Comment sécuriser le cloud? Voilà l’un des plus complexes challenges auxquels les DSI et RSSI sont aujourd’hui confrontés. Un défi aux multiples facettes pour lequel il existe des solutions tant organisationnelles que techniques.

Avec la nouvelle organisation hybride du travail, nous constatons que les organisations déplacent de plus en plus leur charge de travail vers le cloud. Si cette transformation offre de grands avantages en termes d’agilité et d’évolutivité, elle s’accompagne de risques inhérents et accrus en matière de sécurité et de conformité. Une simple erreur de configuration peut exposer l’ensemble de l’organisation aux cyber criminels. Gartner prévoit que d’ici 2025, 99 % des problèmes de sécurité du cloud relèveront d’une erreur humaine lors de la configuration des actifs et de la sécurité dans le cloud.

Actuellement, les entreprises dépendent de plus en plus de prestataires tiers de services en cloud tels que AWS, Microsoft Azure, IBM et Google Cloud Platform pour gérer leurs données en toute sécurité. Les inquiétudes concernant les erreurs de configuration et autres vulnérabilités dans le cloud se multiplient rapidement. De surcroît, bon nombre de ces sociétés ont dû intensifier leurs initiatives de transformation numérique à un rythme effréné au cours des deux dernières années, engendrant des lacunes en matière de connaissances et de talents ce qui ne fait qu’accroître leurs craintes concernant la sécurité du cloud.

D’après le modèle de responsabilité partagée – un cadre de sécurité conçu pour garantir la responsabilité en cas de données compromises et d’autres incidents potentiels – le fournisseur de cloud offrira une sécurité de base dans le cloud, mais il incombe aux entreprises de sécuriser leurs données. En d’autres termes, si les fournisseurs de cloud veillent à ce que les portes restent fermées et que le périmètre soit bien gardé, il incombe aux entreprises de s’assurer que leurs propres portes sont verrouillées. Ce n’est pas une mince affaire, surtout si l’on considère que ces entreprises comptent désormais sur trois ou quatre plateformes de cloud dans leur stratégie multi-cloud.

Les attaques contre les fournisseurs de services cloud s’intensifient

Comme le souligne notre rapport sur la sécurité 2022, l’année dernière a été marquée par un raz-de-marée d’attaques exploitant des failles dans les services des fournisseurs de cloud leaders du secteur. Pour les cybercriminels impliqués, le véritable objectif était de prendre le contrôle total de l’infrastructure cloud d’une organisation ou, pire, de l’ensemble du parc informatique d’une organisation, y compris son code propriétaire et ses dossiers clients. Inutile de dire que ce genre de situation peut avoir un impact dévastateur sur les entreprises concernées et que celles-ci ont tout à fait raison de s’inquiéter.

Il ne s’agit pas ici que de failles venant d’erreurs de configuration liées à la politique de sécurité d’une organisation, que les cybercriminels pourraient utiliser pour obtenir un accès non autorisé et élever les privilèges. Dans ce cas au moins, l’organisation en question pourrait les repérer et y remédier grâce à des technologies de contrôle de conformité et de posture (CSPM). En plus de cela, l’infrastructure du cloud elle-même peut présenter des vulnérabilités critiques contre lesquelles il peut être beaucoup plus difficile de se prémunir.

La faille OMIGOD, par exemple, a ouvert la voie à l’attaque des services de cloud en 2021. En septembre, quatre vulnérabilités critiques ont été découvertes dans l’agent logiciel Microsoft Azure, lequel permettait aux utilisateurs de gérer les configurations dans des environnements distants et locaux. On estime que 65 % de la base de clients d’Azure a fait l’objet de cet exploit, mettant en danger des milliers d’organisations et des millions de périphériques. Cette faille OMIGOD permettait aux cybercriminels d’exécuter du code arbitraire à distance au sein du réseau d’une organisation et d’obtenir des privilèges root, prenant ainsi le contrôle du réseau. Lors de sa mise à jour de septembre 2021, Microsoft a résolu le problème, mais le correctif automatique est resté inefficace pendant plusieurs jours. D’autres failles ont été exposées dans les services cloud de Microsoft Azure au cours de l’année, dont la vulnérabilité « ChaosDB » qui a permis aux cybercriminels de récupérer plusieurs clés internes pour obtenir des privilèges root qui leur permettraient éventuellement de gérer les bases de données et les comptes des organisations ciblées.

