Parmi les nombreuses missions des Responsables de la Sécurité des Systèmes d’Information (RSSI), la sécurité des environnements Cloud est devenue l’une des top priorités. Et la tâche est complexe. Ils doivent en effet s’assurer que leurs environnements Cloud sont non seulement sécurisés, mais aussi résilients face aux menaces potentielles.

Pour ce faire, il est crucial de suivre des repères spécifiques et des indicateurs clés de risques (KRI). Ces mesures permettent d’évaluer la sécurité des services Cloud, d’aligner les efforts de cybersécurité avec les objectifs commerciaux et de communiquer efficacement les résultats aux parties prenantes, notamment les équipes de direction et le conseil d’administration de l’entreprise.

Pour les aider dans cette mission, voici 5repères de sécurité à suivre pour assurer la cybersécurité et la résilience de ses environnements Cloud.

1 - Identifier l’impact des vulnérabilités dans l’environnement d’exécution

Toutes les vulnérabilités ne présentent pas un même niveau de risque. Les RSSI doivent donc prioriser celles qui peuvent avoir un impact significatif sur les applications et services déployés dans le Cloud. Les indicateurs clés de risques suivants sont essentiels pour évaluer le niveau d’impact des vulnérabilités dans l’environnement d’exécution :
  • Pourcentage de vulnérabilités identifiées « at runtime » : cela permet de déterminer l'efficacité de la détection des vulnérabilités critiques qui peuvent être exploitées pendant que l'application est en service.

  • Pourcentage de vulnérabilités avec des exploits connus : identifie les vulnérabilités qui sont déjà exploitées par les attaquants, ce qui les rend particulièrement urgentes à corriger.

  • Pourcentage de vulnérabilités activement ciblées par des acteurs malveillants : met en lumière les vulnérabilités qui sont actuellement ciblées par des attaquants, ce qui nécessite une réponse rapide.
Ces KRIs aident à focaliser les efforts de sécurité sur les vulnérabilités ayant un impact direct sur les opérations en temps réel, permettant ainsi une gestion plus efficace
des risques.

2 - Définir les délais d’investigation nécessaires

La gestion des alertes de sécurité est un défi majeur pour de nombreuses organisations. La fatigue liée au tri et à l’analyse des alertes (communément appelé « alertfagitue ») peut amener les équipes à ignorer des menaces réelles, simplement parce qu'il est difficile de traiter chaque alerte à temps. Pour répondre efficacement aux menaces, il est essentiel de réduire les délais de traitement des alertes. Les KRIs suivants permettent de mesurer la réactivité dans le traitement et l’investigation des alertes :
  • Pourcentage de menaces détectées en 5 secondes : un indicateur clé pour évaluer la rapidité de détection des menaces, essentiel pour empêcher une escalade
    de l’attaque.

  • Pourcentage d'alertes enquêtées dans les 5 minutes : mesure la capacité des équipes à investiguer rapidement les alertes critiques.

  • Pourcentage d'alertes auxquelles une réponse est apportée dans les 5 minutes : évalue la capacité à non seulement détecter mais également à réagir dans un délai très court aux menaces.
Le Benchmark 555 - (détecter en 5 secondes, enquêter en 5 minutes, répondre en
5 minutes) qui est un cadre bien connu définissant les attentes en matière de cybersécurité dans le Cloud - est un objectif ambitieux, mais nécessaire pour garantir une réponse efficace face à des menaces évolutives. Cela exige des outils de détection et de réponse très réactifs et bien intégrés dans l'infrastructure Cloud.

3 - La gouvernance des identités

La gestion des identités, notamment celle des comptes à privilèges élevés, est un aspect crucial de la sécurité du Cloud. Une mauvaise gestion des identités peut exposer l’organisation à des risques de prise de contrôle de compte (AccountTakeover ou ATO) ou d’exploitation des identités. Les indicateurs clés de risques pour la gouvernance des identités incluent :
  • Pourcentage de comptes inactifs depuis 30 jours : cela permet d'identifier les comptes qui ne sont plus utilisés mais qui pourraient encore être exploités
    par un attaquant.

  • Pourcentage de permissions inutilisées : les comptes avec des permissions excessives ou inutilisées représentent un risque potentiel. Ce KRI mesure la proportion de comptes ayant des privilèges non utilisés qui doivent être révoqués.

  • Pourcentage de comptes à privilèges élevés sans authentification forte : il est essentiel que les comptes sensibles aient une authentification forte pour éviter qu’un attaquant ne puisse en prendre le contrôle.
La gouvernance des identités permet de réduire les risques liés aux accès excessifs ou mal gérés, en appliquant le principe du moindre privilège et en désactivant les comptes
non utilisés.

4 - Mauvaises configurations de l’infrastructure

Les erreurs de configuration sont une des causes les plus fréquentes des failles de sécurité dans le Cloud. Les environnements Cloud sont complexeset des configurations incorrectes peuvent laisser des portes ouvertes aux attaquants. Les KRIs suivants permettent de mesurer l’état de la configuration de votre infrastructure :
  • Pourcentage d’actifs Cloud évalués selon une politique de configuration sécurisée: cet indicateur mesure dans quelle mesure les actifs Cloud de l’organisation sont conformes aux bonnes pratiques de configuration.

  • Pourcentage de configurations conformes aux politiques : mesure l’alignement des configurations avec les normes de sécurité définies.

  • Pourcentage de mauvaises configurations corrigées dans un délai déterminé : il est crucial de remédier rapidement aux mauvaises configurations pour minimiser la surface d'attaque.
L’automatisation de la correction des mauvaises configurations, lorsque cela est possible, peut permettre d’agir plus rapidement et efficacement, réduisant ainsi le risque d'exploitation par des attaquants.

5 - Couverture de sécurité

Pour garantir une sécurité optimale, tous les outils de sécurité doivent être déployés de manière uniforme à travers l’ensemble de l’infrastructure Cloud. Cela permet d'assurer que chaque composant de l'infrastructure est correctement surveillé et protégé. Les KRIs à suivre sont :
  • Pourcentage d’actifs Cloud avec des journaux de sécurité et de surveillance correctement configurés : cela mesure la couverture de sécurité en termes de collecte et de surveillance des données critiques pour détecter les menaces.

  • Pourcentage d'outils de sécurité conformes au benchmark 555 : mesure l’efficacité des outils de sécurité en fonction de leur capacité à répondre rapidement
    aux incidents.

  • Nombre d’incidents affectant des applications ou systèmes critiques : ce KRI mesure la fréquence des incidents de sécurité qui impactent directement les systèmes stratégiques de l’entreprise.
Une couverture de sécurité cohérente et bien déployée à l’échelle de l’infrastructure permet d'identifier et de répondre rapidement aux menaces tout en garantissant que les données sensibles sont protégées.

En suivant ces cinq repères clés et en mesurant les KRIs associés, les RSSI peuvent non seulement évaluer l’efficacité de leurs stratégies de sécurité Cloud, mais aussi identifier les domaines nécessitant des améliorations. Une approche basée sur les données permet de prendre des décisions éclairées et d'aligner la cybersécurité avec les objectifs commerciaux de l'organisation. En mesurant régulièrement ces indicateurs, les RSSI peuvent garantir une gestion proactive des risques et une réponse rapide aux menaces, assurant ainsi que les environnements cloud restent sécurisés, résilients et bien protégés.

Par Philippe Darley, Expert cybersécurité du Cloud chez Sysdig

ARTICLES SIMILAIRESPLUS DE L'AUTEUR