5 Conseils essentiels à la sécurité du cloud

Au cours des 18 derniers mois, l'utilisation des applications cloud est montée en flèche et aujourd'hui, une entreprise moyenne de 500 à 2 000 employés utilise désormais 805 applications cloud différentes. Il s'agit d'un niveau stupéfiant de nouveaux risques que les RSSI doivent appréhender. Le défi peut sembler insurmontable, mais il n'en est rien si l'on suit quelques règles.

Au cours des 18 derniers mois, l'utilisation des applications cloud est montée en flèche. Selon le dernier rapport Netskope sur le cloud et les menaces, publié en juillet 2021, une entreprise moyenne de 500 à 2 000 employés utilise désormais 805 applications cloud différentes. Il s'agit d'un niveau stupéfiant de nouveaux risques que les RSSI doivent appréhender.  En même temps que l'utilisation du cloud s'est développée, les efforts des acteurs malveillants pour cibler les applications cloud qui sont trop souvent mal sécurisées et présentent une opportunité constante d’accéder facilement à des données non protégées à compromettre. 

Le défi peut sembler insurmontable, les employés introduisant des applications cloud dans l'entreprise par le biais du shadow IT plus vite que nous ne pouvons les verrouiller une par une, mais il n'en est rien. 

Voici cinq conseils pour les RSSI qui cherchent à maîtriser la sécurité du cloud.

1.     Travailler en étroite collaboration avec l'entreprise pour une sécurité by design.

Avec la prolifération du cloud dans l'entreprise, les équipes de sécurité doivent s'associer étroitement à l'informatique et veiller à ce que la sécurité ne soit jamais une considération de dernière minute. De nombreuses organisations restructurent et combinent déjà des équipes, dans lesquelles l'informatique et la sécurité se côtoient avec des indicateurs clés de performance communs.

Pour que la sécurité soit intégrée "dès la conception", elle ne peut pas, par définition, être boulonnée, et c'est l'une des raisons pour lesquelles la sécurité du cloud nécessite une plateforme "cloud native".  La plupart des entreprises se rendent compte des limites de leurs architectures basées sur des appliances dès qu'elles essaient de sécuriser des données, des applications et des utilisateurs situés en dehors de leur périmètre.  La sécurité by design adopte une approche architecturale centrée sur les données, reconnaissant qu'il n'existe plus de périmètre où les utilisateurs, les appareils et les données peuvent résider en toute sécurité. Au lieu de cela, les utilisateurs, les appareils et les données sont maintenant dispersés et se déplacent librement - dans et hors des applications et services dans le Cloud dont l'entreprise a besoin - et ces applications et services ont besoin d'une sécurité qui existe partout où ils se trouvent.

Cette approche est souvent appelée stratégie SASE (Secure Access Service Edge) ; elle consiste à placer la sécurité dans le cloud, à l'intégrer à l'architecture informatique et à exécuter des contrôles en ligne. En adoptant cette approche architecturale de la sécurité, les équipes IT n'ont pas besoin de créer et de personnaliser de nouveaux contrôles de sécurité, application par application.

2.     Comprendre ses flux de données

Lorsqu’une entreprise considère que ses données ne sont plus statiques, mais qu'elles se déplacent constamment dans les services de cloud computing de tiers, il devient évident qu'un CISO doit comprendre beaucoup mieux les flux de données de son organisation. Une organisation doit connaître les mouvements de ses données, avoir une visibilité des catégories de données en jeu et comprendre le profil de l'application cloud afin de décider des contrôles nécessaires.

Une vision de la sécurité centrée sur les données est logique si l'on considère que la réglementation et les calculs de risques sont généralement centrés sur les données. La visibilité et la compréhension des flux de données sont particulièrement importantes lorsque l’entreprise évolue dans des contextes tels que le modèle de responsabilité partagée ou l'évaluation des risques de la chaîne d'approvisionnement. Les organisations doivent procéder à des évaluations continues de la sécurité en fonction de leurs flux de données.

