Il n’y a pas si longtemps, l’un des plus grands défis des fournisseurs de cloud consistait à convaincre les entreprises qu’il était sans risque de sortir leurs données de leurs salles de serveurs pour les stocker dans le cloud.

Désormais, l’un des principaux arguments commerciaux du cloud est la capacité d’offrir aux entreprises un accès sécurisé à des services informatiques, avec un paiement en fonction de l’usage réel qu’elles en font. Mais, alors que les organisations de toutes tailles embrassent le cloud et sont un peu moins méfiantes en matière de sécurité des données, peu d’entre elles sont conscientes de la nouvelle génération de menaces insidieuses qui visent les grands fournisseurs de services cloud (Cloud Services Providers, CSP) et leurs utilisateurs.

Des cas très largement médiatisés en 2017 : OneLogin ou encore Verizon

L’année dernière, plusieurs cyberattaques très médiatisées ont ciblé des cloud publics. Pour les mener, les cybercriminels ont exploité des informations d’identification volées et des accès mal sécurisés pour dérober des données clients sensibles. Les attaques réussies contre OneLogin ou Verizon démontrent que les attaquants sont capables de cibler une entreprise depuis l’extérieur de son réseau, en utilisant des informations d’identification volées – et cela sans que l’entreprise ne se rende compte qu’elle a été compromise.

Stocker des informations dans le cloud public suppose ainsi de se fier à 100% aux contrôles de sécurité du fournisseur de cloud. Evidemment, ces derniers prennent très au sérieux la problématique de sécurité du cloud et dépensent des milliards d’euros pour se doter de solides défenses afin de protéger leurs infrastructures et celles de leurs clients.

Néanmoins, ces fournisseurs adoptent généralement des techniques traditionnelles de protection qui ne sont pas forcément adaptées aux problématiques apportées par le cloud. Par ailleurs, pour le client, la sécurité des services cloud est totalement opaque puisque ces services sont, par définition, exécutés sur des ressources IT externalisées.

Ainsi, lorsque les entreprises déplacent une partie de leur parc informatique vers le cloud et utilisent une plate-forme et des infrastructures « as-a-service » – pour du calcul, du stockage, de la sauvegarde – elles font reposer une partie de leur propre sécurité sur les mécanismes déployés par le fournisseur.

Elles sont donc en droit de se poser des questions. Notamment celle de la pertinence d’utiliser la même approche de sécurité pour protéger des cloud que celle utilisées pour sécuriser des réseaux privés ?

La menace cachée et furtive du cloud public

Pour vaincre les cyberattaquants de plus en plus sophistiqués, y compris ceux financés par les États eux-mêmes, la détection en temps réel des ressources infectées par une cyberattaque à l’intérieur du périmètre de l’entreprise ou dans le cloud est essentiel.

Lorsque nous les déplaçons vers le cloud, la localisation de l’application et des données devient plus nébuleuse et laisse place à de nombreux angles morts.

Les communications vers et au sein des services cloud contiennent en effet du contenu sensible et de grande valeur. Si la communication est compromise, les murs virtuels qui protègent le périmètre du cloud et celui de l’entreprise s’effondrent.

Répliquer la sécurité traditionnelle dans les environnements cloud ne suffit pas pour contrer les menaces de plus en plus sophistiquées. Les clés volées peuvent être utilisées de n’importe où, ce qui permet à l’assaillant de contourner les protections et d’agir sans frein dans l’environnement cloud. Il n’est ainsi pas détecté et peut « faire son marché » non-seulement dans l’environnement cloud, mais par rebond aussi dans l’entreprise elle-même. Le propriétaire des données n’en saura probablement jamais rien.

Dans les cas de Verizon et OneLogin, les cybercriminels ont réussi à dérober des données issues de l’infrastructure d’Amazon Web Services (AWS). Ce qui pose deux nouvelles questions claires :

– Tout d’abord, comment le plus grand fournisseur de services cloud du monde a t-il pu être victime de ces cyberattaquants, alors qu’il consacre des ressources considérables à la sécurité ?
– Et deuxièmement, comment ces fuites massives de données peuvent-elles passer inaperçues pendant des mois ?

Comme de nombreux chercheurs le disent, ces attaques peuvent durer très longtemps. Le problème est qu’il est souvent difficile de détecter les machines participant à une attaque. Rares sont les entreprises qui disposent d’outils de détection en temps réel des activités malveillantes.

Une sécurité optimale nécessite de supprimer tous les angles morts

Les services de plate-forme de cloud public représentent une surface d’attaque importante qui est impossible à appréhender de manière exhaustive.

À l’heure actuelle, peu de solutions de sécurité font le lien entre le cloud public et les infrastructures internes des entreprises. Et nous constatons que personne ne prête attention au comportement des cyberattaquants une fois qu’ils ont passé la barrière et établi une activité malveillante au sein de l’entreprise.

L’éducation est primordiale. En effet, les fournisseurs de cloud peuvent fournir des solutions pertinentes, mais ils ont parfois des difficultés à éduquer leurs clients sur la meilleure façon de les utiliser. Pour sortir de cette impasse, Il est essentiel d’améliorer la collaboration entre les fournisseurs de services et les éditeurs.

L’intelligence artificielle à la rescousse

Avec la démocratisation de l’IA, les solutions automatisées de détection et de réponse à incidents gagnent en popularité. Elles permettent aux équipes en charge des opérations de sécurité de rechercher en permanence et en temps réel les comportements des cyberattaquants afin de révéler les premiers indices de compromission.

Il n’y a pas de défense parfaite. Mais ce qui échappe à la plupart des entreprises, c’est quand les attaquants sont déjà à l’intérieur du réseau. Ils se cachent en se mêlant au trafic normal des utilisateurs.

Avec la mise en œuvre du RGPD, le Règlement Général sur la Protection des Données, les entreprises doivent entreprendre un examen rigoureux de leur patrimoine qu’il soit dans leur infrastructure interne ou dans le cloud. Cet examen inclut l’identification de leur exposition aux menaces actuelles et futures, ainsi que ce que leurs fournisseurs de cloud mettent en place pour les combattre et identifier en temps réel les machines potentiellement infectées.

Notre industrie possède les expertises nécessaires pour faire du cloud un endroit virtuel aussi sûr que possible et pour vaincre la majorité des attaquants les plus déterminés. Pour cela, il faut travailler ensemble. Il est essentiel d’identifier, de comprendre et de réagir rapidement aux incidents de sécurité avant qu’ils ne prennent de l’ampleur.

Toutefois, pour en arriver là, nous devons examiner la manière dont nous travaillons ensemble pour mettre au point les meilleurs stratégies et solutions de sécurité possibles. Notamment il faut probablement accepter que les attaques vont se multiplier à l’avenir. L’arrivée du cloud fait énormément croitre la surface d’attaque, et l’attaquant aura davantage de choix pour mener son méfait. Il est donc urgent de disposer de solutions de surveillance, probablement utilisant l’AI, pour détecter en temps réel toute activité laissant penser qu’une machine est infectée et mène une attaque dans l’entreprise.

___________
Christophe Jolly est Directeur France de Vectra AI