Pendant des années, la sécurité a été l’une des principales raisons invoquées pour ne pas déplacer les données sensibles ou les workloads critiques dans le cloud public. La situation a depuis évolué, car l’adoption massive du cloud public a été nécessaire pour soutenir les initiatives de transformation numérique. Mais ces projets de numérisation n’ont pas toujours pris en compte les questions inhérentes de sécurité. Ainsi, le 17 septembre 2019, la société de sécurité vpnMentor a découvert que les données personnelles de la quasi-totalité des quelques 17 millions de citoyens équatoriens – dont 6,7 millions d’enfants – avaient été exposées sur un serveur non sécurisé à Miami.
Équateur avec les conséquences que l’on connait.
Une fuite de données inédite
Cette faille de sécurité majeure illustre que les organisations stockant des données de clients, ou de citoyens, dans le cloud public doivent identifier clairement les responsabilités de chacun en matière de sécurité. La plupart des fournisseurs de services cloud fonctionnent selon un modèle de responsabilité partagée : le fournisseur gère la sécurité jusqu’à un certain point et, au-delà, elle devient la responsabilité des utilisateurs. Les fournisseurs de services de cloud publics prodiguent des conseils clairs sur ce modèle, pour garantir la sécurité et la conformité. Cependant, ces recommandations sont souvent ignorées. Ainsi, le principal avantage que les organisations espèrent tirer de l’utilisation du cloud est la possibilité de se décharger complètement, ou en partie, de la sécurité sur le fournisseur du services. De plus, de nombreuses entreprises confient entièrement la sécurité de leurs workloads dans le cloud au fournisseur, tout en étant conscientes que cela ne leur assurera pas une protection optimale. Ce flou existant autour du partage des responsabilités est très inquiétant : les organisations font finalement preuve d’un excès de confiance en leurs fournisseurs de services cloud pour sécuriser leurs données et ressources critiques.
La nécessité de sécuriser son serveur
Il existe en outre une méconnaissance généralisée quant à l’existence de comptes, de secrets et d’identifiants à privilèges dans les environnements IaaS et PaaS ; ils devraient pourtant être protégés, tout comme ils le sont dans un environnement sur site, dans la mesure où les attaquants cherchent spécifiquement à compromettre ces informations à privilèges pour atteindre efficacement leurs objectifs. Il est préoccupant de constater que si peu d’organisations se dotent de stratégies adéquates pour les protéger, s’exposant de fait à un risque considérable, notamment pour les données de leurs clients.
L’Équateur n’est pas le premier gouvernement à exposer les données de ses citoyens sur un serveur non sécurisé dans le cloud ; et il ne sera probablement pas le dernier. En effet, un serveur similaire d’Elasticsearch a exposé les choix électoraux d’environ 14,3 millions de personnes au Chili, soit près de 80 % de sa population. Alors que de plus en plus d’agences gouvernementales se tournent vers le cloud pour améliorer leur flexibilité et mieux servir leurs citoyens, il est essentiel qu’elles continuent à faire évoluer leur stratégie de sécurité dans le cloud pour se protéger proactivement contre les nouvelles menaces – et renforcer ainsi la confiance des citoyens qui dépendent de leurs services.