3.     Maîtriser la sécurité des API

Le cloud a rendu plus pressant que jamais le fait que les organisations évaluent les risques de la chaîne d'approvisionnement et les assurances des partenaires. Cela rejoint le point précédent concernant la compréhension des flux de données (et le fait de savoir exactement où résident nos données et quelles sont nos responsabilités), mais cela va plus loin encore, notamment lorsqu'il s'agit de tirer le meilleur parti des possibilités d'intégration et d'analyse qu'offre le cloud.

Les intégrations dans le cloud sont incroyablement pratiques et peuvent ajouter beaucoup de valeur.  Elles sont généralement basées sur des API et sont très faciles à mettre en place.  Cependant, les dispositifs de sécurité traditionnels ne comprennent pas les API. Ils ont tendance à ne comprendre que le langage du Web et les protocoles de réseau traditionnels et sont incapables de suivre ou de contrôler les services en nuage. C'est une raison supplémentaire pour laquelle il est nécessaire de sécuriser le cloud à partir du cloud lui-même.  Les appliances traditionnelles qui tentent de contrôler le cloud sont un peu comme une force de police qui ne parle pas la même langue que la communauté qu'elle tente de protéger.  Elles sont incapables de comprendre ce qui se passe et sont donc inefficaces.

4.     Faites du Zero Trust sa position par défaut

Les architectures en cloud supprimant le concept de périmètre sécurisé autour des données et de l'informatique d'une organisation, la confiance zéro devient importante. En tant que RSSI, on a parfois l'impression que l'organisation attend de nous que nous lui donnions confiance et que nous la rassurions, mais pour bien faire notre travail, il faut adopter une position d'alerte et de méfiance. L'accès réseau à confiance zéro (ZTNA) est exactement cela : on ne donne à personne, à aucun appareil ou à aucun service dans le cloud l'accès à quoi que ce soit sans une série d'identifiants de sécurité authentifiés spécifiquement attribués. Les données sont trop précieuses pour faire des suppositions sur leur authenticité.

Une solution ZTNA fait une différence immédiate dans le niveau de sécurité inhérent à un réseau traditionnel ou à une architecture cloud et devrait être considérée comme un composant clé au fur et à mesure que les organisations migrent vers un monde en nuage.

5.     Sensibiliser et mobiliser le personnel

La sécurité de l'information devrait faire partie de la description de poste de chaque employé. Mais si nous, les experts, devons travailler d'arrache-pied pour rester au fait des nouveaux risques et menaces du cloud, nous ne pouvons pas attendre des employés qu'ils réussissent à déjouer les efforts des acteurs malveillants sans les sensibiliser.

Il suffit d'une simple erreur ou d'une mauvaise configuration pour exposer passivement des données sensibles ou réglementées, et les acteurs malveillants travaillent dur pour rendre leurs pièges plus difficiles à repérer par le collaborateur lambda. Ils savent comment se déguiser en reproduisant l'image de marque et les écrans de connexion de services cloud de confiance. Ils utilisent même les mêmes services cloud de confiance dans leur architecture d'attaque, ce qui leur confère la familiarité d'une URL conviviale.

Les identifiants des applications de cloud sont une cible de choix pour les campagnes de phishing, avec 36 % des campagnes en 2020 ciblant les identifiants des applications de cloud, et ils le font dans des pages qui sont hébergées par, et ressemblent de manière convaincante à, l'instance d'entreprise authentique du propre service de cloud de l'organisation.

Il est de notre responsabilité d'équiper le personnel pour assurer la sécurité des données, et le message traditionnel "ne cliquez pas sur les liens suspects" n'est plus utile. La sensibilisation est la première étape, mais l'objectif doit être "l'activation", c'est-à-dire le moment où les gens se sentent responsables de la sécurité, jusqu'à ce que chaque employé soit un membre de l'équipe de sécurité.

De la même manière que le cloud a entraîné une refonte révolutionnaire des architectures informatiques, des flux de travail et des centres de coûts, il devrait en être de même pour la sécurité.  Que le cloud entre dans l'entreprise par le biais de grands projets de transformation ou d'une application téléchargée sur un appareil non géré, les équipes de sécurité ne peuvent l'ignorer.  Une stratégie SASE - avec de solides principes de confiance zéro - est le meilleur moyen de garantir que le cloud reste une force positive au sein d'une organisation et n’empêche pas les dirigeants d’entreprises de dormir la nuit.