Dans un rapport de recherche, Qualys examine les menaces de sécurité les plus sérieuses dans le cloud et a découvert que les organisations laissent ouvertes leurs propres fenêtres par des configurations incorrectes.
Il est clair que la sécurité du cloud n’est pas facile, comme l’ont déjà démontré de nombreuses études. Les organisations semblent encore avoir du mal à sécuriser leurs applications dans le cloud public. Dans le cloud, la sécurité est considérée comme une responsabilité partagée : les fournisseurs proposent les paramètres nécessaires, mais le client lui-même doit les configurer correctement. Voilà où les choses tournent mal, selon un rapport d’étude de Qualys.
Qualys a effectué une analyse de sécurité sur plus de 50 millions d’applications en cloud hébergées sur AWS, Microsoft Azure ou Google Cloud. Les résultats de l’enquête indiquent qu’en moyenne 50 % des tests de référence CIS échouent chez les trois principaux fournisseurs. Le taux d’échec est le plus faible chez AWS (34 %), encore plus faible chez Azure (57 %) et GCP (37 %).
Fenêtres ouvertes
Les configurations incorrectes augmentent considérablement le risque de fuites de données. Par exemple, la configuration des applications vers l’internet. Cette erreur se produit dans 4 % des applications analysées. Les applications orientées vers l’extérieur ont une adresse IP publique visible par les attaquants.
Selon les chercheurs de Qualys, c’est comme si on laisse ouvert les fenêtres de sa maison ou de sa voiture pour les cambrioleurs. Cela rend vos applications beaucoup plus vulnérables aux logiciels malveillants. Un autre problème est lié à la lenteur avec laquelle les applications sont corrigées ; 70 % des vulnérabilités de Log4Shell, par exemple, peuvent encore être exploitées.
En automatisant le processus de mise à jour, on réduit en moyenne de deux jours le temps nécessaire à la résolution d’une vulnérabilité. Sauf si votre application a atteint la fin de son cycle de vie. Qualys a constaté que les organisations déploient des serveurs web, des bases de données et même des logiciels de sécurité dont le support arrive à échéance dans les 12 mois.
Lisez le rapport de recherche complet de Qualys ici.