Sécurité du cloud : quand la réalité du SaaS rattrape les entreprises

CloudSécurité
Proofpoint sécurité cloud

Du phishing aux accès tiers indésirables, un rapport de Proofpoint met en lumière les risques sécuritaires inhérents à l’exploitation du SaaS en entreprise.

Les faiblesses que ciblent les attaques informatiques résident moins dans les machines que dans la nature humaine.

Proofpoint dresse inlassablement ce constat année après année dans son rapport intitulé « Le facteur humain ».

L’édition 2018 n’y déroge pas. S’en dégage toutefois un autre enseignement, à mettre en parallèle avec une récente étude de Gemalto qui pointait les risques inhérents à l’externalisation : la sécurité que promettent les fournisseurs de services cloud n’est pas toujours au rendez-vous.

En premier lieu au niveau de l’authentification. Qu’elles émanent de bots, de nœuds Tor ou encore d’apps tierces, 24 % des tentatives « suspectes » de connexion ont réussi sur les « centaines de milliers » de comptes SaaS examinés par Proofpoint dans le cadre d’évaluations de risques ont réussi. Environ 1 % des identifiants avaient par ailleurs filtré.

Sur ce même échantillon, environ la moitié des utilisateurs ont connecté des applications et autres composantes tierces. Cette flexibilité n’est pas sans danger, estime Proofpoint, en donnant l’exemple d’un module autorisé, par un jeton OAuth, à synchroniser des e-mails sur un serveur moins sécurisé.

Frappes (in)directes

Outre le fait qu’environ 60 % des utilisateurs n’étaient soumis ni à une politique de mots de passe, ni à une procédure d’authentification forte, ils ont été des milliers à partager des fichiers avec leur compte personnel. De nombreux contenus ont, en parallèle, été partagés à trop large périmètre au sein de l’organisation… voire mis en accès public.

Les attaques informatiques tirent également parti de la légitimité des services cloud, aussi bien pour héberger que pour distribuer des logiciels malveillants. Proofpoint donne l’exemple de SharePoint, utilisé, en 2017, pour envoyer des millions de messages de spam à travers des centaines de campagnes.

G Suite ne manque pas à l’appel. La suite bureautique est pointée du doigt par le biais d’une vulnérabilité – corrigée – dans Google Apps Script permettant de glisser des malware dans des e-mails anodins en apparence.

Les services cloud ne sont pas toujours frappés directement. Ils servent souvent de simple levier de phishing, typiquement dans l’optique de récupérer des identifiants de connexion.

Dans les relevés de Proofpoint, Dropbox a été, et de loin, le principal appât, devant Outlook Web App, Office 365, les logiciels Adobe et Google Drive. Le taux de clics a cependant été nettement supérieur sur des e-mails semblant provenir de DocuSign.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur