Une forme courante de fuite de données est la fuite de données dans le cloud, aussi appelée cloud leak. Une fuite dans le cloud se produit lorsqu'un service de stockage de données dans le cloud, comme S3 d'Amazon Web Service, expose les données sensibles d'un utilisateur à l'Internet.
Quelles sont les spécificités d’un Cloud leak ?
On parle de fuite dans le cloud lorsque des données commerciales sensibles stockées dans une instance privée du cloud sont accidentellement exposées à l'internet. Le cloud fait partie d'internet. La différence est que le cloud offre des zones d'espace privatisées qui peuvent être utilisées pour effectuer des opérations informatiques à l'échelle de l'entreprise. Les ensembles de données d'entreprise, souvent gérés par des sociétés tierces d'analyse de l'information, sont souvent stockés en clair dans le cloud, dans l'espoir que leurs données se trouvent dans l'une de ces zones privées.
Les options de stockage dans le cloud permettent aux utilisateurs d'ouvrir leur stockage à Internet au sens large. Il convient de souligner ici que les buckets S3 sont privés par défaut. Cela signifie que chaque fuite dans le cloud impliquant une instance de stockage Amazon S3 a vu ses autorisations modifiées à un moment donné par un administrateur traitant les données. Lorsque ces autorisations publiques anonymes sont autorisées, la frontière entre le cloud et Internet disparaît. Ces données deviennent alors accessibles à tous, au même titre que votre site web préféré.
Bien qu'AWS sécurise les buckets S3 par défaut, il est crucial que la plupart des utilisateurs vérifient leurs autorisations S3. De plus, un partage de fichiers Azure et un dépôt GitHub mal configuré peuvent s'avérer avoir une mauvaise protection des données, provoquant des fuites de données involontaires.
Comment un Cloud Leak peut-il se produire ?
Le terme "violation de données" désigne l'accès par une personne non autorisée à des informations et données personnelles sensibles stockées sur le cloud. Cela peut se produire dans de nombreuses circonstances différentes, notamment :
- La négligence (comme le fait de laisser un compte connecté dans une zone publique - rendue plus probable par la facilité d'accès à distance via le cloud).
- L’utilisation abusive d'API (interfaces de programmation d'applications) non sécurisées, par des pirates informatiques
- Le partage inconsidéré de fichiers, de mots de passe et d'autres informations de sécurité
- Les erreurs humaines commises par les ingénieurs du cloud, qui réduisent la sécurité des fichiers ou exposent les données.
Qui est concerné par un Cloud leak de sécurité ?
En général, trois parties sont concernées par l'utilisation du cloud :
- Le fournisseur de services cloud
- L'entreprise qui utilise son service
- Les clients de cette entreprise
En cas de violation des données, les parties concernées peuvent être réparties comme suit :
- Le responsable du traitement ou le propriétaire des données
- Le détenteur des données
- La personne concernée
- L’organisation elle-même (propriété intellectuelle ou secrets commerciaux)
Souvent, le propriétaire des données est tenu responsable des violations de données liées à la sécurité du cloud. Toutefois, en fonction des circonstances et des preuves disponibles, le détenteur des données (le service cloud) peut être considéré comme responsable.
Pour éviter toute violation, les propriétaires de données doivent examiner soigneusement les services cloud avant de choisir de stocker des données chez eux. Ils doivent également s'assurer que leurs propres politiques et procédures RGPD sont étanches.
Quels sont les risques d'un Cloud Leak ?
Mais qu'il s'agisse d'un espace Amazon S3, d'un partage de fichiers Azure, d'un dépôt GitHub mal configuré ou d'un serveur vulnérable installé dans le cloud, l'incapacité à garantir la confidentialité du cloud met les données en danger. Une fois l'erreur commise, il devient très difficile pour les organisations de prouver que les données n'ont pas été consultées à un moment donné.
Une fois les données exposées, il est extrêmement difficile de savoir si elles ont été consultées. Cela signifie que les données confidentielles, les secrets commerciaux, le code source, les données clients, les données personnelles et tout autre élément stocké sur les systèmes d'information peuvent être exposés ou utilisés dans le cadre de l'espionnage d'entreprise.
Les exigences en matière de notification des violations pour les fuites de données dans le cloud sont les mêmes, tout comme le risque de dommages à la réputation, financiers, juridiques et réglementaires.
En conclusion, les services cloud offrent de grands avantages par rapport aux services sur site, mais ils comportent de nouveaux risques qui peuvent entraîner des violations de la sécurité par des fuites de données.