Les modèles traditionnels de sécurité atteignent leurs limites face à la complexité des environnements cloud. Adopter une posture de sécurité globale, intégrant des mécanismes de détection et de réponse, est désormais indispensable pour contrer les menaces persistantes.

Dans les premiers temps de la sécurité du cloud, comme ce fut le cas dans les premiers temps de la sécurité des endpoints, l’accent a été mis sur la prévention. C’est logique : les mesures préventives sont un moyen essentiel de réduire les risques. Le blocage des menaces connues et des voies d’attaque est un moyen efficace de renforcer la cybersécurité du parc de serveurs d’une entreprise.

Pour de nombreuses organisations, une stratégie de prévention dans le cloud peut sembler tout à fait suffisante pour réduire les risques – et elle l’est dans une certaine mesure. Mais la prévention seule n’est pas suffisante. Pour lutter contre les menaces qui progressent rapidement dans le cloud, la prochaine étape de la maturation de la sécurité du cloud consiste à mettre en œuvre une solution de détection et de réponse robuste et efficace.

Les rendements décroissants d’une stratégie axée uniquement sur la prévention

Bien qu’essentiels, les contrôles préventifs ne peuvent pas, de manière réaliste, traiter toutes les vulnérabilités potentielles. Dans les environnements dynamiques du cloud, les actifs et les charges de travail se mettent en place et s’arrêtent rapidement, n’existant souvent que pendant quelques minutes. Les environnements multi-cloud et hybrides ajoutent encore à la complexité, en introduisant des exigences de sécurité uniques sur des plateformes différentes.

Pour les cybercriminels ciblant les ressources cloud, cette surface d’attaque en constante évolution et souvent poreuse, est riche d’opportunités. Les pirates s’appuient sur l’automatisation pour exploiter des configurations erronées, des autorisations excessives et des informations d’identification compromises, souvent en quelques secondes. L’histoire a montré que même avec des mesures préventives fortes, les attaquants avertis trouvent des moyens d’échapper aux défenses. C’est pourquoi de nombreux responsables de la sécurité commencent à travailler sur la possible présence de failles dans leur système. La prévention est un élément essentiel de la sécurité, mais elle ne suffit pas à elle seule à protéger contre les menaces avancées liées au cloud. Pour réduire véritablement les risques, les équipes de sécurité ont besoin d’avoir les capacités de détection et de réponse qui leur permettent de voir, de comprendre et de neutraliser les menaces dès leur apparition. 

Comprendre l’hypothèse d’une compromission 

En matière de sécurité du cloud, l’état d’esprit est passé de « si » à « quand » une attaque se produira. Dans le cadre de ce changement de posture, les responsables de la sécurité adoptent de plus en plus une approche de type « shield right », c’est-à-dire qu’ils anticipent les menaces qui vont contourner les meilleurs contrôles préventifs, ou qui l’ont déjà fait.

Les RSSI et les analystes de la sécurité doivent en effet toujours partir de l’hypothèse où une compromission est déjà en cours ou va arriver. L’accélération de la fréquence et de la sophistication des attaques signifie qu’une approche uniquement axée sur la prévention ne suffira pas, en particulier face à des acteurs matures disposant de techniques d’évasion de défense avancées.

Pour lutter contre les attaques plus rapides, plus sophistiquées et de plus en plus coûteuses, les organisations résilientes mettent donc en œuvre des fonctions complètes de détection et de réponse afin d’assurer la continuité de leurs activités.

Les risques d’une stratégie axée uniquement sur la prévention

Ne pas mettre en œuvre des capacités de détection et de réaction entraîne des risques opérationnels, financiers et réglementaires élevés. Les conséquences potentielles d’une approche axée uniquement sur la prévention sont les suivantes :

* Perte de données et exfiltration : les cybercriminels peuvent voler de la propriété intellectuelle, des données sur les clients et des informations sensibles, ce qui entraîne des sanctions réglementaires, une perte de clientèle et une atteinte à la réputation.

* Perturbation des opérations : les attaquants déployant des cryptomineurs peuvent dégrader les performances des machines, tandis que les ransomwares peuvent interrompre complètement les opérations. Un temps d’arrêt prolongé peut entraîner des pertes de revenus importantes, en particulier pour les applications en contact avec la clientèle.

* Augmentation des coûts de récupération : plus une menace reste non détectée, plus il est coûteux d’y remédier.

* Sanctions légales : ne pas détecter, répondre et signaler rapidement les fuites peut entraîner de lourdes amendes, en particulier dans le cadre des réglementations telles que RGPD ou DORA qui exigent une divulgation rapide des fuites.

Dépasser la prévention pour adopter une stratégie globale de sécurité du cloud

Les outils de prévention sont un élément essentiel de la stratégie de toute équipe de sécurité. Toutefois, dans le monde actuel axé sur l’informatique dématérialisée, la prévention ne peut à elle seule couvrir toute l’étendue des risques. La complexité et le rythme des environnements du cloud exigent une approche de sécurité à plusieurs niveaux, qui inclut des capacités complètes de détection et de réponse pour sécuriser les charges de travail dynamiques et protéger les données sensibles. Les attaques étant de plus en plus sophistiquées, les entreprises doivent évoluer en phase avec elles.

En adoptant la détection en temps réel, avec des capacités d’investigation et de réponse avancées, les responsables de la sécurité peuvent mieux protéger leurs environnements cloud, réduire l’impact des menaces et maintenir la résilience face à la prochaine vague d’attaques basées sur le cloud. Il est temps pour les RSSI et les responsables de la sécurité d’aller au-delà de la prévention et d’adopter une stratégie de sécurité proactive et stratifiée qui répond aux réalités d’aujourd’hui et anticipe les menaces de demain.
_____________________________

Par Philippe Darley, Directeur de Comptes Entreprises, Sysdig

 

À lire également :

Pourquoi la CDR axée sur l’identité est la clé de la sécurité du Cloud ?

5 conseils pour atténuer les menaces sur son infrastructure…

Pour assurer la sécurité dans le cloud, les entreprises doivent miser tant sur l’humain que sur les outils…

Sysdig lance la seconde génération de sa Cyber-IA : Sysdig Sage