Il existe de fortes chances que les vulnérabilités des fournisseurs de cloud se multiplient en 2022, mais il existe heureusement des éléments que les entreprises peuvent contrôler pour atténuer le risque.

Verrouiller les portes et renforcer la sécurité interne

Pour renforcer la sécurité du cloud, il ne suffit pas de disposer des bons produits et services, encore faut-il instaurer une culture de la sécurité au sein de l’organisation dans son ensemble. Indépendamment de ce que prévoit un accord de service entre une organisation et un fournisseur de cloud, c’est à l’organisation qu’il incombe en définitive de s’assurer que ses données importantes soient protégées.

Avant de déplacer les charges de travail critiques dans le cloud, les entreprises devraient donc s’assurer que les « portes » de leurs applications et de leurs données sont bien verrouillées. Cela signifie que la gestion des identités et des accès doit être réglée avec précision et que l’on doit adopter le principe du « moindre privilège » afin que les données ne soient accessibles qu’aux personnes et aux applications qui en ont absolument besoin. Cela signifie également une meilleure segmentation des réseaux et l’utilisation de pare-feu pour s’assurer que les données sensibles puissent être convenablement cloisonnées et protégées si nécessaire.

La sécurité du cloud est complexe, et avec les environnements multi-clouds, elle se complique davantage. Pensez donc à consolider toute votre sécurité du cloud auprès de tous les fournisseurs de cloud en une seule solution qui surveille toutes les activités malveillantes et réduit la charge de travail en automatisant les tâches courantes comme les mises à jour des politiques. Dans le meilleur des mondes, cela signifierait que la gestion de la sécurité de toutes les applications en cloud serait abordée sous un seul angle, de manière à surveiller de plus près les incidents de sécurité et à concentrer les efforts sur les cas les plus critiques.

La qualité d’une solution de sécurité dans le cloud dépend de l’intelligence qui la sous-tend. II convient alors de s’informer auprès de son fournisseur pour savoir comment il maîtrise les menaces émergentes et de type « zero-day ».

Et enfin, il est utile de mettre en place la sécurité le plus tôt possible dans le développement des applications. Vous ne voulez pas que les contrôles de sécurité ralentissent inutilement vos DevOps et retardent le déploiement des applications, mais vous ne pouvez pas non plus vous permettre de lésiner sur la sécurité. Une approche DevSecOps qui permet d’analyser le code pour déceler les mauvaises configurations ou même les malwares dans le cadre du processus DevOps permettra d’éviter toute vulnérabilité dès le départ.

Le passage au cloud ne va faire que s’accélérer à mesure que les organisations réaliseront ce qu’il apporte en termes d’avantage concurrentiel, d’agilité et de résilience. Il est donc temps d’adopter une approche responsable de la sécurité et de la conformité et de renforcer la sécurité de votre cloud. C’est une tâche difficile et complexe, mais la bonne nouvelle c’est qu’il existe des solutions pour non seulement verrouiller son réseau cloud mais aussi des moyens, recourant à l’IA et à l’automatisation, pour alléger la charge de travail que représentent la détection et la prévention des menaces, même celles qui n’ont pas encore été conçues.

Tout cela peut être fait à toute vitesse…. car tout est dans le cloud !
___________________

Par Adrien Merveille, SE Team Leader chez Check Point Software France
et Rudy Malka, expert en cybersécurité chez Check Point Software Technologies, Ltd


À lire également :

> Zero Trust : sécuriser la communication entre les workloads dans le cloud

> Quel avenir pour la cybersécurité en 2022 ?

> Cybersécurité : la confiance est morte, vive la « confiance zéro » !

> Attaques de la Supply Chain : Comment les cybercriminels exploitent la confiance qui existe entre les organisations ?