Défis de la sécurité du cloud en 2023
19 mai 2022
0 minutes de lectureLe cloud est au centre de tout. Le choix du cloud plutôt que du stockage local présente des avantages considérables en termes de coûts et de simplicité. En effet, les avantages du cloud sur les centres de données classiques sont nombreux, que ce soit sur le plan des délais de commercialisation, des coûts, de la résilience, de l’internationalisation, de la sécurité ou de l’innovation.
Mais le cloud présente aussi des problèmes et risques spécifiques, une inquiétude sérieuse pour 99 % des entreprises. Poursuivez votre lecture pour en savoir plus sur les problèmes de sécurité du cloud, les défis spécifiques posés par cette architecture et les meilleures pratiques de sécurité du cloud à suivre. Vous aurez ainsi toutes les clés en main pour aider votre organisation à améliorer notablement sa posture de sécurité et éviter les menaces pesant sur le cloud.
Qu’est-ce que la sécurité du cloud ?
La sécurité du cloud réunit toutes les facettes de la sécurité de l’information : logiciels, politiques, processus, personnel et infrastructure. Elle est pensée spécifiquement pour relever les défis et obligations des architectures cloud.
Une infrastructure hébergée dans le cloud pose des problèmes de sécurité inédits, bien différents des difficultés rencontrées dans les autres infrastructures. La sécurité du cloud impose aux organisations de mieux comprendre les obligations de sécurité qui leur incombent dans le cadre du modèle de responsabilité partagée des fournisseurs, mais aussi de prendre conscience du caractère plus complexe et dynamique de la surface d’attaque qui accompagne un recours accru au cloud. Pour sécuriser l’utilisation du cloud et limiter la surface d’attaque et le rayon potentiel d’une intrusion initiale, il est nécessaire de concevoir une architecture cloud pensée pour la sécurité.
Bien que la sécurité du cloud oblige à revoir les approches traditionnelles de la sécurité de l’information, certains principes fondamentaux restent applicables. Mais pour parvenir à assurer la confidentialité, l’intégrité et la disponibilité de leurs informations stratégiques, les organisations doivent bien comprendre les spécificités de la sécurité du cloud.
Pourquoi la sécurité du cloud est-elle importante ?
La sécurité du cloud consiste à disposer d’une connaissance parfaite de l’environnement, à maintenir cette connaissance, mais aussi à empêcher les attaquants d’accéder à cette connaissance. Pour protéger vos données sensibles hébergées dans le cloud, vous devez savoir où elles se trouvent et de quelle manière elles sont accessibles. Vous devez aussi éliminer les lacunes de votre architecture que des attaquants pourraient exploiter pour procéder à une reconnaissance de vos systèmes, s’y déplacer et en extraire des données.
On dit souvent que les données sont le nouvel or noir, car leur valeur est considérable. Il peut s’agir de données client, de données de santé, de plans d’affaires, d’informations financières ou de nombreuses autres informations à caractère confidentiel. Une violation de la confidentialité des données peut vous coûter la confiance de vos clients, des amendes et des poursuites, mais aussi générer toute une série de pertes financières et de difficultés inattendues.
Les 11 principaux défis de sécurité de 2023
Des organisations de toutes tailles ont déjà adopté une forme de cloud computing ou une autre et elles feront en toute probabilité de plus en plus appel à des services cloud au fil de leur croissance. Par conséquent, il est important pour elles d’adopter une architecture de sécurité du cloud permettant de minimiser les menaces pesant sur la sécurité du cloud, comme les erreurs de configuration. La sécurité du cloud est l’affaire de tous, et il n’est jamais trop tôt ni trop tard pour mettre en place une posture de sécurité ou améliorer une posture existante.
Voyons en détail certains des principaux défis de la sécurité du cloud en 2023.
1. Systèmes hérités
La sécurité du cloud impose aux équipes techniques de déployer des outils de sécurité cloud natifs et des politiques spécifiques, mais aussi de mettre en place le personnel nécessaire pour prendre en charge une architecture tournée vers le cloud. Il est en effet déconseillé d’installer vos outils hérités sur votre infrastructure cloud, notamment les outils classiques de surveillance réseau et les pare-feu, qui ne sont généralement pas compatibles avec ce type d’infrastructure. Votre environnement cloud ne serait donc pas sécurisé efficacement et serait très vulnérable aux compromissions.
Cette incompatibilité s’explique par l’absence de véritable limite réseau : les menaces qui pèsent sur un environnement cloud et sur un environnement hérité sont par conséquent très différentes. Dans une infrastructure traditionnelle, les pare-feu et la topologie réseau physique, par exemple, établissent une distinction claire entre l’intérieur et l’extérieur du réseau. Pour rendre les ressources internes accessibles depuis l’extérieur, il faut généralement configurer les appareils réseau explicitement en ce sens, pare-feu compris, et s’adapter à la topologie de routage.
