Alors que les problématiques de sécurité font la Une avec l’affaire Pegasus et les dernières déclarations de l’ANSSI, Google Cloud profite d’un évènement dédié à la sécurité cloud pour muscler ses défenses et accompagner les entreprises dans leur volonté d’adopter des approches Zero Trust.
« Il y a un meme qui circule où un RSSI hésite à dépenser 1 million de dollars en outils de sécurité, mais signe très rapidement un chèque de 10 millions de dollars une fois touché par un ransomware »… À l’occasion de sa conférence Google Cloud Security Summit, Sunil Potti, directeur général de la sécurité chez Google Cloud n’a pas maché ses mots pour dépeindre l’état de la cybersécurité dans les entreprises. « Chaque jour, chaque semaine, il se passe quelque chose, à un point où, clairement, de nombreuses entreprises abdiquent presque leur responsabilité ».
Certes les attaques ont gagné en virulence et ne cessent de se multiplier. Certes, de plus en plus ciblées, elles sont de plus en plus difficiles à détecter et à contrer. Certes, les affaires « étatiques » se sont multipliées : SolarWinds, Exchange, Kaseya, Pegasus… Pour autant, abdiquer ne peut être une option.
Le contexte est dramatique mais force est de reconnaître que la situation est aussi une opportunité pour les fournisseurs de lancer de nouveaux produits et d’en remettre une couche. Notamment en matière de sécurité du cloud alors que se multiplient les discours sur les clouds souverains et sur la nécessité pour les OIV et OSE de s’appuyer sur des partenaires SecNumCloud.
Google en a bien conscience et l’édition 2021 de son Google Cloud Security Summit a été l’occasion pour l’hyperscaler de lancer plusieurs nouveautés dont Cloud IDS.
Google « Cloud IDS » est sans doute l’annonce la plus importante. Ce système de détection d’intrusion permet de détecter les logiciels malveillants, les logiciels espions, les attaques de type « command & control » et d’autres menaces réseau. Cet IDS managé et « cloud native » s’appuie sur les technologies avancées de détection de Palo Alto Networks enrichies de développements propres à Google Cloud. Les données de l’IDS peuvent être envoyées vers Chronicle (le SIEM next gen de Google) ou vers n’importe quel autre SIEM utilisée par l’entreprise cliente. Google a tout particulièrement soigné les intégrations avec Splunk (Cloud Platform et Enterprise Platform), Exabeam Advanced Analytics, Devo Platform, et Palo Alto Cortex XSOAR.
Les clients de Cloud IDS peuvent créer des workflows automatiques ou semi-automatiques de remédiation en fonction de la criticité des tentatives d’intrusion détectées.
La seconde annonce majeure concerne justement le SIEM next gen de Google : Chronicle. La plateforme de télémétrie, d’analyse de données sécu et d’investigation de Google Cloud, s’intègre désormais à Looker et BigQuery afin de renforcer ses fonctionnalités de reporting, de conformité et d’exploration. De nouveaux Dashboards basés sur Looker font ainsi leur apparition : Chronicle Security Overview (pour une vision plus conviviale et pertinente de l’état de la sécurité), Data Ingestion & Health (pour piloter la télémétrie), User Sign-in data (pour une vision plus parlante des logins par applications et par utilisateurs), Rule Detections (TOP 10 des règles déclenchées), IOC Matches. Mais l’intégration à Looker permet surtout aux RSSI et DSI de créer leurs propres Dashboards simplement.
Autre annonce, l’extension de Cloud Armor. Le WAF (Web Application Firewall) de Google s’enrichit de nouvelles règles préconfigurées adaptées aux nouvelles attaques en vogue (scanner detection, PHP injection, session fixation, protocol enforcement) et s’étend à davantage de services à commencer par Cloud CDN et Cloud Storage.
Enfin, Google veut aider plus activement les entreprises à moderniser leurs opérations de sécurité. L’hyperscaler lance un ensemble de produits, d’intégrations et d’outils qui améliorent la capacité des organisations à résister aux attaques de sécurité grâce à une approche adaptative, agile et hautement automatisée de la gestion des menaces. Dénommée Autonomic Security Operations, cette initiative veut aider les entreprises et autres clients Google Cloud à tirer pleinement profit de l’expérience de Google dans la sécurisation des assets Cloud et dans l’utilisation et la prise en main d’outils comme Chronlicle ou Security Operations Center. Une initiative qui veut accompagner les clients dans une démarche d’adoption généralisée des approches « Zero Trust ». « Nous croyons fondamentalement que pour faire plus confiance au cloud, il faut être en mesure de lui faire moins confiance » résume Sunil Potti pour promouvoir le Zero Trust.
Pour en savoir plus, le Google Cloud Security Summit est accessible en Replay.