Avec la délégation de son SI (communément appelée cloud computing), on délègue aussi son exploitation, mais partiellement ! Une partie de sa gestion relève aussi du client, ce qui donne lieu à la récurrence d’une menace (qui existait déjà) : l’erreur de configuration.
Grâce au cloud, de nombreux utilisateurs commettent des erreurs « standardisées » : soit ils ne comprennent pas ce qu’ils font, soit ils ne comprennent pas qu’une partie de la responsabilité leur incombe, soit ils ne réalisent pas les impacts de leurs choix (comme laisser une base de données accessibles directement sur internet).
Les grandes erreurs classiques sont :
- Mauvaise configuration d’un bucket S3 ;
- Exposition de bases de données (MongoDB ou ElasticSearch, les configurations par défaut étant souvent permissives car destinées au développement) ;
- Plus généralement utilisation de configuration par défaut jamais modifiées, comme avec des objets connectés référencés ensuite dans des moteurs de recherche comme Shodan qui n’attendent plus que la connexion avec « password » en mot de passe…
