Cloud et fuite de données : comment se protéger ?

Dans leur étude de 2018, Cost of a Data Breach Report, Ponemon Institute et IBM annoncent que « les organisations mettant en place une migration majeure de datas vers un cloud au moment d’une fuite de données voient le montant de leurs pertes augmenter de 12 dollars en moyenne, portant ainsi le coût de chaque donnée perdue à 160 dollars ». Ce chiffre, hors migration cloud, atteint 148 dollars tout pays confondu. Quand nous savons que depuis janvier 2019, chaque data leak entraîne une perte d’environ 19 millions de données*, il y a de quoi frémir.

Pourtant, 75% des entreprises stockent au moins 20% de leurs données sensibles sur un cloud qu’elles estiment « insuffisamment sécurisé »**. Un paradoxe qui s’explique par le caractère de plus en plus indispensable de ces serveurs dématérialisés, source de simplicité et réduction des coûts. Ainsi, on estime que 83% des données des entreprises seront mémorisées sur des clouds d’ici à 2020**.

Il existe différents modèles de cloud qui impliquent différents niveaux de responsabilité quant à la protection des données qui seront hébergées sur le service.

Dans le cas des solutions SaaS (Software as a Service), la sécurité est gérée en quasi intégralité par l’acteur de cloud public. Pour protéger davantage les données qui y sont stockées, il reste cependant possible d’utiliser deux outils de prévention des fuites de données.

Tout d’abord les Data Leakage Prevention (DLP). Ces logiciels permettent de marquer les fichiers et de leur apporter un niveau de confidentialité. Plus une donnée est sensible, plus son accès sera restreint, et ce, selon une graduation déterminée par chaque client. Certes efficace, cette technologie atteint certaines limites, notamment en termes d’expérience utilisateur car elle freine son utilisation naturelle et donc son engagement vis-à-vis de l’outil. Elle demeure par ailleurs assez difficile à déployer car chaque entreprise fournit sa propre méthode de classification des données : il n’existe, à ce jour, aucun standard commun.

Les Cloud Access Security Brokers (CASB) se développent également de plus en plus. Ces outils ont la capacité d’analyser le flux des données et scanner les documents présents au sein d’un cloud. Ils ne peuvent intervenir qu’une fois la donnée transférée sur le serveur cloud, ce qui ne permet donc qu’une réponse a posteriori en cas de mauvais partage de sécurité par exemple. Les CASB permettent ainsi la détection de fichiers douteux sur les clouds.

Pour les solutions de type IaaS (Infrastructure as a Service) ou PaaS (Platform as a Service), la responsabilité de la sécurisation des données et des applications repose principalement sur le client et non plus sur le fournisseur de service. Pour prévenir les fuites des données, les web application firewalls (WAF) peuvent être des outils complémentaires aux solutions déjà proposées au sein du cloud. Les WAF permettent en effet de contrer des attaques cherchant à profiter des failles de l’application.

Les outils de Cloud Workload Protection (CWP) offrent quant à eux la possibilité de vérifier les mauvaises configurations de l’infrastructure cloud et particulièrement des espaces de stockage de données, tout en autorisant une vue d’ensemble des actions menées par chaque administrateur. Certes sécurisés, les serveurs publics ne sont en effet pas infaillibles. A titre d’illustration, il y a quatre ans, la société UpGuard a découvert que certains compartiments de stockage proposés par Amazon S3, l’une des solutions cloud les plus vendues du marché, étaient disponibles publiquement***. Sur son site, UpGuard publiait en avril dernier : « Des chercheurs en cybersécurité, dont ceux d’UpGuard, découvrent constamment des compartiments S3 ouverts publiquement, non-protégés et contenant des données sensibles. (…) Cela fait maintenant quatre ans que nous avons identifié les failles de S3, et le problème ne semble pas être résolu ». L’article se poursuit ainsi : « Notre opinion, c’est que les failles des S3 émanent de leur conception. Si AWS s’assure bien que les compartiments sont privés par défaut, nous continuons de voir des milliers d’entre eux ouverts. (…) Nous pensons qu’AWS a rendu trop simples pour les utilisateurs les manipulations permettant d’effectuer de mauvaises configurations des compartiments, les rendant ainsi totalement accessibles sur le net ».

Si l’idée ici n’est pas de pointer les faiblesses d’Amazon en particulier (tous les autres opérateurs de cloud peuvent être touchés), l’exemple reste parlant quant à la bonne réflexion à mener autour de données trop critiques pour être basculées sur un cloud public. Les entreprises se tournent ainsi de plus en plus vers des stockages hybrides avec un cloud public, un autre privé et des dispositifs de stockage classiques. Ce sont donc autant de procédures et technologies différentes à mettre en place et à gérer au quotidien. Aussi, il est important de faire attention à ce que le cloud soit réellement adapté aux usages des salariés. Cela réduira les risques liés aux mauvaises utilisations et augmentera l’adhésion des collaborateurs aux dispositifs de sécurité à connaître et à appliquer au quotidien.

Pour bien négocier sa migration vers un cloud, le mieux est de commencer par un état des lieux des données. Passer au cloud ne veut pas dire y basculer l’ensemble de ses informations. Les plus critiques et sensibles doivent suivre un traitement plus classique et être conservées au sein de l’entreprise, sur un serveur sécurisé.

Pour chaque société, les données à protéger en priorité diffèrent. Si les informations financières ou les plans stratégiques restent des premiers choix logiques, il est conseillé de faire attention aux faux-amis. Ces données, au premier abord peu critiques, sont en réalité convoitées, comme par exemple les factures. Celles-ci, bien copiées, peuvent être utilisées pour perpétrer des arnaques au Président. Selon l’Office Central pour la Répression de la Grande Délinquance Financière (OGRGDF), ce type de fraude a coûté 2,3 milliards de dollars aux entreprises américaines en 2016****.

Depuis le 25 mai 2018, date de mise en application du Règlement pour la protection des données (RGPD), les entreprises européennes sont tenues de déclarer toute fuite de données personnelles dans les 72h suivant l’incident, que celui-ci soit accidentel ou provienne d’une cyberattaque.

Au sein de cette déclaration, doivent être renseignées les informations suivantes :

• la nature de l’incident,
• la catégorie et nombre de personnes touchées,
• le nombre d’enregistrements concernés,
• les conséquences probables de la fuite,
• les mesures prises pour l’éviter*****.

Les fuites de données n’étant pas inévitables, elles doivent aussi permettre de réaliser un état des lieux des failles de sécurité ayant permis le vol ou la fuite accidentelle et donc la mise en place d’actions pour s’en prémunir dans le futur. Cela peut être l’opportunité de se rendre compte que les processus actuels ne sont pas les bons, et repartir sur des bonnes bases.

A ce jour, il demeure très complexe de retrouver un attaquant. Des services spécialisés, proposés par des fournisseurs de cybersécurité, permettent de documenter la fuite et retracer les chemins virtuels parcourus par les pirates. Des informations précieuses pour mieux se protéger.

Notes :

*Source : databreaches.net, IDTheftCentre and medias internationaux, repris par https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

**Source : https://www.alluresecurity.com/blog/enterprise-cloud-migration-is-continuing-with-or-without-security

***Source : https://www.upguard.com/blog/s3-security-is-flawed-by-design

****Source : https://blogs.mediapart.fr/smanhes/blog/180118/les-arnaques-aux-faux-ordres-de-virement-en-augmentation-dans-les-pme

*****Source : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles