Cybersécurité : 7 bonnes pratiques dans la gestion du cloud

Temps de lecture : 5 minutes

De plus en plus d’entreprises digitalisent leur activité grâce au cloud. Plus sûr et plus robuste qu’une infrastructure on-premise, le cloud suppose d’adapter ses pratiques à cet environnement en constante évolution. Suivez le guide !

Bienvenue dans l’ère du cloud ! Après être passé de l’ordinateur central (mainframe) à l’ordinateur personnel (PC), et du PC au serveur client, le cloud fait aujourd’hui office de nouvelle innovation de référence. Dans le domaine de la gestion des infrastructures techniques, c’est un changement générationnel important. Et les pratiques diffèrent : il ne suffit pas de transposer littéralement les connaissances des anciennes architectures sur le cloud, qui suppose une gestion adaptée. Alors, comment s’assurer des bonnes pratiques ? Les conseils de Yann Duchene, chef de projets informatique, et des architectes sécurité Mark Simos et Sarah Young.

Livre Blanc
Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger

Le cloud, une infrastructure mouvante

De l’avis des trois experts, l’environnement et l’architecture du cloud sont complexes, riches et en constante et rapide évolution. « Il faut donc reconnaître ne pas pouvoir connaître tous les aspects du cloud » et privilégier une approche « à la demande ».

Les évolutions sont plus rapides dans la pratique que dans les textes : les régulations et normes de sécurité ne sont donc pas nécessairement adaptées au cloud, préviennent les experts. « Ce n’est pas parce que vous êtes en règle, que vous êtes en sécurité », martèlent ainsi Mark Simos et Sarah Young. Alors que les normes de sécurité tendent à être plutôt statiques et normatives, la sécurité en elle-même est basée sur les risques de ce qu’une attaque peut infliger à votre business et est plus dynamique, expliquent-ils.

Pour s’assurer de la bonne gestion du cloud, la stratégie d’adoption privilégiée est l’approche « as a service », soit Saas (software as a service), Paas (platform as a service) et Iaas (infrastructure as a service). En clair, l’utilisateur délègue une partie des tâches de gestion et de maintenance à l’éditeur de cloud. L’utilisateur garde néanmoins une responsabilité dans la sécurité de ses informations, préviennent les experts. C’est ce que l’on appelle « la responsabilité partagée ».

Conseil n°1 : Se protéger d’une attaque en augmentant son « coût » pour l’attaquant

Les attaques 0days sont relativement coûteuses (entre 5000 et 350 000 dollars) alors qu’un ransomware ou un denial of service (ddos) sont relativement accessibles (66 dollars ou 30 % du profit pour le premier, 102 dollars pour un jour et 767 dollars pour un mois pour le second), détaillent Mark Simos et Sarah Young. Bref, à la bourse des attaques, les moins coûteuses sont aussi les plus utilisées !

Une solution consiste à mettre en place différentes couches de protections, en variant leur nature. « Cela augmente le coût pour l’attaquant qui doit alors trouver de nouvelles façons de dépasser ces obstacles », présente l’architecte sécurité Sarah Young. De quoi en décourager certains.

Lire aussi Covid-19 et cybersécurité : les chiffres clés de l’année 2020

Conseil n°2 : Rester attentif aux nouvelles tendances d’attaque

Certaines attaques sont standards : ransomware, ddos, phishing etc. Mais il faut aussi prendre en compte les nouvelles attaques ou celles dont la popularité augmente. Parmi elles, il est désormais courant pour les attaquants de tenter d’obtenir une clé Github ou d’autres site de dépôt de code en ligne. Pour se prémunir de ce genre d’attaque, suggère Mark Simos, architecte sécurité, « il faut éviter de demander aux développeurs de prendre soin des clés car ils vont les déposer dans leur espace de travail, leur code, et risque de l’oublier et le téléverser dans le cloud. C’est une erreur très commune. » Et oui, comme souvent en cybersécurité, l’humain est le maillon faible de la chaîne !

On retrouve aussi les passwords spray, une forme évoluée de brute force, détaillent les deux architectes, lorsque les attaquants tentent de se connecter via les mots de passe les plus communs, ou encore l’arrivée des cryptominers, soit des programmes qui prennent contrôle du pouvoir de calcul de vos machines.

Lire aussi Les nouveaux concepts de la cybersécurité

Conseil n°3 : Régler les vulnérabilités à la racine

« Si une application est vulnérable, elle ne deviendra pas sûre simplement en la déplaçant dans le cloud, rappelle Sarah Young. Il faut régler le problème à la racine. » Même chose pour une machine non patchée et connectée à Internet : c’est une question de minutes avant qu’elle ne soit compromise.

