Chaque jour, les entreprises sont confrontées à divers risques, menaces et défis liés à la sécurité du cloud. D'aucuns pensent que tous ces termes sont synonymes. Ils sont cependant plus nuancés. Comprendre les différences subtiles qui les distinguent vous permettra de mieux protéger vos ressources cloud.
Quelle est la différence entre un risque, une menace et un défi ?
- Un risque est une possibilité de perte de données ou un point faible.
- Une menace est un type d'attaque ou un cyberadversaire.
- Un défi est une difficulté à laquelle une entreprise est confrontée dans le cadre de la mise en œuvre de mesures de sécurité du cloud.
Prenons un exemple. Un endpoint d'API hébergé dans le cloud et exposé à l'Internet public constitue un risque.
Le cyberattaquant qui tente d'accéder à des données sensibles à l'aide de cette API représente la menace (de même que les techniques spécifiques auxquelles il pourrait avoir recours).
Le défi pour votre entreprise consiste à protéger efficacement les API publiques tout en les maintenant disponibles pour les utilisateurs légitimes ou les clients qui en ont besoin.
Une stratégie complète de sécurité du cloud prend en compte ces trois aspects, afin qu'il n'y ait aucune faille dans les fondations. Chacun de ces éléments permet d'aborder la sécurité du cloud sous un angle différent. Une stratégie robuste doit limiter les risques (contrôles de sécurité), protéger contre les menaces (programmation et déploiement sécurisés) et relever les défis (implémentation de solutions culturelles et techniques) pour permettre à votre entreprise d'utiliser le cloud pour développer ses activités en toute sécurité.
Trois risques pour la sécurité du cloud
S'il est impossible d'éliminer complètement les risques, il est en revanche possible de les gérer. En vous familiarisant avec les risques courants avant qu'ils ne surviennent, vous serez mieux à même d'y faire face dans votre environnement. Examinons trois d'entre eux.
1. Surface d'attaque non gérée
La surface d'attaque est l'exposition globale de votre environnement. L'adoption de microservices peut conduire à une explosion des workloads accessibles au public. Chaque workload étend la surface d'attaque. Sans une gestion rigoureuse, vous pourriez exposer votre infrastructure à des risques dont vous n'avez pas conscience jusqu'à ce qu'une attaque se produise.
Personne ne souhaite recevoir un appel en pleine nuit annonçant une attaque.
La surface d'attaque peut également englober des fuites d'informations subtiles susceptibles de mener à une attaque. Par exemple, l'équipe de threat hunters de CrowdStrike a découvert qu'un cyberattaquant utilisait des données de requêtes DNS échantillonnées recueillies sur un réseau Wi-Fi public pour déterminer les noms des compartiments S3. CrowdStrike a bloqué l'attaque avant qu'elle ne fasse des dégâts, mais cet exemple illustre parfaitement le caractère omniprésent des risques. Même des contrôles stricts des compartiments S3 n'ont pas suffi à masquer complètement leur existence. Si vous utilisez l'Internet ou le cloud public, vous exposez automatiquement une surface d'attaque au monde entier.
Votre entreprise peut en avoir besoin pour fonctionner, mais vous devez la tenir à l'œil.
2. Erreur humaine
Selon Gartner, à l'horizon 2025, 99 % des failles de sécurité du cloud seront imputables dans une certaine mesure à une erreur humaine. Lors de la création d'applications d'entreprise, l'erreur humaine représente un risque constant. Cependant, l'hébergement de ressources dans le cloud public amplifie ce risque.
Compte tenu de la facilité d'utilisation du cloud, les utilisateurs peuvent utiliser des API dont vous n'avez pas connaissance sans contrôles appropriés, et ouvrir des brèches dans votre périmètre. Gérez les erreurs humaines en mettant en place des contrôles robustes pour aider vos collaborateurs à prendre les bonnes décisions.
Une dernière règle : ne blâmez jamais les gens pour leurs erreurs. Blâmez le processus. Mettez en place des processus et des garde-fous conçus pour aider les gens à prendre les bonnes décisions. Les accusations personnelles n'améliorent en rien la sécurité de votre entreprise.
