10 règles pour une meilleure sécurité du cloud

Le cloud est complexe à gérer, même pour les experts. Voici 10 règles essentielles à avoir en tête pour pouvoir aborder sereinement les défis de la sécurité dans le cloud.

On estime que déjà 50% des données d'entreprise dans le monde sont stockées dans le cloud, ce qui est assez révélateur de la croissance explosive de ce secteur encore relativement jeune. Nous connaissons tous les avantages qui ont favorisé cette adoption : agilité accrue, facilité d'extension et rentabilité. 

Mais en ce qui concerne la sécurité, les choses sont plus nuancées : pour certains, l'idée de confier la plupart, voire la totalité, des actifs les plus précieux d'une entreprise à une organisation tierce est un peu folle, mais pour la (grande) majorité des autres, elle est tout à fait logique. Vous pouvez bénéficier des énormes ressources de sécurité mises en place par les géants du secteur pour protéger vos données, ainsi que du travail des meilleurs ingénieurs 24 heures sur 24 et 7 jours sur 7. Mais ce n'est pas tout à fait la fin de l'histoire.

Dans cet article, nous allons mettre en lumière les concepts de base de la sécurité du cloud et vous donner dix règles pour bien faire les choses.

Modèle de responsabilité partagée

La sécurité dans le cloud suit un modèle connu sous le nom de modèle de responsabilité partagée, qui stipule que le fournisseur est uniquement responsable de la sécurité "du" cloud, tandis que les clients sont responsables de la sécurité "dans" le cloud.

Cela signifie essentiellement que pour fonctionner dans le cloud, vous devez toujours assumer votre part de travail pour une configuration et une gestion sécurisées. La portée de votre engagement peut varier considérablement car elle dépend des services que vous utilisez : si vous avez souscrit à un produit d'infrastructure en tant que service (IaaS), vous êtes responsable des correctifs et des mises à jour du système d'exploitation. Si vous n'avez besoin que d'un stockage objet, votre champ de responsabilité se limitera à la prévention des pertes de données.

Bien qu’on soit en face de cas bien différents, il existe certaines lignes directrices qui s'appliquent quelle que soit votre situation.

Et la raison en est simplement que toutes les vulnérabilités du cloud se réduisent essentiellement à une seule chose : les mauvaises configurations. Les fournisseurs de cloud computing ont mis à votre disposition de puissants outils de sécurité, mais nous savons qu'ils échoueront à un moment ou à un autre. Les gens font des erreurs, et les erreurs de configuration sont faciles à commettre. C'est pourquoi nous avons besoin de garde-fous, afin d'aider à réduire la possibilité que des erreurs se produisent et/ou à réduire leur impact lorsqu'elles se produisent.

Nous allons bientôt énumérer la liste des 10 domaines les plus importants pour la mise en place de garde-fous dans votre politique de sécurité, mais d'abord, nous devons expliquer ce qui rend la sécurité du cloud différente de l'infosec "traditionnelle".

3 clés pour comprendre la sécurité du cloud

Le cloud est un environnement dynamique où les choses changent constamment, mais les objectifs de la sécurité restent les mêmes : s'assurer que les systèmes fonctionnent comme prévu et uniquement comme prévu. Par conséquent, de nombreux concepts de base doivent être redéfinis :

  • Périmètre : la sécurité traditionnelle repose essentiellement sur la sécurisation d'un périmètre de confiance, la fameuse "forteresse". Cependant, un environnement cloud se caractérise avant tout par sa nature distribuée, avec des endpoints qui évoluent de manière dynamique et de nombreuses couches d'interconnexion. Tout modèle de sécurité du cloud doit donc être centré sur la gestion des identités et des accès et se concentrer sur le renforcement des autorisations pour les comptes suspects (c'est là que des techniques comme la modélisation du comportement se révèlent particulièrement puissantes).
  • Passage à l’échelle : le stockage et le traitement sont dynamiques, aussi un cadre de sécurité du cloud doit-il être capable de prendre en compte l'évolution de l'infrastructure. En d'autres termes, il doit être conscient de l'état du système et adapter ses politiques en conséquence.
  • Surveillance : le paysage des menaces évolue aussi rapidement que les nouvelles ressources du cloud s'empilent et que de nouveaux vecteurs d'attaque sont découverts. La complexité supplémentaire des systèmes dynamiques est un handicap : les failles de sécurité peuvent proliférer, sont plus difficiles à repérer et les attaques sont plus sophistiquées. Pour rester à jour, il faut être réactif face à un paysage sécuritaire qui évolue rapidement.

