Cybersécurité : 7 bonnes pratiques dans la gestion du cloud

Cybersécurité Responsable Sécurité
Cybersécurité Responsable Sécurité

Temps de lecture : 5 minutes

Publié le 19 mars 2021

De plus en plus d’entreprises digitalisent leur activité grâce au cloud. Plus sûr et plus robuste qu’une infrastructure on-premise, le cloud suppose d’adapter ses pratiques à cet environnement en constante évolution. Suivez le guide !

Bienvenue dans l’ère du cloud ! Après être passé de l’ordinateur central (mainframe) à l’ordinateur personnel (PC), et du PC au serveur client, le cloud fait aujourd’hui office de nouvelle innovation de référence. Dans le domaine de la gestion des infrastructures techniques, c’est un changement générationnel important. Et les pratiques diffèrent : il ne suffit pas de transposer littéralement les connaissances des anciennes architectures sur le cloud, qui suppose une gestion adaptée. Alors, comment s’assurer des bonnes pratiques ? Les conseils de Yann Duchene, chef de projets informatique, et des architectes sécurité Mark Simos et Sarah Young.

Livre Blanc

Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger le livre blanc

Le cloud, une infrastructure mouvante

De l’avis des trois experts, l’environnement et l’architecture du cloud sont complexes, riches et en constante et rapide évolution. « Il faut donc reconnaître ne pas pouvoir connaître tous les aspects du cloud » et privilégier une approche « à la demande ».

Les évolutions sont plus rapides dans la pratique que dans les textes : les régulations et normes de sécurité ne sont donc pas nécessairement adaptées au cloud, préviennent les experts. « Ce n’est pas parce que vous êtes en règle, que vous êtes en sécurité », martèlent ainsi Mark Simos et Sarah Young. Alors que les normes de sécurité tendent à être plutôt statiques et normatives, la sécurité en elle-même est basée sur les risques de ce qu’une attaque peut infliger à votre business et est plus dynamique, expliquent-ils.

Pour s’assurer de la bonne gestion du cloud, la stratégie d’adoption privilégiée est l’approche « as a service », soit Saas (software as a service), Paas (platform as a service) et Iaas (infrastructure as a service). En clair, l’utilisateur délègue une partie des tâches de gestion et de maintenance à l’éditeur de cloud. L’utilisateur garde néanmoins une responsabilité dans la sécurité de ses informations, préviennent les experts. C’est ce que l’on appelle « la responsabilité partagée ».

Conseil n°1 : Se protéger d’une attaque en augmentant son « coût » pour l’attaquant

Les attaques 0days sont relativement coûteuses (entre 5000 et 350 000 dollars) alors qu’un ransomware ou un denial of service (ddos) sont relativement accessibles (66 dollars ou 30 % du profit pour le premier, 102 dollars pour un jour et 767 dollars pour un mois pour le second), détaillent Mark Simos et Sarah Young. Bref, à la bourse des attaques, les moins coûteuses sont aussi les plus utilisées !

Une solution consiste à mettre en place différentes couches de protections, en variant leur nature. « Cela augmente le coût pour l’attaquant qui doit alors trouver de nouvelles façons de dépasser ces obstacles », présente l’architecte sécurité Sarah Young. De quoi en décourager certains.

Lire aussi Covid-19 et cybersécurité : les chiffres clés de l’année 2020

Conseil n°2 : Rester attentif aux nouvelles tendances d’attaque

Certaines attaques sont standards : ransomware, ddos, phishing etc. Mais il faut aussi prendre en compte les nouvelles attaques ou celles dont la popularité augmente. Parmi elles, il est désormais courant pour les attaquants de tenter d’obtenir une clé Github ou d’autres site de dépôt de code en ligne. Pour se prémunir de ce genre d’attaque, suggère Mark Simos, architecte sécurité, « il faut éviter de demander aux développeurs de prendre soin des clés car ils vont les déposer dans leur espace de travail, leur code, et risque de l’oublier et le téléverser dans le cloud. C’est une erreur très commune. » Et oui, comme souvent en cybersécurité, l’humain est le maillon faible de la chaîne !

On retrouve aussi les passwords spray, une forme évoluée de brute force, détaillent les deux architectes, lorsque les attaquants tentent de se connecter via les mots de passe les plus communs, ou encore l’arrivée des cryptominers, soit des programmes qui prennent contrôle du pouvoir de calcul de vos machines.

Lire aussi Les nouveaux concepts de la cybersécurité

Conseil n°3 : Régler les vulnérabilités à la racine

« Si une application est vulnérable, elle ne deviendra pas sûre simplement en la déplaçant dans le cloud, rappelle Sarah Young. Il faut régler le problème à la racine. » Même chose pour une machine non patchée et connectée à Internet : c’est une question de minutes avant qu’elle ne soit compromise.