A contrario, les ressources cloud peuvent être configurées de sorte à être accessibles par tous dès leur mise en service. Pour maintenir une posture sécurisée, une politique zero-trust est donc nécessaire. Les équipes techniques doivent partir du principe que chaque nœud peut être compromis et imposer une authentification et un chiffrement de toutes les tentatives de communication, où qu’elles se déroulent dans l’architecture réseau. Cette prémisse implique d’évaluer le rayon potentiel de ces infiltrations, car les attaquants utilisent des clés API sur les ressources auxquelles ils ont pu accéder pour compromettre le plan de contrôle du cloud afin d’obtenir des informations, se déplacer latéralement et exfiltrer des données sans se faire repérer.
2. Sécurité des charges de travail des conteneurs
Les applications et charges de travail qui s’exécutent dans le cloud ont bien changé depuis l’ère des stations de travail et des serveurs bare-metal. Les applications Web constituent désormais l’une des méthodes privilégiées pour la distribution de logiciels, et les conteneurs comptent parmi les plateformes les plus souvent utilisées pour leur exécution. Plus de 78 % des charges de travail en production sont ainsi déployées sous forme de conteneurs.
Au-delà des conteneurs à proprement parler, les outils d’orchestration comme Kubernetes fournissent aux organisations de puissants outils pour déployer largement leurs applications, mais introduisent aussi plus de complexité et de nouveaux problèmes de sécurité.
Les conteneurs font partie de ces nouveaux défis de la sécurité du cloud qui n’ont aucun équivalent dans les architectures traditionnelles. Les conteneurs comme ceux s’exécutant sur le moteur Docker sont souvent issus d’images de base provenant de référentiels publics tiers. Ces images de base peuvent être obsolètes ou même avoir été compromises par des acteurs malveillants.
Ces compromissions montrent bien qu’il est nécessaire de mettre en place des outils de sécurité compatibles avec l’ensemble du cycle de développement et des outils : la détection d’une telle vulnérabilité en production signifie que l’organisation est peut-être déjà compromise. Des entreprises de sécurité comme Snyk se sont associées à Docker pour renforcer la sécurité des référentiels d’images publics en proposant des services d’analyse et de certification des images.
3. Violations de données
Les violations de données figurent toujours parmi les incidents de sécurité les plus fréquents. Elles font sans cesse l’actualité et touchent les utilisateurs du cloud même les plus pointus.
Pour les éviter, il est important de comprendre que les données sont précieuses et que leur exposition peut avoir de graves conséquences. Il est par conséquent recommandé de toujours chiffrer les données et de déployer un plan de réponse aux incidents solide et testé avec le plus grand soin. Par ailleurs, le déploiement de routines de vérification de l’intégrité des données entrantes et sortantes est indispensable. Pour limiter les risques, les organisations doivent donner la priorité aux contrôles de sécurité et les documenter.
Comme nous l’avons vu précédemment, les violations de données peuvent avoir des conséquences désastreuses sur les entreprises, à l’image de ce qui s’est passé suite aux erreurs de configuration du cloud de Capital One. Les entreprises touchées par ce type d’événement peuvent être entraînées dans des procès très médiatisés et attirer l’attention des autorités de réglementation. Les hackers peuvent même vendre les informations personnelles et de santé dont elles disposent sur le marché noir.
4. Erreurs de configuration et contrôle des changements
Chaque organisation doit savoir quelles données elle envoie dans le cloud, quels systèmes et personnes y ont accès, et quel niveau de protection est appliqué en interne et par le fournisseur de services cloud.
Disons-le franchement, même si vous avez adopté une liste de mesures de sécurité longue comme le bras, ce n’est pas elle qui sécurisera vos données sur le cloud. En effet, les environnements cloud évoluent en permanence. La moindre erreur de configuration peut aboutir à des violations de données en rendant les organisations vulnérables à des attaques exécutées en quelques minutes seulement. Preuve en est, plus de 56 % des organisations interrogées affirment avoir été victimes d’une erreur de configuration ou d’un incident lié à des vulnérabilités connues.
Pour limiter le risque d’erreur de configuration, il est recommandé d’adopter un système strict de gestion des changements. Une telle stratégie implique de demander, d’approuver, de valider et de consigner chaque changement dans vos systèmes. En effet, un contrôle des changements inefficace a toutes les chances d’aboutir à des erreurs de configuration et des violations.
