80 % des expositions moyennes, élevées ou critiques appartenant aux organisations ont été observées sur des actifs hébergés dans le cloud, a chiffré l’unité 42 de Palo Alto Networks. La surface d’attaque n’a jamais été aussi dangereuse.

« Le cloud, surface d’attaque dominante », décrit l’unité 42 de Palo Alto après avoir analysé sur la base de plusieurs pétaoctets de données collectées quelque 250 organisations comptant 10 000 employés ou plus. Les données ont montré que seulement 19 % des expositions à la sécurité affectaient les actifs sur site. L’unité 42 a attribué cet écart important à de fréquentes erreurs de configuration du cloud, à la confusion sur les responsabilités partagées, au shadow IT, au manque de visibilité des actifs et à la connexion inhérente des services à Internet.

Les risques de sécurité liés à l’utilisation de EOL (Use of End-of-Life) et d’infrastructures de développement affectent principalement les environnements cloud, tandis que les risques courants sur site concernent les connexions non chiffrées, l’utilisation de logiciels de partage de fichiers et les bases de données exposées à Internet. Il s’agit donc d’être conscient de tous les risques lors de la migration de données sensibles vers le cloud, prévient l’unité 42. De fait, les attaquants ciblent de plus en plus les produits de partage de fichiers.

Victimes d’opportunité plutôt que d’attaques ciblées

Une présentation de Palo Alto Networks lors de Black Hat 2023 a en outre démontré les connaissances croissantes des attaquants en matière de cloud. Par ailleurs, une étude de six mois réalisée par Orca Security a révélé que les attaquants peuvent trouver les actifs exposés à des vitesses alarmantes.

De même, les chercheurs de Palo Alto Networks ont découvert que les attaquants d’aujourd’hui peuvent « analyser l’intégralité de l’espace d’adressage IPv4 à la recherche de cibles vulnérables en quelques minutes »…

« Les expositions sur des actifs accessibles au public les exposent au risque d’être compromis, ce qui conduit parfois les organisations à devenir des victimes d’opportunité plutôt que d’attaques ciblées », indique encore le rapport de l’Unité 42.

Trop d’EOL dans le cloud

L’utilisation continue des logiciels EOL constitue l’une des plus grandes préoccupations, malgré les efforts continus du secteur pour retirer les systèmes existants et les cyber-assureurs qui l’exigent dans le cadre de leurs polices. Le rapport a déterminé que près de 95 % des systèmes logiciels EOL exposés sur l’Internet public se trouvaient dans des environnements cloud.

« Cela suggère que les organisations pourraient être plus lentes à retirer les systèmes obsolètes qui sont accessibles au public dans les environnements cloud que ceux sur site, indique le rapport. De même, il est comparativement plus facile pour les développeurs de créer et de déployer de grands volumes de nouveaux services avec des logiciels considérablement obsolètes dans le cloud… »

Le manque de visibilité conduit à des attaques

Le rapport met également l’accent sur le fait que l’infrastructure informatique basée sur le cloud est en constante évolution. « En moyenne, plus de 20 % des services cloud accessibles en externe changent chaque mois dans les 250 organisations. Sans visibilité continue, il est facile de perdre la trace des erreurs de configuration accidentelles et de leur propagation constante. »

Ce manque de connaissance serait la cause première des attaques. « Il est difficile pour les organisations de comprendre combien de serveurs elles ont en ligne et combien de routeurs elles possèdent ou même d’avoir confiance dans les chiffres qu’elles fournissent. »

Il y a vingt ans, les gens étaient le problème. Aujourd’hui, les gens ne sont plus le maillon faible des organisations ; ce sont, désormais, les systèmes informatiques, l’informatique sur Internet.