J’entends souvent les dirigeants d’entreprise me dire « mon entreprise ne risque pas grand-chose face aux cyberattaques, car toutes mes données et celles de mes collaborateurs sont stockées dans un Cloud ».
Avec l’idée subjacente que les entreprises fournissant un service de stockage de données ont tout prévu pour ne pas être attaquées et sauvegarder vos données…
Et si le danger ne provenait pas du Cloud, mais de vous et de vos collaborateurs ?
Pour mener leurs attaques, les cybercriminels exploitent des informations d’identification volées et des accès mal sécurisés pour dérober des données clients sensibles.
! Identifiant pris sur d’autres comptes clients ou directement dans votre environnement.
Les attaques réussies contre les sociétés de stockage de données démontrent que les attaquants sont capables de cibler une entreprise depuis l’extérieur de son réseau, en utilisant des informations d’identification volées – et cela sans que l’entreprise ne se rende compte qu’elle a été compromise.
Pour vaincre les cyberattaquants de plus en plus sophistiqués, la détection en temps réel des ressources infectées par une cyberattaque à l’intérieur du périmètre de l’entreprise ou dans le cloud est essentielle.
Lorsque nous les déplaçons vers le cloud, la localisation de l’application et des données deviennent plus nébuleuses et laissent place à de nombreux angles morts.
Les communications vers et au sein des services cloud contiennent en effet du contenu sensible et de grandes valeurs. Si la communication est compromise, les murs virtuels qui protègent le périmètre du cloud et celui de l’entreprise s’effondrent.
Les clés volées peuvent être utilisées de n’importe où, ce qui permet à l’assaillant de contourner les protections et d’agir sans frein dans l’environnement cloud.
Il n’est ainsi pas détecté et peut « faire son marché » non-seulement dans l’environnement cloud, mais par rebond aussi dans l’entreprise elle-même. Le propriétaire des données n’en saura probablement jamais rien.
Il n’y a pas de défense parfaite. Mais ce qui échappe à la plupart des entreprises, c’est quand les attaquants sont déjà à l’intérieur du réseau. Ils se cachent en se mêlant au trafic normal des utilisateurs.
Avec la mise en œuvre du RGPD, le Règlement Général sur la Protection des Données, les entreprises doivent entreprendre un examen rigoureux de leur patrimoine qu’il soit dans leur infrastructure interne ou dans le cloud. Cet examen inclut l’identification de leur exposition aux menaces actuelles et futures, ainsi que ce que leurs fournisseurs de cloud mettent en place pour les combattre et identifier en temps réel les machines potentiellement infectées.
Oui, mais mes données sont sauvegardées et donc je peux les récupérer 24h plus tard !
C’est vrai, mais les attaques peuvent aussi permettre aux Cybercriminels de récupérer des informations capitales
- Sur vous, et vous, faire prendre le risque de fraudes très importantes, comme l’arnaque au président (toujours très présente et très sophistiquée)
- Sur vos clients ( CB, RIB, localisation, etc.) et là la loi RGPD vous met devant vos responsabilités et vous risquez la perte de confiance de vos clients et de fortes amendes.
Quelles sont mes solutions alors ?
Le minimum vital passe par des audits d’intrusion que l’on appelle des PENTEST, il en existe plusieurs sortes, elles sont rapides, pas si onéreuse que cela et surtout vitales :
- Pentest externe « flash »: Cet audit dure environ 3 jours. Le Pentesteur ( un Hacker Ethique ou un consultant en Cybersécurité) va se mettre dans la peau d’un Hacker et de l’extérieur, va tenter d’attaquer votre site ou application par tous les moyens.
- Pentest internes : cet audit permet d’expertiser la sécurité du Système d’Information dans un scénario de compromission interne. Cet audit simule le cas d’un personnel de l’entreprise malveillant ou d’un attaquant ayant pu accéder au réseau interne de l’entreprise soit physiquement soit par pivot suite à une attaque externe réussie.
Chaque audit permet de connaître son niveau de risque, les stratégies de correction et montre votre bonne foi et votre volonté de protéger vos données, en cas de plainte suite à une attaque.
Vous pouvez retrouver nos offres de services dans le KIT de survie des dirigeants mises en place par le Cabinet VAUBAN et les experts de la plateforme www.vigie.online