La politique en tant que code offre un autre moyen d’éviter les erreurs de configuration. Elle permet d’automatiser les contrôles de sécurité et offre à toutes les parties prenantes une seule source de vérité en faisant disparaître les différences d’interprétation, d’évaluation et d’application. Elle élimine les erreurs humaines et les processus manuels chronophages. Open Policy Agent est aujourd’hui la norme open source de référence pour la politique en tant que code. Elle est appliquée et soutenue par des entreprises comme Netflix, Pinterest et CloudFlare.
5. Architecture de sécurité du cloud
Souvent, les organisations n’ont pas d’architecture de sécurité du cloud et de stratégie associée. Il est préférable de comprendre les menaces auxquelles vous exposez votre entreprise avant d’adopter le cloud, mais aussi de vous assurer de disposer en interne de l’expertise nécessaire, car la sécurité du cloud est plus efficace lorsqu’elle est intégrée dans la conception même des environnements cloud. Vous devez donc élaborer des techniques et stratégies de migration appropriées avant le déploiement. Les équipes techniques doivent également examiner de près les programmes de sécurité de leurs services cloud pour minimiser les risques liés aux clouds publics.
Pour compléter les solutions technologies de votre fournisseur de services cloud, demandez-lui les rapports d’audit tiers, ainsi que les conditions de divulgation des violations.
6. Open source
Les progrès en matière de culture, processus, maintenance des paquets et même outils pour les développeurs contribuent à améliorer la posture de sécurité globale et la maturité de l’écosystème de sécurité open source dans le cloud. Néanmoins, il reste important de comprendre les risques qu’implique l’intégration d’outils, de plateformes et de code open source dans vos systèmes cloud. Connaître, c’est pouvoir. En comprenant les principaux risques, votre organisation sera plus à même de renforcer sa sécurité.
Certains des risques majeurs associés aux outils open source résident parfois dans le fait qu’ils ne proposent pas d’assistance dédiée ou que cette assistance est non officielle et non adaptée. De plus, les vulnérabilités découvertes dans les composants open source sont souvent rendues publiques par la communauté open source et les organisations de supervision. Ce phénomène peut attirer une attention indésirable sur votre organisation et la soumettre à des attaques de sécurité.
7. Gestion des identités, identifiants et accès
Les entreprises pouvant compter des centaines, voire des milliers d’ingénieurs, les accès doivent être accordés en fonction du rôle et des besoins de chacun. Pour le dire clairement, il est préférable d’appliquer les principes du moindre privilège pour éviter les problèmes de contrôle des accès, et d’établir en parallèle des procédures et politiques de suppression et retrait sécurisés des données.
Globalement, mieux vaut auditer, suivre, surveiller et gérer en continu vos identifiants cloud pour faire face aux problèmes liés au provisioning/deprovisioning, aux comptes zombies, aux comptes administrateurs superflus et aux utilisateurs contournant les contrôles de gestion des identités et des accès (IAM).
L’IAM joue un rôle central dans les violations du cloud modernes et ce risque ne se limite pas aux accès. L’IAM est en réalité un réseau dans le cloud, et les ressources du cloud utilisent l’IAM pour interagir avec d’autres ressources cloud. Il est donc nécessaire d’évaluer avec une vigilance particulière l’utilisation de l’IAM dans les environnements cloud afin de repérer les configurations non sécurisées pouvant passer inaperçues lors des audits de conformité ou des analyses de nombreux outils de sécurité. Les développeurs doivent disposer de contrôles PaC alertant sur ces configurations lors de l’élaboration de l’infrastructure en tant que code.
Il est également recommandé aux organisations d’appliquer une authentification à deux facteurs, de respecter des contrôles du cloud IAM stricts, de modifier régulièrement les clés API et de désactiver les identifiants non utilisés.
8. Conformité réglementaire
Comme pour la sécurité du cloud, les entreprises doivent savoir répartir les responsabilités de la conformité réglementaire dans le cloud, en particulier pour les données de santé et financières. De nombreuses réglementations protègent les données, et elles évoluent en permanence. Par conséquent, les organisations doivent absolument s’assurer que leurs fournisseurs de services cloud et applications disposent des certifications nécessaires à la manipulation de données sensibles.
Il existe a minima quatre réglementations des données vis-à-vis dont les organisations utilisant le cloud doivent tenir compte :
HIPAA : toute application de santé qui traite des informations de santé protégées est soumise aux règles de confidentialité et de sécurité de la loi Health Insurance Portability and Accountability Act. Cette loi peut imposer aux entreprises de santé d’obtenir de leurs fournisseurs de services cloud la confirmation qu’ils protègent ce type de données.
