72 % des organisations ont au moins un bucket Amazon S3 qui permet un accès public en lecture, et 70 % ont un serveur API Kubernetes qui est accessible au public, selon un rapport d'Orca Security

Le cloud public a été largement adopté par des organisations de toutes tailles, mais un nouveau rapport d'Orca Security révèle des lacunes alarmantes en matière de sécurité.

Parmi les principales conclusions, 72 % des organisations ont au moins un seau Amazon S3 qui permet un accès public en lecture, et 70 % ont un serveur API Kubernetes qui est accessible au public.

En outre, 36 % ont des données sensibles non cryptées, y compris des secrets et des informations personnelles, sur leurs ressources de cloud computing.

Compilé par Orca Research Pod, le rapport comprend les principales conclusions de l'analyse de la charge de travail et des données de configuration du cloud capturées à partir de milliards de ressources de cloud sur AWS, Azure et Google Cloud scannées par la plateforme de sécurité du cloud d'Orca du 1er janvier au 1er juillet 2022.

Une autre constatation importante est que le chemin d'attaque moyen n'est qu'à trois pas d'un actif de valeur, ce qui signifie qu'un attaquant n'a besoin que de trouver trois faiblesses connectées et exploitables dans un environnement cloud pour voler des données ou demander une rançon à une organisation.

Nom : orca-security_1620843954105.png Affichages : 781 Taille : 129,8 Ko

"La sécurité du cloud public ne dépend pas seulement des plateformes de cloud qui fournissent une infrastructure de cloud sûre, mais aussi de l'état des charges de travail, des configurations et des identités d'une entreprise dans le cloud", déclare Avi Shua, PDG et cofondateur d'Orca Security. "Notre dernier rapport sur l'état de la sécurité du cloud public révèle qu'il y a encore beaucoup à faire dans ce domaine, qu'il s'agisse de vulnérabilités non corrigées, d'identités trop permissives ou d'actifs de stockage laissés grand ouverts. Il est important de se rappeler, cependant, que les organisations ne peuvent jamais résoudre tous les risques dans leur environnement. Elles ne disposent tout simplement pas de la main-d'œuvre nécessaire pour le faire. Au lieu de cela, les organisations doivent travailler de manière stratégique et s'assurer que les risques qui mettent en danger les actifs les plus critiques de l'organisation sont toujours traités en premier."

De nombreuses mesures de sécurité de base, telles que l'authentification multifactorielle, les autorisations à moindre privilège, le cryptage, les mots de passe forts et la sécurité des ports, ne sont toujours pas appliquées de manière cohérente. Par exemple, 42 % des personnes interrogées ont accordé des autorisations administratives à plus de 50 % des utilisateurs de l'entreprise, 71 % utilisent le compte de service par défaut dans Google Cloud, et 7 % ont des actifs négligés orientés vers l'Internet - comme un système d'exploitation non pris en charge ou des systèmes non corrigés depuis plus de 180 jours - avec des ports ouverts. Étant donné que 78 % des chemins d'attaque identifiés utilisent des vulnérabilités connues (CVE) comme vecteur d'attaque d'accès initial, la nécessité de donner la priorité à la correction des vulnérabilités est vitale.

Source : Orca Security

Et vous ?

Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre organisation ?

Voir aussi :

Plus de 900 000 clusters Kubernetes mal configurés ont été découverts exposés sur Internet à des analyses potentiellement malveillantes, dont 65 % sont situés aux États-Unis, et 14 % en Chine

Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois étapes, selon un rapport d'Orca Security

Plus de 2 000 bases de données stockées dans le cloud se sont avérées sans aucune protection et accessibles à toute personne disposant d'un navigateur, selon Check Point Research