Logiciel malveillant dans le cloud – Un terrain de jeu pour les pirates.

La lutte pour empêcher un logiciel malveillant d’entrer dans un système d’information est un travail constant pour les DSI. Mais à mesure que les entreprises s’enfoncent davantage dans le cloud dans le but de réduire les coûts, d’accéder à une flexibilité et d’obtenir des capacités de traitement à la demande, le paysage des logiciels malveillants dans le cloud a pris une nouvelle dimension – il est devenu sa base arrière, son lieu de distribution et de propagation.

La présence de logiciel malveillant dans le cloud est un phénomène relativement nouveau, mais les cybercriminels ont pris rapidement conscience du fait que ces environnements en ligne sont un vecteur parfait pour la propagation. Les DSI doivent prendre ce sujet très au sérieux et s’assurer d’avoir pris les mesures adéquates dans le domaine de la détection de ces menaces. Il ne faut plus être pro-actif, il faut maintenant que les entreprises soient prédictives à propos de leurs cybersécurité.

Logiciel malveillant : Une propagation rapide et silencieuse

Les groupes mafieux à l’origine des malware ont commencé à utiliser davantage le cloud et cela pour un certain nombre de raisons. Nous sommes de plus en plus consommateur de services cloud et nous avons tendance à avoir plusieurs comptes, augmentant ainsi notre dépendance à ce mode de consommation. En s’introduisant sur une infrastructure, un malware se répand incroyablement rapidement. Nous l’avons vu avec les épisodes WannaCry et Petrwarp en 2017.

Virlock en est un bon exemple. Il s’agit d’un ransomware qui a fait surface pour la première fois en 2014, et qui a évolué pour se répandre à travers les outils de partage de fichiers dans le cloud. Tout ce qu’il faut pour commencer une nouvelle chaîne d’infection est un fichier infecté dans un dossier partagé qui est synchronisé entre deux ordinateurs. Lorsque quelqu’un utilisateur clique sur ce fichier, l’infection se propage non seulement dans le dossier partagé, mais aussi dans tous les fichiers du nouvel ordinateur. Il se multiplie ainsi de façon exponentielle et se répandra davantage à travers tous les fichiers partagés d’autres utilisateurs.

Le Shadow IT, un terrain de jeu pour les malware.

Localiser et contenir les logiciels malveillants potentiels est un défi parce qu’il est très probable qu’une organisation utilise beaucoup plus de services dans le cloud qu’elle ne le pense, c’est ce que l’on appelle le Shadow IT. Il existe, en effet, deux types d’utilisation du cloud. Le premier est celui des services formels et centralisés qui sont mis en place et gérés par l’équipe informatique interne de l’entreprise. Pensez à la comptabilité, aux ressources humaines, au CRM et à d’autres services de gestion organisationnelle.

Ensuite, il y a les outils dans le Cloud que les gens recherchent pour eux-mêmes et qu’ils utilisent parce qu’ils aident à accomplir le travail – ce que l’on appelle le Shadow IT. Beaucoup d’entre eux – très probablement la plupart – n’auront pas été détectés par l’équipe informatique. Généralement, les DSI estiment qu’il y a 30 ou 40 applications cloud en cours d’utilisation au sein de leur organisation – en réalité, c’est plus près de 1 000. En filtrant les paquets TCP/IP du réseau de l’entreprise, une vérification fournira une visibilité sur ce qui est utilisé et par qui, mais cela ne fait qu’exposer l’ampleur du problème à traiter.

Confiance – et besoin de sensibilisation

L’une des raisons pour lesquelles les malware dans le cloud sont dangereux est que les utilisateurs ont tendance à avoir une confiance implicite très élevée dans les fichiers qui apparaissent dans les partages de fichiers approuvés par l’entreprise – ainsi que dans les fichiers qui sont attachés aux enregistrements dans le système CRM. L’hypothèse est qu’ils doivent être en sécurité. Chaque fois qu’un fichier est téléchargé, le contexte et l’origine du fichier sont souvent perdus. Il est supposé que le fichier doit avoir été téléchargé par quelqu’un de l’entreprise.

L’éducation et la sensibilisation à la sécurité doivent être un combat de tous les jours dans le but  d’expliquer aux utilisateurs ce qu’est la menace des malware dans le Cloud. Des services comme Dropbox et Google Drive restent des cibles privilégiés des hackers de la même manière que les pièces jointes présentes dans des emails reçus d’expéditeurs inconnus.

Bloquer les voies d’accès à l’infection

Les entreprises ont besoin de prendre le contrôle, afin de sécuriser leur infrastructure. Bien sûr, la façon la plus simple de le faire est de bloquer l’utilisation de telles applications, mais, en réalité, l’équipe informatique ne gagnera pas à bloquer purement et simplement les applications. Au mieux ils auront le mécontentement des équipes, au pire ils bloqueront la productivité des collaborateurs. Ainsi, le Saint-Graal dans cette situation est de trouver un moyen de protéger l’organisation contre les logiciels malveillants dans le cloud, tout en permettant aux collaborateurs de continuer à utiliser les applications dont ils ont besoin.

Plutôt que de bannir simplement les applications, les organisations peuvent catégoriser les comportements au sein de ces services et supprimer la capacité d’effectuer des actions risquées. Par exemple, il peut être prudent de supprimer la possibilité de joindre des fichiers aux applications de messagerie Web, ou de limiter l’accès aux documents dans les applications de partage de fichiers.

Mais inévitablement, ces mouvements restreindront la productivité. Si un utilisateur ne peut pas télécharger un fichier à partir d’une application de partage de fichiers, peut-il faire ce dont il a besoin ? Ce qu’il faut vraiment, c’est une approche beaucoup plus granulaire, qui permet un accès complet aux services cloud de la manière dont les gens le souhaitent.

Le data leak prevention serait-il la solution ?

Lorsque la prévalence des menaces par courriel est devenue évidente, il est devenu pratique courante d’analyser tous les messages et les pièces jointes à la recherche de virus ou de logiciels malveillants. Le même concept peut être appliqué aux applications web. L’analyse de tous les téléchargements réduira le risque, tout comme l’application de la prévention des pertes de données (DLP), qui scanne généralement tous les téléchargements à la recherche de mots-clés ou de phrases et bloque tout ce qui ressemble de façon suspecte à des données confidentielles, commercialement sensibles ou autres que l’organisation souhaite garder privées est partagé.

Un bon moment pour prendre des mesures

Les logiciels malveillants dans le cloud constituent une menace réelle aujourd’hui, et cette menace ne cesse de croître. De plus, l’application de la RGPD qui entrera en vigueur en Europe à la fin du mois de mai pourrait entraîner des pénalités beaucoup plus lourdes pour les fuites de données que par le passé. Plutôt que d’attendre que le bâton frappe, les organisations devraient penser à la carotte – permettant à leurs employés d’utiliser les outils sur lesquels ils comptent pour travailler efficacement.

Il n’y a absolument aucun doute que les applications dans le cloud peuvent aider une entreprise à être plus productive. Cela vaut pour les applications à l’échelle de l’organisation sanctionnées formellement par l’équipe informatique et la myriade d’applications que les collaborateurs utilisent eux-mêmes.

 

Logiciel malveillant dans le cloud – Un terrain de jeu pour les pirates.
Notez ce post
Pierre Brévart

DSI d'un grand groupe automobile Français j'ai toujours eu à coeur de promouvoir des solutions innovantes, économiques et éco-responsable. Aujourd'hui je partage ma veille publiquement dans ce que j'appelle mon "Labo Digital". Je teste pour vous les dernières innovations en matière de système d'information et de nouvelles technologies.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *