Fuite de données d’entreprise depuis les serveurs S3 de AMAZON

De nos jours, toutes les entreprises ont des données précieuses et capitales qu’elles doivent protéger et chaque structure a des besoins uniques.

Une longue série de violations de données très publiques a montré clairement que les entreprises n’ont pas besoin d’être ciblées par des pirates informatiques sophistiqués pour faire éclater des données privées et sensibles sur les titres des journaux.

 

Des utilisateurs mal formés ou négligents

Votre entreprise n’a pas besoin d’être touchée par un zero-day exploit (exploit jour zéro) pour que sa base de données clients tombe entre les mains de criminels en ligne.
Non, tout ce dont vous avez besoin est pour un membre du personnel imprudent de télécharger vos informations sensibles sur un serveur cloud, et de le laisser accessible à toute personne disposant d’une connexion Internet.
À maintes reprises, nous avons entendu parler d’erreurs commises par des sociétés multinationales, des cabinets de recrutement gouvernementaux, des entreprises de défense et bien d’autres, faisant ainsi l’erreur de laisser des données sur un serveur Amazon S3 non sécurisé.

Je vous conseille donc de lire le Contenu de la formation de vos employés sur la sécurité informatique  afin de ne plus etre un risque pour vous et votre entreprise; croyez moi, c’est important.

Ces problèmes ne sont pas vraiment causés par les fournisseurs de cloud eux-mêmes, mais par les organisations qui les utilisent; ne faisant pas tout ce qui est en leur pouvoir pour s’assurer que le «seau» Web vers lequel ils versent des données a été correctement configuré.

 

Les nouvelles fonctionnalités

Amazon Web Services (AWS) a annoncé cette semaine un certain nombre de nouvelles fonctionnalités pour aider les clients à garder leurs données aussi confidentielles qu’ils le veulent.
Peut-être la nouvelle fonctionnalité la plus évidente est un avertissement visible sur le tableau de bord AWS, indiquant aux administrateurs de serveur si l’un de leurs compartiments a été rendu public et pourrait donc être à l’orgine la fuite de données sur Internet.
L’avertissement est affiché sous la forme d’une « pilule » orange vif:

En visitant l’onglet autorisations d’un compartiment, le conseil d’Amazon est encore plus évident:
« Ce seau a un accès public »
« Vous avez fourni un accès public à ce seau. Nous vous recommandons fortement de n’accorder aucun type d’accès public à votre compartiment S3.  »
L’espoir est clairement que les administrateurs système remarqueront l’avertissement et examineront les droits d’accès à leurs compartiments S3.

Mais Amazon ne s’est pas contenté d’afficher des avertissements orange vif.
Comme Amazon l’explique, vous pouvez désormais exiger que toutes les données placées dans un compartiment soient stockées sous forme cryptée, sans avoir à créer votre propre stratégie pour rejeter les objets non cryptés.
En outre, vous pouvez désormais demander des rapports d’inventaire S3 quotidiens ou hebdomadaires qui incluront des détails sur le statut de chiffrement de toutes les données stockées.

En bref, il devrait être plus difficile qu’avant pour les entreprises de laisser leurs données traîner pour quiconque veut surfer sur Internet, et plus simple d’avoir mis en place une sécurité de base.

Cela doit être une bonne chose pour les entreprises concernées, pour leurs partenaires commerciaux et leurs fournisseurs, et oui pour leurs clients.

 

Je vous recommande aussi APPATAM qui est l’un des meilleurs fournisseurs de services web en CI et à travers le monde.