10 règles pour une meilleure sécurité du cloud

Règle 1: Ne pas négliger les informations d'identification des développeurs

En tant qu'entreprise analysant chaque jour des millions de dépôts de code publics et privés, nous ne saurions trop insister sur l'importance de politiques de credentials solides. Vous devriez faire en sorte que vos développeurs n'utilisent que des informations d'identification de courte durée et, éventuellement, prendre le temps nécessaire pour mettre en place une configuration complète, comprenant à la fois la gestion (dans un coffre-fort) et la détection de secrets, (les deux étant complémentaires découvrez pourquoi). Comme l’explique si bien un architecte en chef de la sécurité:

"Si un collègue d'une autre entreprise me disait que la détection des secrets n'est pas une priorité, je lui demanderais ce qui l'est davantage, puis je lui indiquerais une recherche rapide sur Google avec une myriade de problèmes et de violations de données survenus à la suite de fuites de secrets."

C'est pourquoi cette règle est la première de cette liste.

Règle 2: Toujours vérifier les configurations par défaut

Les fournisseurs de cloud computing préconfigurent les politiques de contrôle d'accès courantes. Ces configurations par défaut sont pratiques, mais changent souvent en raison de l'introduction de nouveaux services, et elles ne correspondent pas nécessairement à vos besoins. Réduisez la surface d'attaque en choisissant de ne pas utiliser les services inutiles ou non-utilisés.

Règle 3 : Lister le stockage publiquement accessible

Il n'est pas rare de lire dans l'actualité que certains stockages du cloud ont été laissés en accès libre. Quelle que soit la méthode de stockage que vous choisissez pour vos objets et vos données, vérifiez que seuls les composants prévus sont accessibles au public.

Règle 4 : Revoir régulièrement vos contrôles d'accès

Comme nous l'avons expliqué plus haut, la sécurité du cloud est à peu près aussi forte que vos politiques de gestion des identités et des accès. Les systèmes de sécurité basés sur l'identité deviennent progressivement prédominants et constituent la base des stratégies dites de "confiance zéro". Mais comme tout le reste, ces politiques seront modifiées. La mise en œuvre du principe du moindre privilège est un processus actif, qui implique un réglage fin de l'accès aux services, aux systèmes et au réseau. Des vérifications manuelles et automatisées rigoureuses doivent être programmées et menées de façon régulière.

Règle 5 : Exploiter les blocs réseau

La même règle s'applique aux réseaux : vous devez tirer parti des contrôles de votre fournisseur de services du cloud pour élaborer de meilleures politiques, au niveau granulaire, afin de segmenter le trafic de manière réfléchie.

Règle 6 : Faire de la journalisation et du monitoring préventifs

Une bonne sécurité ne peut aller sans une surveillance et une journalisation solides. Une stratégie de journalisation basée sur les risques est indispensable, mais surtout, vous devez vous assurer que les alertes sont non seulement activées et fonctionnelles, mais qu'elles sont également exploitables, et non pas quelque chose que vous regardez seulement après coup. Idéalement, vous devriez pouvoir regrouper les journaux du cloud sur vos propres systèmes de journalisation via une API ou un autre mécanisme.

Règle 7 : Enrichir son inventaire d’actifs

Utiliser les API de votre fournisseur pour faciliter la tâche ardue de la gestion de l'inventaire est une bonne chose, mais l'enrichir avec des informations supplémentaires sur la propriété, le cas d'utilisation et la sensibilité est encore mieux. Tenez-en compte dans votre stratégie.

Règle 8 : Prévenir le détournement de domaine

La confiance transitive existe souvent entre les services du cloud et les entrées DNS. Passez régulièrement en revue vos configurations DNS et cloud pour éviter les situations de prise de contrôle.

Règle 9 : Un plan de reprise après sinistre n'est pas facultatif

Les environnements de cloud computing ne résolvent pas automatiquement les problèmes de reprise après sinistre (DR). Réfléchissez au niveau d'investissement approprié en cas d'événements catastrophiques dans votre environnement cloud. Concevez un programme de reprise après sinistre pour récupérer des comptes, des fournisseurs ou des lieux extérieurs.

Règle 10 : Limiter les configurations manuelles

Tirer parti des outils et contrôles de sécurité natifs du cloud signifie automatiser. N'oubliez pas que les vulnérabilités proviennent de mauvaises configurations, et que les mauvaises configurations sont des erreurs. Plus il y a de travail manuel à faire, plus il y a de portes ouvertes pour que les erreurs se glissent. Vous devez inciter votre équipe à automatiser davantage, en utilisant du code pour définir les règles de sécurité chaque fois que possible et en renforçant progressivement l'immuabilité (le moins de configuration manuelle possible).

Conclusion

Le cloud est complexe à gérer, même pour les experts, mais il est là pour rester. Pour les professionnels de la sécurité, il s'agit d'un défi particulièrement important, car le champ de responsabilité n'est plus statique, mais en constante évolution, tant pour répondre aux besoins de l'infrastructure que pour réagir aux nouvelles menaces. Mais c'est aussi une période passionnante pour eux, car ils peuvent utiliser toute leur ingéniosité pour élaborer des solutions très efficaces, en tirant parti de la panoplie d'outils déjà fournis par les offres cloud, afin de trouver un équilibre entre les exigences de sécurité et la flexibilité. Nous vous avons présenté 10 règles pour améliorer la sécurité du cloud, mais c'est à vous de créer vos propres garde-fous !