Des attaques récentes ont visé au moins 100 bases de données de clients de Snowflake, mettant en évidence d’importantes lacunes en matière de sécurité.
Les attaques se sont principalement concentrées sur les bases de données dépourvues d’authentification multifactorielle (MFA), ce qui les rend vulnérables aux violations.
Snowflake attribue ces incidents au fait que les clients n’ont pas activé le MFA et à la fuite des informations d’identification, plutôt qu’à des vulnérabilités inhérentes ou à des configurations erronées dans les systèmes de Snowflake. L’entreprise n’applique pas le MFA par défaut et n’exige pas de ses clients qu’ils utilisent cette mesure de sécurité, un choix qui a récemment fait l’objet d’un examen minutieux.
L’absence d’application de l’AMF a mis en évidence une faiblesse critique dans les pratiques de sécurité du cloud.
Avec la prévalence croissante des cyber-attaques, l’importance des mesures de sécurité de base telles que le MFA ne peut pas être surestimée.
Alors que de plus en plus d’organisations migrent vers des solutions basées sur le Cloud, la responsabilité de la sécurisation des données devient un fardeau partagé entre le fournisseur de services et le client.
Dans ce cas, l’absence de configurations MFA par défaut a exposé de nombreux clients de Snowflake à des attaques basées sur l’identité, soulignant la nécessité de protocoles de sécurité plus stricts.
Les principes de conception sécurisée de la CISA
L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) explique la nécessité d’intégrer l’AMF dans les services dès leur conception et de l’activer par défaut.
Ce principe est au cœur de l’initiative « secure-by-design » de la CISA, qui a été lancée en avril 2023.
Cette initiative vise à encourager les entreprises technologiques à adopter des pratiques de développement sécurisées.
Depuis son lancement, 140 entreprises se sont engagées à adopter ces pratiques, bien que Snowflake ne se soit pas encore engagé à le faire.
L’initiative de la CISA est un pas en avant vers l’amélioration de la sécurité globale des services technologiques.
En encourageant les entreprises à intégrer la sécurité dans leurs produits dès le départ, la CISA atténue les risques liés aux cybermenaces.
La participation de 140 entreprises témoigne d’un mouvement collectif vers des pratiques de développement plus sûres, mais l’absence d’acteurs clés comme Snowflake indique qu’il reste du travail à faire pour parvenir à une adoption généralisée.
Pourquoi les experts en sécurité critiquent-ils les entreprises pour leurs mauvaises pratiques ?
Chester Wisniewski, directeur et directeur technique mondial de Sophos, n’a pas hésité à dénoncer les lacunes des pratiques actuelles en matière de sécurité.
Il affirme que l’existence même d’engagements en faveur de la sécurité dès la conception met en évidence un problème fondamental : de nombreuses entreprises ne donnent pas intrinsèquement la priorité à la sécurité.
M. Wisniewski affirme que, lorsqu’elles ont le choix, un grand nombre d’organisations privilégient la commodité à la sécurité, ce qui peut entraîner des vulnérabilités évitables.
Il plaide en faveur d’un relèvement des normes minimales de sécurité afin de prévenir de telles failles.
Les critiques de M. Wisniewski rappellent avec force les défis actuels en matière de cybersécurité.
Son point de vue met en évidence un dilemme essentiel : l’équilibre entre la facilité d’utilisation et des mesures de sécurité robustes.
La tendance des organisations à adopter par défaut des configurations moins sûres appelle une approche plus stricte de la sécurité, qui réduit la dépendance à l’égard des choix individuels et met l’accent sur les protections obligatoires.
La réponse de Flocon de neige aux attentats
Snowflake maintient que les récentes attaques résultent du vol d’informations d’identification et de l’absence de MFA, plutôt que de vulnérabilités ou de mauvaises configurations au sein de ses propres systèmes.
La solution MFA de l’entreprise, qui se limite à Cisco Duo, ne permet pas aux administrateurs d’appliquer la MFA pour des rôles spécifiques, laissant aux utilisateurs individuels le soin d’opter pour cette solution.
Cette configuration présente des limites inhérentes, car elle laisse la décision d’activer le MFA à la discrétion des utilisateurs, dont beaucoup n’accordent pas forcément la priorité à la sécurité.
L’approche de Snowflake reflète un défi plus large au sein de l’industrie du cloud : l’équilibre des responsabilités entre le fournisseur et le client.
L’attribution de la cause des attaques au comportement des utilisateurs se prête au modèle de responsabilité partagée, dans lequel les clients sont censés gérer activement leurs configurations de sécurité.
Toutefois, cette position soulève également des questions quant à l’adéquation des mesures de sécurité par défaut fournies par le fournisseur.
Changements à venir dans la sécurité de Snowflake
En réponse à cette pression croissante, Snowflake est en train d’élaborer un plan visant à imposer à ses clients la mise en œuvre de contrôles de sécurité avancés, tels que l’AMF ou les politiques de réseau.
Bien que les détails spécifiques de ces nouvelles exigences soient pour l’instant peu nombreux, cette décision indique une évolution vers des pratiques de sécurité plus strictes.
Les changements à venir constituent une étape clé pour Snowflake, qui cherche à rétablir la confiance et à améliorer la sécurité de sa plateforme.
Le manque de clarté sur les spécificités de ces plans laisse cependant les clients et les observateurs de l’industrie avides de plus d’informations.
L’efficacité de ces nouvelles mesures dépendra en fin de compte de leur mise en œuvre et de leur application, ainsi que de la capacité de l’entreprise à communiquer et à soutenir ces changements auprès de sa base d’utilisateurs.
