Cloud : L'hybride est-il le meilleur rempart contre les cyberattaques ?

Selon le dernier rapport X-Force d'IBM, les cybermenaces ont augmenté de 150% depuis 2016. Au vu du rapport, l'hébergement des données sur un cloud hybride - combinaison entre un hébergement sur un serveur cloud et un serveur dans l'entreprise- pourrait être la réponse optimale pour se préserver de ces attaques. Or, cette solution qui vise à lisser le risque en ne " mettant pas tous ses œufs dans le même panier " n'est pourtant pas la meilleure option pour se préserver des attaques.

Le choix discutable de l’hybride

Le dernier rapport d’IBM indique que les entreprises ayant migré sur un cloud public ou cloud privé ont subi des coûts de violation de données supérieurs d' 1 million de dollars à ceux des organisations ayant choisi une approche de cloud hybride. On pourrait penser que l’adoption d’un environnement hétérogène aiderait à mieux contrôler le stockage des données. Or, l’hybride demande un budget conséquent et fait perdre une partie de l’agilité (la capacité à monter vite des infrastructures pour tester des produits) que l’on gagne dans un environnement “100% Cloud”. Techniquement, l’hybride accroît même les risques liés à la cybersécurité car la surface d’attaque se trouve augmentée avec des liens entre le datacenter privé et le cloud public. Quand il s’agit de sécurité, la question centrale n’est pas de savoir placer le curseur entre le cloud et le on-premise.

La sécurisation d’une infrastructure cloud se joue à un autre niveau

En effet, pour sécuriser une infrastructure dans le cloud, trois éléments essentiels doivent être considérés : 

1. Quand le test de pénétration sert d’apprentissage

Avec le Cloud et sa facilité d’utilisation, les développeurs se retrouvent parfois dans une position où ils conçoivent eux-mêmes des infrastructures. Ils ont généralement peu de compétences en sécurité des systèmes et des réseaux, étant donné que ce n’est pas leur cœur de métier. Ainsi, ils commettent fréquemment des erreurs en matière de sécurité. Par exemple, en laissant des ports ouverts, des IPs publiques etc... Solution : effectuer un test de pénétration en “grandeur nature”, avec eux, sur leurs infrastructures afin qu’ils visualisent les failles et ce qu’un attaquant peut en faire. Cela permet de minimiser le risque d’une mauvaise conception de leurs futures infrastructures. 

2. Sécuriser en amont

Le voyage sur le Cloud commence souvent par quelques POCs (Proof of Concept ou Version 0) sans intégrer toute la chaîne DevSecOps qui permet d'automatiser les tests et les déploiements. Cette chaîne implique généralement des outils de scan de vulnérabilités sur le code applicatif et les images Docker par exemple. Ainsi, cette remontée d’informations en amont de la mise en production n’existe pas et des failles sont introduites. Créer une usine logicielle rapidement configurable sur un nouveau projet a un coût d’entrée mais permet de faire des POCs avec un niveau de qualité et de sécurité minimale. 

3. Mettre des alertes sur les consommations budget. 

Un « hack" courant dans le cloud consiste à s'introduire sur un compte AWS, GCP, Azure etc et de démarrer des VMs (Machines virtuelles), ainsi payées par l'entreprise cible. Ces machines servent en général à faire du crypto-mining. Cette attaque est singulière car elle ne met pas en danger les données utilisateurs du site mais elle peut coûter directement très cher à l’entreprise ! Pour s’en protéger, il est important d’établir dès le début une politique claire des droits d’accès aux Cloud Provider avec un audit régulier des connexions et des usages.