3. Erreur de configuration
Les paramètres du cloud ne cessent de se multiplier à mesure que les fournisseurs de services cloud ajoutent des services à leur offre. Sans compter que de nombreuses entreprises font appel à plusieurs fournisseurs.
Ces fournisseurs ont des configurations par défaut différentes, chaque service comportant ses propres implémentations et nuances. Tant que les entreprises ne seront pas capables de sécuriser leurs différents services cloud, les cyberadversaires continueront d'exploiter les erreurs de configuration.
Comment gérer les risques pour la sécurité du cloud
Utilisez ce processus en trois étapes pour gérer les risques dans le cloud.
- Effectuez des évaluations régulières des risques afin d'identifier les nouveaux risques.
- Priorisez et implémentez des contrôles de sécurité pour limiter les risques que vous avez identifiés (CrowdStrike peut vous y aider.).
- Documentez et réexaminez régulièrement tous les risques que vous choisissez d'accepter.
Trois menaces pour la sécurité du cloud
Téléchargez cet eBook pour découvrir les quatre principales menaces qui pèsent sur votre migration vers le cloud, et pour savoir comment adopter le cloud en toute sécurité tout en profitant de ses avantages.
<b>Télécharger</b>Une menace est une attaque lancée contre vos ressources cloud dans le but d'exploiter un risque. Examinons trois exemples.
1. Exploits zero day
Le cloud est « l'ordinateur de quelqu'un d'autre ». Mais tant que vous utiliserez des ordinateurs et des logiciels, même ceux qui sont exécutés dans le datacenter d'une autre entreprise, vous serez confronté à la menace posée par les exploits zero day.
Les exploits zero day ciblent les vulnérabilités de systèmes d'exploitation et de logiciels populaires pour lesquelles l'éditeur n'a pas encore publié de correctifs. Ils sont dangereux car, même si votre configuration cloud est optimale, un cyberattaquant peut exploiter des vulnérabilités zero day pour s'introduire dans l'environnement.
2. Menaces persistantes avancées
Une menace persistante avancée est une cyberattaque sophistiquée de longue durée au cours de laquelle un intrus établit une présence non détectée sur un réseau pour voler des données sensibles sur une période prolongée.
Les menaces persistantes avancées sont très différentes des attaques rapides de type « Drive-by ». Le cyberattaquant reste dans l'environnement et se déplace de workload en workload à la recherche d'informations sensibles à voler et à vendre au plus offrant. Ces attaques sont dangereuses parce qu'elles peuvent commencer par l'utilisation d'un exploit zero day et échapper à toute détection pendant des mois.
3. Compromissions de données
Une compromission de données survient lorsque des informations sensibles sont soustraites à votre contrôle à votre insu ou sans votre autorisation. Pour les cyberattaquants, les données ont plus de valeur que toute autre chose, ce qui en fait l'objectif de la plupart des attaques. Une configuration incorrecte du cloud et l'absence de protection à l'exécution peuvent laisser le champ libre aux voleurs de données.
L'impact des compromissions de données dépend du type de données volées. Les cybercriminels vendent les données personnelles et les renseignements médicaux personnels sur le Dark Web à tout qui souhaite usurper une identité ou utiliser ces informations dans des e-mails de phishing.
D'autres informations sensibles, telles que des documents ou des e-mails internes, peuvent être utilisées pour porter atteinte à la réputation d'une entreprise ou torpiller le cours de ses actions. Quelle que soit la raison pour laquelle les données sont volées, les compromissions continuent de représenter une menace majeure pour les entreprises qui ont recours au cloud.
Comment gérer les menaces pour la sécurité du cloud
Il existe tellement d'attaques spécifiques qu'il est difficile de se protéger de toutes. Voici néanmoins trois recommandations à suivre pour protéger vos ressources cloud contre ces menaces et d'autres.
- Respectez les normes de programmation sécurisée lors de la création de microservices.
- Vérifiez plusieurs fois votre configuration cloud pour corriger les éventuelles failles.
- Une fois que vous avez établi des bases de sécurité solides, passez à l'offensive en vous lançant dans le Threat Hunting. (CrowdStrike peut vous y aider.)
Trois défis liés à la sécurité du cloud
Les défis représentent le fossé entre la théorie et la pratique. Prendre conscience que vous avez besoin d'une stratégie de sécurité du cloud est une première étape essentielle. Mais par où commencer ? Comment aborder le changement culturel ? Quelles sont les mesures pratiques à prendre au quotidien pour le concrétiser ?
La gestion des identités et des accès est critique. Mais comment l'adapter à une entreprise comptant plusieurs dizaines de milliers de collaborateurs ? Les chefs d'entreprise accomplis doivent passer du stade où ils savent ce qu'il faut faire à celui où ils comprennent comment le faire.
Examinons trois défis auxquels toute entreprise est confrontée lorsqu'elle adopte le cloud.
1. Absence de compétences et de stratégie de sécurité du cloud
Les modèles de sécurité traditionnels des datacenters ne sont pas adaptés au cloud. Les administrateurs doivent donc apprendre de nouvelles stratégies et compétences spécifiques au cloud.
Si le cloud apporte l'agilité aux entreprises, celles qui n'ont pas les connaissances et les compétences en interne pour bien comprendre les défis de la sécurité du cloud peuvent se retrouver exposées à des vulnérabilités. Une mauvaise planification peut se traduire par une compréhension incorrecte des implications du modèle de responsabilité partagée, qui définit les obligations de sécurité du fournisseur et de l'utilisateur de services cloud. Cette compréhension incorrecte peut ouvrir la voie à l'exploitation de failles de sécurité non intentionnelles.
2. Gestion des identités et des accès
La gestion des identités et des accès est essentielle. Cela peut sembler évident, mais le défi réside dans les détails.
La création des rôles et autorisations nécessaires pour une entreprise de plusieurs milliers de collaborateurs peut être un véritable casse-tête. Une stratégie globale de gestion des identités et des accès comporte trois étapes : la conception des rôles, la gestion des accès à privilèges et l'implémentation.
Commencez par une conception des rôles robuste, basée sur les besoins des utilisateurs du cloud. Concevez les rôles en dehors de tout système spécifique de gestion des identités et des accès. Ces rôles décrivent le travail de vos collaborateurs, lequel ne change pas d'un fournisseur de services cloud à l'autre.
Élaborez ensuite une stratégie de gestion des accès à privilèges qui définit les rôles qui nécessitent une protection renforcée en raison de leurs privilèges. Contrôlez étroitement qui a accès aux identifiants à privilèges et changez régulièrement ces derniers.
Enfin, vous devez implémenter les rôles conçus au sein du service de gestion des identités et des accès de votre fournisseur de services cloud. Cette étape sera beaucoup plus simple si vous préparez ces rôles à l'avance.
3. Shadow IT
Le Shadow IT menace la sécurité, car il contourne le processus standard d'approbation et de gestion IT.
Le Shadow IT découle de l'utilisation de services cloud par les employés dans le cadre de leurs fonctions. Étant donné la facilité avec laquelle il est possible de mettre en service et hors service des ressources cloud, il est difficile d'endiguer leur prolifération. Par exemple, les développeurs peuvent rapidement créer des workloads à l'aide de leurs comptes. Malheureusement, les ressources créées de la sorte peuvent ne pas être sécurisées correctement, être accessibles avec des mots de passe par défaut et comporter des erreurs de configuration.
L'adoption de l'approche DevOps complique encore les choses. Les équipes Cloud et DevOps aiment travailler vite et sans encombre. Cependant, il est difficile d'obtenir les niveaux de visibilité et de gestion dont les équipes de sécurité ont besoin sans entraver les activités DevOps. Le DevOps a besoin d'une solution simple pour le déploiement d'applications sécurisées, avec intégration directe au pipeline d'intégration/distribution continues. Une approche unifiée est indispensable pour permettre aux équipes de sécurité de recueillir les informations nécessaires sans ralentir le DevOps. Les équipes informatiques et de sécurité doivent trouver des solutions qui fonctionnent pour le cloud, à la vitesse du DevOps.
Comment relever les défis liés à la sécurité du cloud
Chaque défi est différent et exige par conséquent des solutions uniques. Prenez le temps de planifier avant d'utiliser des services cloud. Une bonne stratégie doit prendre en considération tous les défis courants du cloud, tels que ceux que nous avons abordés ici. Vous disposerez ainsi d'un plan d'action pour chaque défi anticipé.