, ce qui vous permet d’accéder à vos informations stockées dans cette application.
Il peut être difficile de comprendre quelles applications sont installées et à quoi elles ont accès, ce qui est similaire aux risques liés à l’identité présentés dans la menace n° 1.
Il existe également le risque lié aux applications contenant des vulnérabilités que des acteurs malveillants pourraient exploiter. En un seul clic, l’accès peut être accordé à ces applications malveillantes.
L’équipe de Varonis Threat Labs a généré un scénario d’attaque dans lequel nous avons créé une application réaliste et utilisé une technique de phishing pour inciter un utilisateur à installer une application et à lui accorder un accès complet à son environnement Microsoft 365. Même si notre scénario était une simulation, la plupart des pirates informatiques et des groupes de ransomwares n’ont pas voulu s’arrêter là et ont continué à exploiter les informations qu’ils ont découvertes.
À mesure que l’utilisation des applications tierces augmente, évaluer nos applications connectées et les risques qu’elles impliquent devient essentiel. Nous vous recommandons d’analyser les autorisations pour chaque application et de classer leur niveau de risque comme faible, moyen ou élevé.
Vous pouvez évaluer le nombre d’employés qui utilisent l’application et leurs niveaux d’activité grâce à l’automatisation ou à des rapports manuels. Par exemple, les utilisateurs qui n’ont pas ouvert d’application à haut risque au cours des six derniers mois devraient voir leurs droits révoqués pour éviter toute fuite. L’application devra également être déconnectée, même si elle n’est pas utilisée.
La surveillance et le nettoyage continus de votre bibliothèque d’applications tierces faciliteront la surveillance et la maintenance des applications qui ont accès à vos données.
Menace n° 4 : vulnérabilités du cloud
Les vulnérabilités présentes dans le cloud ne le sont généralement pas par conception et peuvent être des bogues ou des failles dans le code ou l’application.
En 2021, notre équipe de recherche a identifié un bogue dans Salesforce, intitulé « trou de ver d’Einstein », qui exposait des événements de calendrier pouvant contenir des données très sensibles telles que le nom des participants, les adresses électroniques, les URL de réunion, les mots de passe et les réponses envoyés aux organisateurs. Avant que le bogue ne soit corrigé, les informations relatives aux réunions contenant des informations potentiellement sensibles ont été exposées sur Internet.
Il est important de surveiller et d’observer ce qui se passe dans les applications, quels que soient le degré de contrôle que vous avez sur leur programme et/ou votre capacité à corriger les bogues et appliquer des correctifs de manière appropriée. Il est également important d’informer en interne les équipes quant aux risques que vous font courir les applications sur lesquelles les équipes de sécurité n’ont aucune prise.
Tout le monde partage une partie du risque et doit comprendre que le cloud est plus accessible que jamais.
Menace n° 5 : risques liés aux liens/autorisations
La plupart des applications cloud sont conçues pour la collaboration et le partage de fichiers, ce qui permet aux utilisateurs finaux de partager des données en externe, à l’échelle de l’entreprise ou même de créer des liens publics accessibles à tous sur Internet.
Bien que le partage de liens facilite la collaboration et la diffusion des informations, cela représente également un risque plus élevé que vos données tombent entre de mauvaises mains et que les employés aient accès à des informations dont ils n’ont pas besoin.
Un exemple classique d’autorisations excessives combinées à une menace interne est la fuite de documents du Pentagone. Un jeune pilote avait accès à des informations classifiées qui ne relevaient pas de son niveau et, bien qu’il existait des défenses périmétriques pour l’empêcher de télécharger les données vers une source externe, il a pu prendre des photos du contenu et transcrire les informations. L’employé a ensuite hébergé ces données sur un serveur Discord, déclenchant une crise diplomatique.
La mise en place de l’automatisation du modèle de moindre privilège peut aider à réduire le risque lié à des droits excessifs en révoquant l’accès aux liens externes et publics à l’échelle de l’entreprise au fil du temps.
La puissance de l’automatisation permet de sécuriser vos informations et allège le travail des équipes de sécurité, en termes d’analyse continue des autorisations des liens pour les milliers d’utilisateurs et les fichiers qu’ils créent.
En conclusion
Les environnements cloud évoluent rapidement, tout comme les menaces qui cherchent à les compromettre. Quel que soit le risque ou le vecteur d’attaque, l’objectif est toujours le même : les menaces ciblent les données.
Visionnez le webinaire complet en français avec Thomas Vinckenbosch pour en savoir plus sur le risque lié aux identités, les risques liés à la configuration, les risques liés aux applications tierces, les vulnérabilités du cloud, les liens de partage et la façon dont Varonis peut atténuer ces menaces pour protéger vos données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Lexi Croisdale
Lexi Croisdale a rejoint l'équipe Varonis en 2023 en tant que responsable du marketing de contenu. Elle aime écrire sur les dernières tendances et informations de la cybersécurité pour aider les entreprises à protéger leurs données. Elle aime aussi les DIY, le plein air et la lecture.