Des erreurs courantes pour des risques immédiats heureusement facilement identifiables. Il existe au sein des technologies du cloud des processus automatisés de détection pour identifier ces « top risks ».

Conseil n°4 : L’identité est le nouveau périmètre de sécurité

Selon Sarah Young, c’est le nouveau mantra de l’industrie de la cybersécurité. Alors que traditionnellement on passait par un point d’interception basé sur réseau, sécurisé par des firewalls, désormais, l’accès se fait désormais selon l’identité .

L’implication est le passage à un environnement « Zero Trust » : la confiance zéro. Chaque individu ou application cherchant à avoir accès au réseau doit pouvoir prouver qu’il est bien qui il avance être, et qu’il est donc autorisé aux accès auxquels il prétend. Pour cela, plusieurs options sont disponibles dans les technologies de cloud : identité locale, renforcement d’identification (via votre téléphone par exemple) ou encore calcul des risques par machine learning.

Lire aussi Qu’est-ce que l’identité décentralisée ?

Conseil n°5 : Segmenter les accès

Pour une gestion saine du cloud, une bonne pratique consiste à mettre en place une stratégie de segmentation. Il s’agit donc ici d’organiser les environnements et les accès afin que chaque rôle soit établi. « C’est fondamental pour ne pas que les environnements se multiplient de manière chaotique et que l’on perde le contrôle », prévient Mark Simos .

C’est pourquoi la segmentation doit être faite le plus tôt possible : elle peut être difficile à effectuer à posteriori. Il faut aussi avoir des recommandations claires sur le rôle de chacun pour qu’en cas d’investigation, les équipes sécurité puissent rapidement interagir avec les bonnes personnes.

Selon les besoins du client, il peut y avoir des environnements multiples mais connectés. Cependant, il faut garder en tête que gérer plusieurs environnements est plus complexe que n’en gérer qu’un seul.

Replay
Webinar Cloud Experts – Azure Security Compass

Découvrez comment mettre en place une sécurisation de l’environnement cloud dans lequel vous travaillez grâce aux outils d’Azure lors de notre webinar Azure Security Compass.

S’inscrire

Conseil n°6 : Manager les accès

Clarté et organisation, toujours. Donner des droits granulaires à des individus peut rapidement devenir difficile à gérer. Mieux vaut donner des droits à des groupes. On pourra par exemple mettre en place des « managing tenants », soit des équipes centrales dont le but sera d’éviter des environnements isolés et l’effet « shadow IT » qui, en créant des angles morts, induit du risque.

Il est recommandé de mettre en place des « root management groups », c’est-à-dire que l’on détermine à la racine des tags, droits d’accès, politiques, exigences réglementaires, restrictions etc. qui s’appliqueront à un environnement entier. Attention toutefois à tester les effets collatéraux, pour ne pas être trop restrictif.

Sur chacun des segments, il est recommandé d’utiliser un « top management group ». C’est ce qui va définir le périmètre d’un segment. On évite de dépasser trois niveaux de complexité, ce qui portera la profondeur d’un segment à quatre niveaux avec les root management groups.

Lire aussi Comment lutter contre la pénurie de talents en cybersécurité ?

Conseil n°7 : Hiérarchiser les privilèges

A grand pouvoir, grandes responsabilités. Il faut définir des comptes critiques et s’intéresser notamment aux permissions dont ces comptes vont hériter. Par exemple, un global admin ou tenant admin a des hauts privilèges : il devra donc être signalé comme critique et surveillé comme tel. C’est à l’utilisateur du cloud de déterminer quels sont les comptes, les groupes et les rôles qui donnent accès à des données critiques (données de clients, fichiers sensibles…).

Les comptes à privilèges hauts dans l’environnement doivent être audités régulièrement. Ce contrôle peut être fait de manière manuelle ou automatique. « L’objectif est de ne pas avoir de privilèges élevés récurrents s’ils ne sont pas nécessaires », pose Yann Duchene, chef de projets informatique.

Questions fréquentes

Qu’est-ce qu’un cloud ?

Le Cloud computing est une technologie offrant de nombreux services comme le stockage de données sur des serveurs distants, ou le développement de nouveaux services ou d’applications. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS.

Quel est le rôle du cloud ?

Le Cloud computing permet de stocker ses données sur des serveurs distants, sans avoir à gérer ou maintenir son hébergement donc, et d’y accéder depuis n’importe quel terminal.

Qu’est-ce que le Zero Trust ?

En cybersécurité, cette approche consiste à traiter chaque tentative d’accès comme provenant d’un réseau non approuvé. Donc de mettre en place une authentification forte, d’utiliser le principe du moindre privilège et d’anticiper une faille dans son système.