Des erreurs courantes pour des risques immédiats heureusement facilement identifiables. Il existe au sein des technologies du cloud des processus automatisés de détection pour identifier ces « top risks ».

Conseil n°4 : L’identité est le nouveau périmètre de sécurité

Selon Sarah Young, c’est le nouveau mantra de l’industrie de la cybersécurité. Alors que traditionnellement on passait par un point d’interception basé sur réseau, sécurisé par des firewalls, désormais, l’accès se fait désormais selon l’identité .

L’implication est le passage à un environnement « Zero Trust » : la confiance zéro. Chaque individu ou application cherchant à avoir accès au réseau doit pouvoir prouver qu’il est bien qui il avance être, et qu’il est donc autorisé aux accès auxquels il prétend. Pour cela, plusieurs options sont disponibles dans les technologies de cloud : identité locale, renforcement d’identification (via votre téléphone par exemple) ou encore calcul des risques par machine learning.

Lire aussi Qu’est-ce que l’identité décentralisée ?

Conseil n°5 : Segmenter les accès

Pour une gestion saine du cloud, une bonne pratique consiste à mettre en place une stratégie de segmentation. Il s’agit donc ici d’organiser les environnements et les accès afin que chaque rôle soit établi. « C’est fondamental pour ne pas que les environnements se multiplient de manière chaotique et que l’on perde le contrôle », prévient Mark Simos .

C’est pourquoi la segmentation doit être faite le plus tôt possible : elle peut être difficile à effectuer à posteriori. Il faut aussi avoir des recommandations claires sur le rôle de chacun pour qu’en cas d’investigation, les équipes sécurité puissent rapidement interagir avec les bonnes personnes.

Selon les besoins du client, il peut y avoir des environnements multiples mais connectés. Cependant, il faut garder en tête que gérer plusieurs environnements est plus complexe que n’en gérer qu’un seul.

Webinar

Améliorez la sécurité de vos PC dans le Cloud avec Windows

76% des décideurs IT en charge de PC et technologies prévoient d’augmenter les investissements au cours des deux prochaines années dont 36 % s’attendent à un double investissement.

Je m’inscris

Conseil n°6 : Manager les accès

Clarté et organisation, toujours. Donner des droits granulaires à des individus peut rapidement devenir difficile à gérer. Mieux vaut donner des droits à des groupes. On pourra par exemple mettre en place des « managing tenants », soit des équipes centrales dont le but sera d’éviter des environnements isolés et l’effet « shadow IT » qui, en créant des angles morts, induit du risque.

Il est recommandé de mettre en place des « root management groups », c’est-à-dire que l’on détermine à la racine des tags, droits d’accès, politiques, exigences réglementaires, restrictions etc. qui s’appliqueront à un environnement entier. Attention toutefois à tester les effets collatéraux, pour ne pas être trop restrictif.

Sur chacun des segments, il est recommandé d’utiliser un « top management group ». C’est ce qui va définir le périmètre d’un segment. On évite de dépasser trois niveaux de complexité, ce qui portera la profondeur d’un segment à quatre niveaux avec les root management groups.

Lire aussi Comment lutter contre la pénurie de talents en cybersécurité ?

Conseil n°7 : Hiérarchiser les privilèges

A grand pouvoir, grandes responsabilités. Il faut définir des comptes critiques et s’intéresser notamment aux permissions dont ces comptes vont hériter. Par exemple, un global admin ou tenant admin a des hauts privilèges : il devra donc être signalé comme critique et surveillé comme tel. C’est à l’utilisateur du cloud de déterminer quels sont les comptes, les groupes et les rôles qui donnent accès à des données critiques (données de clients, fichiers sensibles…).

Les comptes à privilèges hauts dans l’environnement doivent être audités régulièrement. Ce contrôle peut être fait de manière manuelle ou automatique. « L’objectif est de ne pas avoir de privilèges élevés récurrents s’ils ne sont pas nécessaires », pose Yann Duchene, chef de projets informatique.

Questions fréquentes

Qu’est-ce qu’un cloud ?

Le Cloud computing est une technologie offrant de nombreux services comme le stockage de données sur des serveurs distants, ou le développement de nouveaux services ou d’applications. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS.

Quel est le rôle du cloud ?

Le Cloud computing permet de stocker ses données sur des serveurs distants, sans avoir à gérer ou maintenir son hébergement donc, et d’y accéder depuis n’importe quel terminal.

Qu’est-ce que le Zero Trust ?

En cybersécurité, cette approche consiste à traiter chaque tentative d’accès comme provenant d’un réseau non approuvé. Donc de mettre en place une authentification forte, d’utiliser le principe du moindre privilège et d’anticiper une faille dans son système.

 

 

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles