Sécurité des environnements multicloud Plus de clouds, plus de problèmes…

Les craintes liées au verrouillage propriétaire des fournisseurs cloud semblent à présent appartenir au passé. La plupart des entreprises ne sont pas simplement dans le cloud, mais dans plusieurs clouds (PaaS, IaaS) et leurs utilisateurs jonglent souvent entre des dizaines voire des centaines d'applications SaaS.

Une étude de McAfee publiée il y a quelques années avait établi qu'une entreprise moyenne utilisait quelques 1 935 services cloud. Un nombre qui a sûrement explosé depuis.

Une atmosphère favorable pour les cybercriminels

L’an dernier, la forte migration vers le cloud a pu faciliter le passage massif au télétravail et l’accélération des initiatives de transformation digitale. Cependant la multiplication des clouds induit souvent des problématiques opérationnelles et sécuritaires supplémentaires. Les référentiels d’identité en silo (ex. Azure ID), les outils natifs mais incomplets et les modèles à responsabilité partagée incompatibles entre différents fournisseurs cloud, sans oublier les problématiques fondamentales de sécurité du cloud, créent une atmosphère favorable pour les cybercriminels. De plus, la plupart des entreprises ne sont pas 100% cloud, elles fonctionnent selon un modèle hybride fondé sur une infrastructure sur site (on-premises), reposant souvent sur des technologies préexistantes (legacy).

On retrouve des contrôles de sécurité des accès privilégiés mal adaptés, impliquant souvent des identifiants, des accès privilégiés excessifs ou des erreurs de configuration, dans la plupart des compromissions actuelles des environnements cloud et on-premises. L’ampleur de la gestion de ces privilèges sans cesse plus nombreux appelle une approche universelle intégrée plutôt qu’une pile d’outils de niche, chacun ne gérant qu’une part du problème que posent les privilèges. C’est d’autant plus vrai quand l’élasticité du cloud permet des changements rapides que les outils traditionnels de gestion et de gouvernance pourraient ignorer.

De nombreuses entreprises sont déjà très exposées aux risques importants liés aux privilèges excessifs de leurs administrateurs IT et de leurs super utilisateurs. Ce n’est pas parce qu’elles migrent plus de charges de travail dans le cloud que la complexité de leur environnement sur site diminue. Au contraire, elles s’exposent aux difficultés de gestion multicloud et hybride.

Opter pour une sécurité centrée sur l’identité pour combler les failles critiques de sécurité IT liées à l’approche multicloud & hybride

Plus les environnements sont devenus décentralisés, plus l’identité s’est imposée comme le socle de sécurité le plus solide. La problématique d’identité est le problème de sécurité le plus important à régler à l’échelle des environnements cloud et on-premises. Aucune identité n’exige plus de sécurité que les identités privilégiées, qu’elles soient associées à des humains ou à des machines, à des employés ou à des fournisseurs ou qu’elles soient persistantes ou éphémères. La meilleure stratégie pour régler les problèmes des privilèges et des identités multicloud / hybrides consiste à standardiser la gestion et les contrôles de sécurité à l’échelle de tout l’écosystème IT.

Une bonne stratégie de gestion des accès privilégiés doit veiller à ce que chaque compte privilégié, chaque session et chaque asset soient sécurisés, gérés et surveillés à l’échelle de l’infrastructure cloud et hybride. Pour protéger tout un environnement multicloud et hybride il tient aux services IT des entreprises de veiller à :

  • La découverte et l’intégration en continu des comptes privilégiées et des instances cloud
  • L’observation des meilleures pratiques de sécurité des identifiants pour tous les comptes humains et non-humains, y compris la mise en œuvre d’architectures Zero Trust
  • La réduction du nombre des utilisateurs d’accès privilégiés
  • La restriction des privilèges d’accès et d’automatisation de chaque utilisateur, application, service ou asset
  • La prévention et la diminution des erreurs humaines liées aux accès privilégiés
  • La réduction de la fenêtre temporelle d’exercice des privilèges, et donc de leur utilisation abusive, par l’application du principe d’accès juste à temps
  • La segmentation de l’environnement cloud et la sécurisation/mise en proxy des accès à distance aux consoles de gestion cloud / plans de contrôle et aux ressources informatiques
  • La gestion et la surveillance strictes de chaque session privilégiée et l’établissement de certification de conformité réglementaire