PCI : la norme Payment Card Industry Data Security Standard (PCI DSS) concerne les entreprises qui manipulent les données de cartes bancaires des grands émetteurs de cartes comme American Express, Discover, Mastercard et Visa. Le respect de cette norme est exigé par ces derniers. Elle est supervisée par le Payment Card Industry Security Standards Council et a pour but de limiter la fraude à la carte de paiement.
Données personnelles : ces données incluent toute information qui permet d’identifier les consommateurs, employés, partenaires et la plupart des entités légales. Pour se conformer aux lois sur les données personnelles, de nombreuses réglementations relatives aux violations des données imposent aux organisations de générer des rapports de conformité et de divulguer les violations dont elles ont pu être victimes.
RGPD : le Règlement général sur la protection des données (RGPD) a pour objectif d’améliorer la protection des données des citoyens de l’Union européenne. Il prévoit que les données comme le nom, l’adresse, les photos, les adresses e-mail, les coordonnées bancaires, les publications sur les réseaux sociaux, les informations médicales et les adresses IP doivent être hébergées et maintenues sur des serveurs situés au sein de l’Union européenne. Il impose également aux entreprises de notifier leurs clients de toute violation de données.
9. API non sécurisées
Les services cloud sont naturellement associés à des interfaces de programmation d’applications, aussi appelées API. Ces API sont généralement bien documentées pour leurs utilisateurs. Néanmoins, une erreur de configuration de votre entreprise peut aboutir à des violations de sécurité. La documentation communiquée par le fournisseur de services cloud peut aussi être détournée par les cybercriminels afin d’identifier et d’exploiter des vulnérabilités et dérober des données sensibles.
Par ailleurs, la documentation des API, pensée à l’origine pour les clients, peut aussi être utilisée par les cybercriminels pour identifier et exploiter des méthodes d’accès aux données sensibles d’un environnement cloud et d’exfiltration de ces données.
Il est ainsi recommandé d’adopter une hygiène appropriée en matière d’API, de déployer des frameworks d’API ouverts, et d’éviter de réutiliser des clés API. Testez la sécurité des API et assurez-vous qu’elles respectent les exigences légales et réglementaires.
10. Menaces venues de l’intérieur
Ce type de menace ne touche pas que le cloud. Que ce soit intentionnellement ou par négligence, les employés, sous-traitants et partenaires actuels ou passés d’une organisation peuvent être la cause de violations de données, de temps d’arrêt et de la perte de confiance des clients.
Les menaces venues de l’intérieur incluent la divulgation ou le vol de données, les problèmes d’identifiants, les erreurs humaines et les erreurs de configuration du cloud. Pour y faire face, les organisations doivent mettre en place des formations de sensibilisation à la sécurité, corriger les serveurs cloud mal configurés et appliquer des contrôles d’accès stricts aux systèmes stratégiques.
11. Absence d’expertise interne
Il s’agit peut-être de la principale menace interne non malveillante à laquelle les organisations sont aujourd’hui confrontées. Sa nature même est liée aux nombreux sujets évoqués dans cet article.
Par exemple, les erreurs de configuration de votre plateforme cloud et vos API vous exposent à de nombreuses vulnérabilités. Une mauvaise compréhension des réglementations sur les données et une non-conformité à ces réglementations vous exposent par ailleurs à un risque financier et réputationnel. Enfin, en n’adoptant pas des contrôles d’accès et des pratiques de gestion des changements appropriés et documentés, votre organisation s’expose à des menaces internes et externes, à une attention négative du public, ainsi qu’à des poursuites judiciaires.
Relevez les défis de la sécurité du cloud avec Snyk
De plus en plus d’organisations migrent vers le cloud, mais presque 60 % de celles ayant adopté une stratégie cloud native s’inquiètent plus fortement de leur sécurité.
La plupart des attaques et violations importantes touchant le cloud reposent sur diverses vulnérabilités d’applications qui ont pu être exploitées ou aggravées par une erreur de configuration. C’est pour cette raison que les équipes de développement et de sécurité doivent comprendre les meilleures pratiques de sécurisation de leurs applications cloud natives.
Sécurisez vos applications comme le font les experts cloud natifs. Les solutions de sécurité des développeurs proposées par Snyk permettent de créer des applications modernes de manière sécurisée en donnant aux développeurs les moyens de gérer et créer la sécurité de l’ensemble de l’application, code, composants open source, conteneurs et infrastructure cloud compris.
Détectez et corrigez gratuitement les problèmes de sécurité
Analysez votre code pour y détecter d’éventuels problèmes de qualité et de sécurité, et obtenez des conseils pour les corriger directement dans votre IDE. Lancez-vous avec l’essai gratuit Snyk.