Le stockage cloud est à la fois la cible la plus convoitée (les données) et la
source de fuite la plus banale. Cette famille verrouille les données au repos. Le
stockage objet est privé par défaut (aucun bucket public, ACL AllUsers
proscrite) et les snapshots et images ne sont jamais partagés publiquement ;
les sauvegardes sont régulières, chiffrées et leur restauration testée
; le versioning et l'immutabilité (object lock/WORM, MFA delete) protègent
contre la suppression ou le chiffrement par un rançongiciel ; une sauvegarde
hors-ligne de la configuration sert de dernier recours ; et l'effacement
sécurisé avec destruction des clés ferme la fuite à la réallocation des médias.
Les données sensibles sont par ailleurs découvertes et classifiées.
Concrètement, ces exigences parent : la fuite par bucket public ou snapshot partagé, la perte définitive par suppression ou rançongiciel sans versioning ni immutabilité, la sauvegarde inutilisable jamais testée, et la donnée résiduelle récupérable à la réallocation. Des fondamentales (R1) aux renforcées (R2).
Un bucket public ou un snapshot partagé expose ou fait fuiter des données entières.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »stockage objet privé par défaut : aucun bucket accessible publiquement (ACL au groupe AllUsers, politique publique).#
Un bucket public est la fuite de données la plus banale du cloud : des téraoctets ont été exposés par une simple ACL AllUsers. Imposer le privé par défaut, sans accès public, supprime ce risque à la racine : une donnée n'est jamais offerte au monde par un oubli de configuration.
- Preuve attendue
- ACL et politiques de buckets : absence d'accès public (AllUsers).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 5 standards · 1 menace
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.
instantanés (snapshots) et images disque non partagés publiquement.#
Un snapshot ou une image disque partagés publiquement exposent une copie complète des données et secrets qu'ils contiennent. Garder ces artefacts non publics évite cette fuite indirecte, souvent oubliée parce qu'on protège le stockage vivant sans penser à ses copies.
- Preuve attendue
- Aucun instantané/image partagé publiquement.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant crée un instantané ou clone d'un disque, d'une base ou d'une image et le partage vers son compte pour en extraire les données. La fonctionnalité de sauvegarde sert de canal d'exfiltration (ATT&CK T1578.001) ATT&CK T1578.001.
sauvegarde régulière des données et de la configuration, chiffrée, avec test de restauration et rétention documentée.#
Une sauvegarde non testée est une fausse assurance : on découvre qu'elle est inutilisable le jour où on en a besoin. Des sauvegardes régulières, chiffrées, avec test de restauration et rétention documentée, garantissent une reprise réelle après incident, panne ou rançongiciel, pas seulement sur le papier.
- Preuve attendue
- Politique de sauvegarde chiffrée ; preuve de test de restauration daté.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 2 menaces
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619. Données et sauvegardes cloud sont chiffrées ou détruites pour extorsion ou sabotage, en exploitant des droits étendus sur le stockage et les clés. La résilience (sauvegardes immuables hors périmètre) conditionne la survie (ATT&CK T1486 / T1490) ATT&CK T1486 ATT&CK T1485.001 ATT&CK T1490.
versioning du stockage objet activé : conservation des versions pour récupérer après suppression ou écrasement (accidentel ou malveillant, ex. rançongiciel).#
Sans versioning, une suppression ou un écrasement (accidentel ou par rançongiciel) est définitif. Conserver les versions permet de revenir à un état antérieur après une altération malveillante : l'objet chiffré par un ransomware n'efface plus l'original, qui reste récupérable.
- Preuve attendue
- Versioning activé sur les buckets de données critiques.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Données et sauvegardes cloud sont chiffrées ou détruites pour extorsion ou sabotage, en exploitant des droits étendus sur le stockage et les clés. La résilience (sauvegardes immuables hors périmètre) conditionne la survie (ATT&CK T1486 / T1490) ATT&CK T1486 ATT&CK T1485.001 ATT&CK T1490.
sauvegarde hors-ligne de la configuration de l'infrastructure (résilience face à un rançongiciel).#
Un rançongiciel qui atteint l'infrastructure chiffre aussi les sauvegardes en ligne. Une sauvegarde hors-ligne de la configuration, hors de portée du même incident, garantit de pouvoir reconstruire même quand tout le reste est compromis : c'est la copie de dernier recours, isolée par conception.
- Preuve attendue
- Sauvegarde de configuration conservée hors-ligne / immuable.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 1 standard · 1 menace
Données et sauvegardes cloud sont chiffrées ou détruites pour extorsion ou sabotage, en exploitant des droits étendus sur le stockage et les clés. La résilience (sauvegardes immuables hors périmètre) conditionne la survie (ATT&CK T1486 / T1490) ATT&CK T1486 ATT&CK T1485.001 ATT&CK T1490.
effacement sécurisé des données et destruction des clés de chiffrement en fin de contrat ou à la réallocation des ressources.#
À la fin de contrat ou au recyclage d'un média, des données résiduelles peuvent être récupérées par le prochain occupant. L'effacement sécurisé et la destruction des clés de chiffrement rendent ces données définitivement irrécupérables, fermant une fuite au moment souvent négligé de la désallocation.
- Preuve attendue
- Procédure d'effacement sécurisé ; destruction des clés documentée.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 1 menace
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.
découverte et classification des données sensibles stockées dans le cloud ; exposition de ces données identifiée.#
On ne protège pas spécifiquement ce qu'on n'a pas identifié : des données sensibles traînent souvent dans des stockages oubliés. Les découvrir et classifier, et identifier leur exposition, oriente les contrôles (chiffrement, accès) là où l'enjeu est réel, plutôt que de traiter tout le stockage à l'aveugle.
- Preuve attendue
- Cartographie des données sensibles (classification) et de leur exposition.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.
immutabilité des sauvegardes et objets critiques (object lock / WORM, MFA delete) contre la suppression ou le chiffrement malveillant.#
Un rançongiciel moderne cible d'abord les sauvegardes pour empêcher la reprise. L'immutabilité (object lock / WORM, MFA delete) rend les sauvegardes et objets critiques non supprimables et non chiffrables pendant leur rétention : l'attaquant ne peut plus détruire la copie qui permet de tout reconstruire.
- Preuve attendue
- Object lock / WORM activé sur les sauvegardes critiques (résilience rançongiciel).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Données et sauvegardes cloud sont chiffrées ou détruites pour extorsion ou sabotage, en exploitant des droits étendus sur le stockage et les clés. La résilience (sauvegardes immuables hors périmètre) conditionne la survie (ATT&CK T1486 / T1490) ATT&CK T1486 ATT&CK T1485.001 ATT&CK T1490.