Le cloud public a t largement adopt par des organisations de toutes tailles, mais un nouveau rapport d’Orca Security rvle des lacunes alarmantes en matire de scurit.
Parmi les principales conclusions, 72 % des organisations ont au moins un seau Amazon S3 qui permet un accs public en lecture, et 70 % ont un serveur API Kubernetes qui est accessible au public.
En outre, 36 % ont des donnes sensibles non cryptes, y compris des secrets et des informations personnelles, sur leurs ressources de cloud computing.
Compil par Orca Research Pod, le rapport comprend les principales conclusions de l’analyse de la charge de travail et des donnes de configuration du cloud captures partir de milliards de ressources de cloud sur AWS, Azure et Google Cloud scannes par la plateforme de scurit du cloud d’Orca du 1er janvier au 1er juillet 2022.
Une autre constatation importante est que le chemin d’attaque moyen n’est qu’ trois pas d’un actif de valeur, ce qui signifie qu’un attaquant n’a besoin que de trouver trois faiblesses connectes et exploitables dans un environnement cloud pour voler des donnes ou demander une ranon une organisation.
« La scurit du cloud public ne dpend pas seulement des plateformes de cloud qui fournissent une infrastructure de cloud sre, mais aussi de l’tat des charges de travail, des configurations et des identits d’une entreprise dans le cloud« , dclare Avi Shua, PDG et cofondateur d’Orca Security. « Notre dernier rapport sur l’tat de la scurit du cloud public rvle qu’il y a encore beaucoup faire dans ce domaine, qu’il s’agisse de vulnrabilits non corriges, d’identits trop permissives ou d’actifs de stockage laisss grand ouverts. Il est important de se rappeler, cependant, que les organisations ne peuvent jamais rsoudre tous les risques dans leur environnement. Elles ne disposent tout simplement pas de la main-d’uvre ncessaire pour le faire. Au lieu de cela, les organisations doivent travailler de manire stratgique et s’assurer que les risques qui mettent en danger les actifs les plus critiques de l’organisation sont toujours traits en premier. »
De nombreuses mesures de scurit de base, telles que l’authentification multifactorielle, les autorisations moindre privilge, le cryptage, les mots de passe forts et la scurit des ports, ne sont toujours pas appliques de manire cohrente. Par exemple, 42 % des personnes interroges ont accord des autorisations administratives plus de 50 % des utilisateurs de l’entreprise, 71 % utilisent le compte de service par dfaut dans Google Cloud, et 7 % ont des actifs ngligs orients vers l’Internet – comme un systme d’exploitation non pris en charge ou des systmes non corrigs depuis plus de 180 jours – avec des ports ouverts. tant donn que 78 % des chemins d’attaque identifis utilisent des vulnrabilits connues (CVE) comme vecteur d’attaque d’accs initial, la ncessit de donner la priorit la correction des vulnrabilits est vitale.
Source : Orca Security
Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu’en est-il au sein de votre organisation ?
Voir aussi :