Le SaaS (« Software as a Service » ou en français : « logiciel en tant que service ») a supplanté l’informatique traditionnelle, et les identités Cloud constituent aujourd’hui le nouveau périmètre de sécurité. Or, plus le nombre d’utilisateurs dans le Cloud est élevé, plus la surface d’attaque de son entreprise et sa vulnérabilité aux incidents de sécurité sont importantes. À mesure que l’entreprise s’appuie sur le SaaS, sa position sur le Cloud public se développe et le paysage de la menace évolue.

Les identifiants de connexion accessibles pour les comptes SaaS et IaaS (Infrastructure as a Service) critiques, les identités d’utilisateurs du Cloud disposant d’un trop grand nombre de privilèges et les comptes administrateur en « Shadow IT » constituent autant de points d’entrée potentiels pour les attaques qui mettent en péril les données sensibles.

Une entreprise dans l’ère du temps adopte, au gré de son évolution et de la croissance de ses activités, toujours plus de services dans le Cloud. Cela nécessite de provisionner de nouveaux utilisateurs et administrateurs en fonction des arrivées et des départs des employés dans l’entreprise, et d’augmenter les privilèges des employés qui assument de nouvelles fonctions. À mesure que l’on partage et stocke un nombre toujours plus important d’informations dans le Cloud, le risque se multiplie donc de façon exponentielle. De plus, l’instabilité de ces points d’exposition a tendance à accroître les risques de prise de contrôle de comptes et de fuite de données.

Heureusement, il est possible de créer un périmètre Cloud sécurisé, reposant sur les identités, et réduire la surface d’attaque dans le Cloud en suivant ces six étapes :

1- Diminuer les ressources accessibles au public.

L’employé moyen a accès à plus de 17 millions de documents dès son premier jour de travail. Les services Cloud permettent aux employés de partager ces documents un peu trop facilement, au sein de l’entreprise comme en externe.

Inquiétant n’est-ce pas ? Et bien ce n’est pas tout : dans certains cas, les moteurs de recherche peuvent cataloguer et afficher ces documents dans les résultats de recherche, où ils pourront être consultés par tout utilisateur disposant d’un lien.

Les équipes de sécurité doivent former les utilisateurs à partager des documents avec des utilisateurs spécifiques plutôt qu’avec l’ensemble de l’entreprise. La suppression des informations exposées peut prendre du temps, mais il est nécessaire que les données critiques et sensibles soient conservées au sein de l’entreprise. Il sera également plus facile ainsi de repérer si une atteinte à la sécurité se produit et à quel moment.

 2- Adopter le principe du « moindre privilège ».

Réduire les privilèges d’accès de ses employés afin qu’ils ne puissent accéder qu’aux informations nécessaires à leur travail. De même, les sous-traitants externes ont-ils réellement besoin de disposer d’un accès non contrôlé aux coordonnées des clients dans Salesforce ? Est-il impératif que les stagiaires engagés pour l’été puissent accéder à des documents d’ingénierie sensibles dans Jira ? Peut être que oui. Ou peut-être que non.

Ensuite et pour aller plus loin : supprimer les autorisations inutilisées ou obsolètes appartenant aux anciens employés et sous-traitants. Le moindre privilège n’est pas seulement une philosophie : c’est une véritable stratégie à même de réduire la surface d’attaque en minimisant les possibilités de prise de contrôle de comptes et de perte de données.

3- Activer l’authentification multifacteur (MFA) pour tous les services SaaS et Cloud critiques.

L’authentification multifacteur (qu’elle repose sur la biométrie, les TOTP, les SMS ou les e-mails) constitue la première ligne de défense dans le Cloud. Elle donne l’assurance que des mots de passe dérobés ne peuvent, à eux seuls, permettre à des cybercriminels d’accéder aux données critiques de l’entreprise. Ensuite, identifier et consolider ses ressources stratégiques au sein d’applications Cloud approuvées par le service informatique et dont la prise en charge MFA, les contrôles de sécurité des PII (Personal Identifiable Information), la conformité SOC-2 et la prise en charge du chiffrement ont été vérifiés.

4- Supprimer les redondances.

Pour maintenir de bonnes règles de sécurité et un haut degré de vigilance en matière de configuration, examiner et éliminer en permanence toutes les redondances. Lorsque des rôles redondants s’insinuent sur le réseau, ils peuvent accorder aux utilisateurs des autorisations trop larges, augmenter les risques d’erreurs et, en fin de compte, d’incidents de sécurité. À cause des redondances, il peut arriver que des règles anciennes et inappropriées ou des privilèges mal configurés (qui ont été déployés de manière incorrecte ou qui n’ont pas été désactivés) remplacent ou annulent ceux que l’on avait prévu de déployer…

5- Isoler les comptes des administrateurs.

Les administrateurs SaaS et IaaS nécessitent une attention particulière, car leurs droits d’accès et leurs privilèges sont susceptibles d’exposer l’entreprise à des risques. Il est donc important, tout d’abord, d’instaurer des mesures de contrôle sur les administrateurs SaaS et IaaS pour les empêcher d’abuser de leurs droits. Puis de fournir aux utilisateurs privilégiés des comptes distincts pour leurs différents rôles : administrateur et simple utilisateur. De cette façon, les comptes des utilisateurs administrateurs seront moins sujets aux attaques de phishing et autres menaces.

Autre bonne pratique :  Identifier tous les administrateurs cachés, à savoir les utilisateurs non privilégiés qui conservent un contrôle de niveau administrateur sur son environnement Cloud sans l’intervention du service informatique, quelles qu’en soient les raisons (erreur de configuration ou malveillance). Le redimensionnement des privilèges empêchera les administrateurs cachés de causer des dommages à l’ensemble du système sur les comptes Cloud et peut également diminuer le risque d’exfiltration de données.

6- Appliquer les processus relatifs au départ d’employés.

Chaque fois qu’un employé ou qu’un sous-traitant quitte l’entreprise, il est impératif de bien révoquer ses autorisations sur tous les services Cloud gérés en dehors de la solution d’authentification SSO (Single Sign-On). Lors d’une enquête sur les ressources Cloud des entreprises, nous avons été surpris de constater que 3 identités Cloud sur 4 de sous-traitants externes restaient actives après la fin de la collaboration. Aussi les équipes de sécurité doivent-elles régulièrement valider leurs stratégies automatisées pour désactiver les utilisateurs dans leurs IDaaS.

Le travail distribué et l’essor du SaaS ont mis fin aux doutes qui subsistaient quant à la capacité des périmètres et des protocoles de sécurité traditionnels à assurer une défense contre les attaques modernes. Aussi, il est impératif aujourd’hui d’intégrer la sécurisation des identités et des privilèges et accès associés au cœur d’une vraie stratégie de réduction de la surface d’attaque Cloud de son réseau d’entreprise.
___________________

Par Jérôme Soyer, Directeur Avant-Ventes Europe de l’Ouest de Varonis