D’après vpnMentor, il est probable que Microsoft a mal configuré ses propres buckets de stockage Microsoft Azure Blob qui abritaient des données de tiers. C’est comme si l'entreprise avait marqué un but contre son propre camp en faveur de ceux qui cherchent à voler la propriété intellectuelle. vpnMentor a publié la chronologie de ses échanges (ou de l’absence d’échanges) avec Microsoft quand ses chercheurs ont découvert, puis averti, l'entreprise de la mauvaise configuration qu’ils avaient découverte.
Plusieurs sociétés souhaitant nouer un partenariat avec Microsoft ont placé des données dans ce bucket ouvert pour l’occasion par la firme de Redmond. Plus de 100 « pitch decks », des mémorandums d’informations confidentielles et codes sources de 10 à 15 entreprises sont concernés. Les entreprises ont confié à Microsoft leurs propositions et leur propriété intellectuelle dans le l’objectif d’intégrer l'écosystème du CRM Dynamics et, sans le savoir, ces données ont été mises en danger par une mauvaise configuration.
Le modèle de responsabilité partagée
Quant à savoir qui est responsable de ces mauvaises configurations, l'équipe de recherche de vpnMentor a déclaré : « Nous pouvons dire que le modèle de responsabilité partagée implique que la charge de sécuriser correctement les actifs de données revient à l'utilisateur ». Les RSSI devraient approfondir ce concept de « responsabilité partagée », selon lequel le fournisseur du cloud est responsable de la sécurité du cloud, tandis que le client est responsable de la sécurité dans le cloud ». Les RSSI doivent faire comprendre cette idée à tous les acteurs amenés à placer des données dans un environnement de stockage dans le cloud contrôlé de l'extérieur.
Nous constatons très régulièrement que les propriétaires de systèmes de stockage dans le cloud ne parviennent pas à assurer la confidentialité de leurs espaces de stockage. Ils ignorent souvent les multiples niveaux d'accès et les processus et procédures d'authentification mis en place par les fournisseurs de services cloud pour protéger leurs données. Parce que de plus en plus de données d’entreprise résident dans le cloud, que ce soit Azure Blob ou AWS S3, la configuration de l'environnement pour restreindre l'accès aux seules personnes autorisées est un enjeu de base. La mauvaise configuration de Microsoft concernait 63 Go de données, soit 3 800 fichiers, qui avaient été créés en 2016. On pourrait considérer que l’accès à ces données n’a pas de conséquence en 2021, mais le propriétaire de l'information devrait être le seul à en déterminer sa valeur actuelle.
Michael Quinn, CEO d'ActiveCypher (et ancien dirigeant de Microsoft), a déclaré : « Dans le cas présent, il est difficile de dire qui doit être réellement mis en cause. Des consultants externes, des fournisseurs et de plus en plus d’employés ont accès à de vastes volumes de données critiques, et les entreprises se retrouvent devant un défi de taille, celui de créer une chaîne d'approvisionnement de données sécurisée. Ces derniers mois, le réseau/écosystème actuel s'est révélé perméable et potentiellement exposé. Une perte de vue de l'objectif (la protection des données) et le redoublement d'efforts n'a pas donné de meilleurs résultats ». Selon le CEO d'ActiveCypher, la « véritable approche » consiste à assurer la protection des données au niveau du fichier, indépendamment du point de création ou du fait que les données soient au repos, en transit ou externe. « Cette pratique peut enlever toute valeur à des données compromises, même si elles sont exfiltrées », a-t-il ajouté.
Favoriser la gestion de la posture de sécurité cloud (CSPM)
Le rapport « State of Cloud Security Concerns, Challenges and Incidents » de mars 2021, réalisé par AlgoSec en collaboration avec la Cloud Security Alliance, fait remarquer que les mauvaises configurations du stockage dans le cloud ne se limitent pas à l'exposition des données. Il souligne que 26 % des pannes sont liées à un problème de fournisseur de services cloud, tandis que 21 % sont liées à une mauvaise configuration de la sécurité. Le rapport indique également qu'environ 50 % des équipes de sécurité de l'information chargées de la gestion de la sécurité utilisent des outils d'orchestration et de gestion du cloud, 35 % des équipes utilisant des scripts maison et 29 % des processus manuels. Par conséquent, si l'expertise n'est pas disponible en interne, il convient de faire appel à des fournisseurs tiers qui disposent de l'expertise nécessaire pour fournir des services de gestion de la posture de la sécurité cloud (Cloud Security Posture Management, CSPM). On peut s'attendre à ce que ces fournisseurs CSPM surveillent continuellement l'instance du cloud, identifiant et remédiant aux risques à mesure qu’ils se manifestent.
Le nombre et la fréquence des erreurs de configuration pourraient inciter les responsables IT à penser que la commodité d'accès aux données est plus importante que la sécurisation des informations. Ils n'auraient pas tort. Les initiatives de sensibilisation et d'éducation à la sécurité expliquant l’importance de la configuration sécurisée des environnements cloud ne seront pas du temps perdu.