Ce que pensent les experts en cybersécurité
L’authentification multifactorielle (MFA) est largement considérée comme un contrôle clé pour la protection de l’infrastructure des entreprises.
Elle fournit une couche supplémentaire de sécurité en demandant aux utilisateurs de fournir plusieurs formes de vérification avant d’accéder aux systèmes sensibles.
Malgré son importance, de nombreuses organisations négligent la mise en œuvre de l’AMF, ce qui les rend vulnérables aux violations.
Selon les experts, lorsque les mesures de sécurité sont facultatives, de nombreuses organisations optent pour la commodité plutôt que pour la sécurité, s’exposant ainsi à des risques importants.
L’une des principales raisons de ce comportement est la perception de la complexité et des inconvénients associés à l’AMF.
Les entreprises donnent souvent la priorité à l’efficacité opérationnelle et à l’expérience utilisateur, parfois au détriment de mesures de sécurité solides.
De tels choix peuvent avoir des conséquences catastrophiques, comme en témoignent les nombreuses brèches qui se produisent en raison d’informations d’identification faibles ou volées.
Selon un rapport de Mandiant, en 2023, des identifiants compromis ont été utilisés dans près de 40 % des attaques par ransomware où le vecteur d’accès initial a été identifié, ce qui montre clairement l’importance de l’AMF dans la protection contre les accès non autorisés et souligne la nécessité d’en faire une mesure de sécurité obligatoire.
Le modèle de responsabilité partagée
Le modèle de responsabilité partagée en matière de sécurité du cloud délimite la répartition des tâches de sécurité entre le fournisseur de cloud et le client.
Selon ce modèle, les fournisseurs de cloud sont responsables de la sécurisation de l’infrastructure sous-jacente, tandis que les clients sont responsables de la sécurisation de leurs données et de la gestion de l’accès des utilisateurs.
Bien que pratique, ce modèle conduit souvent à des ambiguïtés quant à la fin des responsabilités du fournisseur et au début de celles du client.
Les experts estiment que les fournisseurs devraient mettre en place des paramètres par défaut sécurisés afin de réduire le risque de mauvaise configuration et d’oubli de la part des clients.
La mise en place de fonctions de sécurité intégrées et activées par défaut peut aider les clients qui ne disposent pas d’une expertise approfondie en matière de sécurité.
Kaustubh Medhe de Cyble souligne que le fait de surcharger les fournisseurs de technologie de responsabilités en matière de sécurité pourrait diluer la responsabilité collective nécessaire à une sécurité efficace du cloud.
Il suggère qu’une approche équilibrée, dans laquelle les fournisseurs proposent des valeurs par défaut sécurisées et les clients gèrent activement la sécurité de leurs données, est cruciale pour maintenir une sécurité robuste dans le cloud.
Comment les fournisseurs de clouds repensent l’AMF
Faire de la sécurité une valeur par défaut
Les évolutions récentes privilégient la sécurité à la commodité, obligeant les utilisateurs à adopter les meilleures pratiques sans avoir besoin de configuration supplémentaire.
Par exemple, certains fournisseurs activent désormais l’AMF par défaut, ce qui réduit la probabilité de brèches dues au vol d’informations d’identification.
Certains fournisseurs de cloud prennent des mesures proactives en sécurisant leurs services par défaut, en particulier dans les scénarios à haut risque.
Charlie Winckless, de Gartner, explique qu’en proposant des défauts sécurisés et en informant les clients sur les risques associés, les fournisseurs peuvent renforcer leur crédibilité et aider les clients à prendre des décisions plus éclairées.
Des normes de sécurité de plus en plus strictes
Les cybermenaces devenant de plus en plus sophistiquées, la demande de normes de sécurité minimales plus élevées se fait de plus en plus pressante. Les clients attendent désormais des fournisseurs de cloud qu’ils proposent des fonctions de sécurité robustes dès le départ, plutôt que des compléments optionnels.
Cette tendance pousse les fournisseurs à innover et à mettre en œuvre des mesures de sécurité plus strictes dans le cadre de leurs offres standard.
L’importance de l’AMF
Les experts soulignent constamment l’importance de l’AMF pour la protection des informations sensibles.
L’ajout d’une couche supplémentaire de sécurité avec l’AMF réduit le risque d’accès non autorisé et aide à prévenir les violations de données.
Malgré son efficacité prouvée, sa mise en œuvre n’est toujours pas universelle, laissant de nombreuses organisations exposées à des menaces potentielles.
Cette lacune dans les pratiques de sécurité souligne la nécessité de faire de l’AMF une exigence standard plutôt qu’une fonction optionnelle.
Le grand débat sur la sécurité du cloud
Le débat sur la responsabilité en matière de sécurité du cloud continue d’évoluer, avec une pression croissante pour des normes de sécurité par défaut plus élevées.
Alors que le secteur s’efforce de trouver un équilibre entre la commodité, la sécurité et le partage des responsabilités, il devient évident que les fournisseurs et les clients doivent s’adapter à l’évolution du paysage. Les fournisseurs doivent proposer des valeurs par défaut sûres et des fonctions de sécurité robustes, tandis que les clients doivent gérer et configurer activement leurs paramètres de sécurité pour protéger efficacement leurs données.
Adoption de pratiques sécurisées dès la conception
L’adoption de pratiques de sécurité dès la conception gagne du terrain, reflétant une évolution plus large vers des mesures de sécurité plus proactives.
L’adoption généralisée de ces pratiques nécessite des efforts concertés de la part des fournisseurs de technologies et de leurs clients.
À mesure qu’un plus grand nombre d’entreprises s’engagent dans ces pratiques, la sécurité globale des services cloud devrait s’améliorer, ouvrant la voie à un environnement numérique plus sûr.