Passer au cloud : pour gagner en efficacité, pensons sécurité !

Les cyberattaquants sont pleinement conscients des vulnérabilités de l'infrastructure cloud… et ils en profitent. En 2023, le cloud représenterait 80 % des risques de sécurité.

Les cyberattaquants sont pleinement conscients des vulnérabilités de l’infrastructure cloud… et ils en profitent. En 2023, le cloud représenterait 80 % des risques de sécurité, avec une sensibilité particulière aux attaques de ransomwares et de type DDoS[1]. L'internet actuel n'est pour l’heure pas équipé pour répondre aux besoins futurs en matière de protection des données. Lorsque les données sont stockées dans le cloud, elles peuvent se retrouver sur plusieurs serveurs n'importe où dans le monde. Mais si l'un de ces ordinateurs est compromis, les données peuvent être volées ou utilisées sans contrôle.

Par conséquent, pour toute action sur le SI, sur site ou dans le cloud, l'une des premières choses à faire est d'identifier l'endroit où sont stockées les informations sensibles. Lorsque l’on stocke des données dans le cloud, la sécurisation de ces informations est une responsabilité partagée entre l’entreprise cliente et son fournisseur. Ainsi, il est essentiel de bien comprendre quels types de services dématérialisés sont les plus vulnérables aux cyberattaques. La question des risques portant sur les transferts de données vers le cloud est aussi liée à ce sujet et une évaluation des bénéfices par rapport aux risques est ainsi indispensable.

Les types de services cloud les plus vulnérables aux cyberattaques

Bill Gates disait « Un ordinateur sécurisé est un ordinateur éteint. Et encore… ». Et si cela peut sembler catégorique, l’adage est en réalité un principe élémentaire de sécurité. Chaque élément constitutif d’une architecture réseau constitue un risque, en particulier tout ce qui est connecté à Internet. L'informatique cloud permet de créer rapidement et facilement de grandes quantités d'infrastructures, ce qui les expose à la possibilité d'appliquer des configurations de sécurité inférieures aux normes requises. En raison de la facilité d'utilisation des services cloud, les entreprises peuvent devenir négligentes en matière de sécurité.

Pourtant, la façon dont l’infrastructure est configurée a une réelle incidence sur le risque de cybersécurité. En effet, les équipes de sécurité observent fréquemment des attaques exploitant des configurations erronées du cloud, pouvant entraîner des fuites de fichiers. Pour y parer, se doter d’une CNAPP (Cloud-Native Application Protection Platform) peut s’avérer utile : au stade du déploiement d’abord, en adoptant un CSPM (Cloud Security Posture Management) pour examiner les configurations du parc cloud et repérer les erreurs. Le CWPP (Cloud Workload Protection Platform) est également recommandé pour examiner les aspects de sécurité interne de l’infrastructure.

Des failles de sécurité standard peuvent également causer des problèmes de sécurité, par exemple lorsque les équipes de sécurité laissent les protocoles de bureau à distance ouverts à la connexion par Internet. Les utilisateurs peuvent exécuter le protocole de bureau à distance (RDP) sur leur ordinateur portable à la maison pour prendre le contrôle de leur bureau au bureau. Ce service est souvent laissé en l'état par les équipes informatiques, ce qui expose les entreprises à des attaques. Rappelons que ce type de vulnérabilités a déjà été exploité dans le passé, comme celle surnommée « Bluekeep », affectant Microsoft (CVE-2019-0708), surnommée Bluekeep, et qui avait conduit à l'exécution à distance de code aléatoire dans les services de bureau à distance, sans qu'aucun utilisateur ne fasse quoi que ce soit, ce qui avait alors augmenté le risque de propagation de logiciels malveillants entre les systèmes vulnérables.

Et parce que les infrastructures cloud sont de plus en plus souvent accessibles depuis Internet, les exigences de sécurité doivent être revues.

Le cloud est-il toujours intéressant finalement ?

Les arguments en faveur de l'informatique cloud avancés ces dernières années sont nombreux, et valables : plus grande échelle et plus grande souplesse, coûts inférieurs, pour n'en citer que quelques-uns. Mais il arrive aussi que ces bénéfices soient inférieurs aux risques qu’une migration pose.

Le premier problème pouvant être rencontré par les entreprises est le verrouillage commercial opéré par certains fournisseurs cloud. S’affranchir d’un système ou réadapter une infrastructure peut s’avérer difficile si cela sort du cadre commercial proposé ; et en cas de rupture de contrat, une trop grande dépendance à l’infrastructure peut s’avérer difficile à gérer.

Au-delà des risques technologiques, un autre facteur décisif est la confiance générale accordée envers les fournisseurs de cloud et les « hyperscalers », tels qu'AWS ou Google, qui peuvent fournir des services de cloud public et hybride aux réseaux des grandes entreprises. Mais bien que leurs offres soient très complètes, elles manquent de flexibilité, par comparaison avec une infrastructure sur site, notamment pour répondre à de nouveaux besoins. Dépendamment de la relation commerciale entretenue avec son fournisseur, l’entreprise disposera de possibilités d’aménagement plus ou moins flexibles, permettant ou non de résoudre les problèmes de sécurité au fur et à mesure qu'ils surviennent. Pourtant, ce sont là les deux principes clés d’une gestion efficiente de l’infrastructure réseau, quelle qu’elle soit : le contrôle et la flexibilité.

Ce que les entreprises négligent souvent dans leur stratégie de sécurisation du cloud

Nous l’évoquions plus haut, l'un des avantages des services cloud est leur facilité de déploiement, mais cela peut être source de nombreux problèmes pour les professionnels de la sécurité. De nombreux nœuds sont ouverts au sein de l'infrastructure cloud, augmentant la surface d’attaque. Quelques stratégies peuvent atténuer ce risque, comme les mécanismes de cryptage, les procédures MFA et une stricte politique de contrôle des accès.

Mais outre la sécurisation de l’infrastructure, il est aussi important de poser la question de la protection des données stockées dans le cloud. La sécurité du stockage dans le cloud implique le plus souvent l'isolation et la récupération des données. Toutefois, les entreprises demeurent responsables de la surveillance et de l'audit des données notamment pour être en conformité avec les règlements et exigences commerciales.

Pour cela, il est primordial de savoir qui contrôle quoi et qui est responsable de quoi, ce qui est souvent un point de discorde. Pour résoudre ce problème, les organisations doivent définir des rôles pour chacun, lesquels sous-tendent les règles d’accès et les obligations de tous. La base du modèle Zero Trust ou des principes évoqués dans le cadre NIS 2 par exemple.

Aussi, pour éviter de devoir revoir tout le modèle de l’infrastructure à chaque évolution, une phase de planification et l’application des modèles les plus rigoureux est essentielle. Cela permettra en outre de couvrir l’ensemble des failles potentielles de la politique de sécurité proposée par la plateforme cloud choisie, car les niveaux ne sont pas tous identiques.

La facilité avec laquelle une infrastructure en nuage peut être déployée est à la fois un cadeau et un fardeau : le réseau s'est étendu, mais il est aussi plus difficile à suivre.

Si le cloud a souvent été présenté comme une solution économique et pratique, permettant aux organisations de stocker, de collecter et d'extraire de grands volumes de données, il est aussi source d’une plus grande exposition aux risques.  

Le principal risque est la dépendance à l'égard d'un fournisseur tiers pour le stockage des données de l'entreprise. Pour empêcher l’extension de la surface d’attaque et la compromission des données, le premier fondement est de connaître ses données et de les cartographier, et ce pour une infrastructure sur site, cloud public, hybride, privé ou même multi-cloud. Dans ce dernier cas, le maintien d'un élément de sécurité et de contrôle de tous les services cloud est essentiel pour atténuer l’exposition aux risques.

En planifiant soigneusement sa migration et en considérant le cloud comme un élément constitutif de la politique globale de sécurité de l’entreprise, en faisant le choix de la souplesse sur les fournisseurs, il est alors possible de bénéficier des avantages du cloud. Le besoin d’espace ne doit pas être examiné et mis en application dans l’urgence mais doit être soumis à une véritable évaluation des risques car en sus de l’attaque, la protection des données, notamment client, reste in fine le plus gros risque.

[1] « Attack Surface Threat Report », Palo Alto Networks, 2023