Le monde évolue rapidement. Les initiatives de transformation numérique et les nouvelles offres des fournisseurs de services cloud ouvrent la voie à une prolifération d’autorisations basées sur l’identité. Du point de vue d’un attaquant, chaque identité dans le cloud est une occasion à saisir et un premier pas vers les actifs les plus précieux d’une entreprise.
Aujourd’hui, les entreprises ont plus que jamais besoin d’outils de sécurité cloud alimentés par l’intelligence artificielle (IA), qui permettent d’assurer une surveillance continue des accès, et de détecter et supprimer les autorisations excessives, susceptibles de vulnérabiliser les organisations. Combinés à une approche « zero trust », ces services peuvent ainsi réduire les risques et améliorer la visibilité des équipes informatiques dans leurs environnements cloud. Pour ce faire, elles s’appuient sur le principe du moindre privilège – qui consiste à ne pas octroyer aux utilisateurs d’une entreprise des accès au-delà de ceux nécessaires à la réalisation de leur mission.
L’accès à moindre privilège, un pilier de l’approche « zero trust »
En environnement cloud, toute identité, qu’il s’agisse d’une personne, d’une machine ou d’une application, peut être configurée avec des autorisations IAM (gestion des identités et des accès) afin d’accéder à des systèmes et services contenant des informations sensibles. Les identités sont classées par utilisateur, groupe ou rôle. Ensuite, des autorisations leur sont attribuées en fonction des tâches spécifiques à accomplir. Cependant, nombre de ces identités sont involontairement configurées et assorties d’autorisations qui leur donnent accès à des ressources qu’elles n’utilisent pas ou dont elles n’ont pas besoin.
Ces autorisations excessives constituent un défi majeur pour les organisations qui évoluent vers des cadres de sécurité « zero trust », en vertu desquels toute identité tentant d’accéder aux ressources de l’entreprise doit être vérifiée, et son accès limité de manière judicieuse. Une récente enquête ESG, commanditée par plusieurs fournisseurs de technologies, indique que les comptes et les rôles soumis à des autorisations excessives constituaient la principale erreur de configuration des services de cloud. Cela n’a bien sûr pas échappé aux cybercriminels qui en ont fait leur principal vecteur d’attaque contre les applications dans le cloud (cf. eBook ESG, « Trends in IAM: Cloud-driven Identities », octobre 2020).
La compromission d’une identité bénéficiant de privilèges trop élevés, permet à attaquant de se déplacer latéralement dans l’ensemble d’une organisation ou d’augmenter les privilèges, pour dérober des données hébergées dans le cloud, perturber des applications critiques ou encore prendre le contrôle d’un compte et le mettre hors ligne. Pour relever ce défi, le principe du moindre privilège et l’approche « zero trust » se sont révélés efficaces pour la gestion et la protection des environnements cloud des organisations.
Les violations de données et le lien avec les identités dans le cloud
Tandis que les entreprises migrent leurs actifs les plus précieux vers le cloud, les criminels concentrent leurs efforts sur les identités dans le cloud. Le dernier rapport Verizon sur les atteintes à la protection des données 2020 (DBIR), rapporte qu’en 2019, un quart des violations de données concernaient les actifs dans le cloud. Si les attaquants ciblent de nouveaux environnements, ils ont cependant recours aux bonnes vieilles tactiques. Les identités individuelles restent le maillon le plus faible dans la plupart des organisations, le vol d’identifiants étant pratiqué dans 77 % des cyberattaques du cloud, selon la même étude.
Ces tendances renforcent les arguments en faveur d’un accès à moindre privilège en environnements cloud. Dans ce modèle, les organisations se protègent en effet de manière proactive contre les menaces internes – tant accidentelles que malveillantes – tout en limitant considérablement les dégâts potentiels causés par les attaques externes. Si une identité configurée selon le principe du moindre privilège est compromise, les cybercriminels ne pourront alors pas accéder immédiatement aux ressources qui ne lui incombent pas. Leurs mouvements sont ainsi limités et les ressources ciblées sont, quant à elles, protégées.
