Comment identifier et gérer les insécurités liées au cloud ?
Si les avantages liés au cloud sont nombreux, une mauvaise utilisation ou gestion du cloud peut venir tout gâcher. Parmi les erreurs courantes, le manque de tests de sécurité rigoureux de l’infrastructure cloud est la plus problématique.
Les entreprises doivent impérativement mettre en place des pratiques et des process destinés à évaluer la sécurité des déploiements cloud, non seulement lors de la phase de développement (i.e. DevSecOps), mais également tout au long du déploiement.Au premier abord, le cloud peut sembler relativement sûr : seules 80 CVE liées au cloud ont été publiées par la National Vulnerabilité Database (NVD) au cours du dernier trimestre et il n’existe aucun cas connu de vulnérabilité inhérente au cloud qui ait été exploitée in the wild. S’il est vrai que les infrastructures cloud, prises à part, disposent d’un niveau de sécurité élevé, considérer pour autant comme invulnérable l’environnement cloud d’une entreprise pourrait se révéler être une erreur coûteuse.
Importance des tests de l’infrastructure cloud
Pour que cette démarche soit efficace,
il est important d’intégrer ces process au programme de sécurité globale de
l’entreprise, plutôt que de les traiter de manière isolée, en silo. Si les
mécanismes relatifs à la technologie cloud diffèrent de ceux des appareils
classiques, les objectifs de réduction des risques et de conformité continue
restent les mêmes. C’est pourquoi une approche unifiée est essentielle.
D’autre part, le niveau de vigilance nécessaire ne sera pas le même selon le type de cloud : si les environnements SaaS (software as a service) n’offrent que peu de marge de manœuvre aux entreprises d’un point de vue des contrôles de sécurité, c’est tout l’inverse pour les solutions IaaS (infrastructure as a service). Ces procédures de contrôle sont essentielles pour s’assurer que la configuration des dispositifs cloud est correcte, surtout dans le cas d’une infrastructure IaaS standard, où les erreurs de configuration des contrôles d’accès et de la gestion des clés sont souvent des facteurs d’attaques cloud.
Pour éviter les erreurs de configuration, les entreprises doivent mettre en place un système d’authentification multifacteur strict et faire preuve d’une grande rigueur en matière d’autorisations relatives à la gestion des politiques. Elles doivent savoir où se trouvent chacun des points d’entrée et de sortie et quelles personnes y ont accès, ainsi qu’être en mesure de répondre de manière proactive à tout vecteur d’attaque potentiel tel que les erreurs de configuration.
De plus, il est essentiel que les équipes de sécurité effectuent des tests continus de leur infrastructure cloud en mettant au point un modèle qui intègre la topologie de réseau hybride, les contrôles de sécurité, les ressources sur site et dans le cloud, les vulnérabilités et les renseignements sur la menace. Ce niveau d’informations contextuelles est essentiel pour évaluer correctement la probabilité d’une attaque, l’éventuel chemin d’attaque, et les vecteurs d’attaque possibles. Parvenir à un tel niveau de certitude fait une différence considérable, en particulier dans un environnement aussi hétérogène et au développement aussi rapide que le cloud.
La sécurité doit être au cœur de toutes les nouvelles initiatives cloud
Ce principe de cyber-hygiène peut paraître élémentaire mais les entreprises doivent impérativement savoir où sont leurs points d’accès et toujours garder le contrôle de la situation. Et si, malgré tout, le besoin de mettre en place un système de tests plus poussés se fait sentir, alors pourquoi ces pratiques pleines de bon sens ne sont-elles pas systématiques ?
La première raison est la charge de travail inhérente aux nouvelles initiatives cloud. L’adoption du cloud en entreprise va à une telle vitesse que les équipes de sécurité peuvent se sentir débordées. Chaque nouvelle instance cloud entraîne une fragmentation de l’infrastructure et augmente la taille de la surface d’attaque, ce qui ajoute à la difficulté existante des environnements de sécurité et augmente la pression qui pèse sur les ressources déjà limitées des équipes informatiques.
L’autre raison est le manque d’informations communiquées aux équipes de sécurité quant aux nouvelles initiatives cloud. La sécurité est trop souvent reléguée au second plan lors des phases de planification et de mise en œuvre, en grande partie parce que les équipes de sécurité sont perçues comme un obstacle au changement.
Pour parvenir à rendre les nouvelles initiatives cloud plus sûres, il est impératif que les RSSI et les équipes SI soient impliquées dès les premières phases du projet et aient toujours la visibilité de l’environnement cloud. Lorsque la sécurité est au cœur d’un projet cloud, son succès est garanti, et c’est quelque chose que les équipes de direction doivent bien comprendre. Un changement de perception doit s’opérer afin la sécurité soit enfin considérée comme un moteur d’innovation, plutôt que comme un département qui s’oppose à tout. Pour ce faire, les RSSI doivent se tourner vers une innovation capable d’alléger la pression qui pèse sur les équipes aux ressources limitées et leur permettre de confronter les insécurités liées au cloud.