En outre, la configuration adéquate des privilèges et des autorisations, dans ces environnements, est complexe ; les rôles IAM correspondant à certains services d’application requièrent parfois de nombreuses autorisations visant à limiter les éventuelles frictions entre les développeurs. Il est possible d’identifier ces autorisations excessives et de les limiter au moindre privilège nécessaire au bon fonctionnement de ce service. Or, certaines organisations négligent les autorisations obsolètes, notamment en ne retirant pas aux développeurs leurs accès à la fin d’un projet. Les deux cas de figure présentent des risques, car une identité compromise permet d’augmenter les chances d’un hacker de se déplacer latéralement et insidieusement dans les systèmes, d’augmenter ses privilèges et donc d’atteindre et dérober des données critiques. C’est pourquoi le déploiement du moindre privilège est essentiel pour dissuader toute attaque interne ou externe, et réduire ainsi les risques. De plus, l’adoption de services de cloud public, d’applications SaaS et d’accès à distance a fait disparaître le périmètre du réseau traditionnel. Il en résulte que l’identité constitue le nouveau « périmètre ». À mesure que les modèles modernes de type « zero trust » s’imposent, l’authentification et l’autorisation de toutes les identités revêtent une importance capitale.
Multiplication des services cloud = plus de risques de mauvaises configurations
Les principales plateformes IaaS (Infrastructure as a Service) – Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) – se livrent une guerre des fonctionnalités. Ces fournisseurs lancent régulièrement de nouveaux services pour se démarquer des autres plateformes. Ce rythme effréné d’innovations stimule la productivité des entreprises, car des outils puissants répondant à des besoins précis comme la diffusion de données en continu, les réseaux blockchain et l’analyse de l’internet des objets (IoT) sont plus accessibles que jamais.
Or, cette accessibilité a un coût. Dans la course à l’adoption de nouvelles fonctionnalités ou à l’expansion de leur utilisation, les erreurs de configuration des systèmes, des actifs et des outils dans le cloud sont monnaie courante. Le personnel technique qui configure les tout nouveaux services manque parfois d’expérience en matière de déploiement et peut mettre en œuvre des restrictions de sécurité incomplètes. Une simple erreur de configuration peut rapidement se transformer en une importante faille de sécurité. Selon le rapport 2020 d’IBM sur le coût d’une violation de données, les attaquants ont exploité des erreurs de configuration dans le cloud dans près de 20 % des cas.
Bien que la sécurité du cloud relève d’une responsabilité partagée entre les fournisseurs et les entreprises, ce sont ces dernières qui sont responsables, en dernier ressort, d’opérer les choix de configuration appropriés, pour protéger leurs données. Les modèles de moindre privilège mettent l’accent sur la gestion des autorisations et permettent d’identifier les éventuelles erreurs de configuration et de restreindre l’accès non autorisé aux services spécialisés.
Les fournisseurs de services cloud, l’industrie et les cadres réglementaires recommandent le moindre privilège
Conscients des dangers que représentent des identités dotées d’autorisations excessives et de la difficulté de configurer en toute sécurité des plateformes dynamiques telles que AWS, Azure et GCP préconisent tous l’accès à moindre privilège comme une bonne pratique de sécurité. Les orientations d’AWS sont à cet égard particulièrement claires : « Commencez avec un minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d’essayer de les restreindre plus tard. »
Les consortiums de sécurité agnostiques aux plateformes, comme la Cloud Control Matrix de la Cloud Security Alliance, soulignent également l’importance d’évaluer en permanence le moindre privilège, en précisant que « l’accès doit être autorisé et revalidé en fonction de la pertinence du droit – en adhérant à la règle du moindre privilège ».
Dans certains cas, les organisations pourraient même se voir infliger des sanctions réglementaires, si elles sont victimes d’une violation pour avoir omis d’instaurer le moindre privilège. Les réglementations du secteur financier telles que la conformité aux normes MAS TRM, SWIFT et PCI DSS soulignent, par ailleurs, l’importance du moindre privilège dans tous les environnements IT, y compris dans le cloud public.
Si le principe du moindre privilège est aujourd’hui reconnu comme une bonne pratique de sécurité, cela ne doit toutefois pas se faire au détriment de la productivité de l’utilisateur final, ni surcharger les équipes IT. Son application efficace doit allier un juste dosage de pratiques de gestion des accès à privilèges à des contrôles souples visant à concilier les exigences de sécurité et de conformité avec les besoins opérationnels et ceux des utilisateurs finaux. En s’appuyant sur un service basé sur l’intelligence artificielle les équipes IT seront ainsi en mesure d’identifier plus rapidement toute autorisation cachée, mal configurée et inutilisée attribuée aux identités d’entreprise dans le cloud. Grâce à cela la sécurité sera renforcée en reposant sur une approche cohérente du moindre privilège dans le cloud. Les organisations pourront ainsi reprendre le contrôle de leur sécurité dans le cloud et se prémunir contre les menaces internes et externes.
En 2021, l’identité doit être au cœur des priorités.
___________________
Par Jean-Christophe Vitu, VP Solutions Engineers EMEA chez CyberArk