Les organisations d’aujourd’hui s’appuient principalement sur les technologies du cloud pour faire fonctionner leurs systèmes critiques et stocker leurs actifs numériques. Cependant, les solutions actuelles de sécurité du cloud ne parviennent pas à protéger les entreprises contre les cybercriminels qui exfiltrent fréquemment des données en exigeant le paiement de rançons exorbitantes. En effet, la dispersion des infrastructures et l’utilisation accrue du cloud et des services tiers se conjuguent au manque d’intégration des différentes couches applicatives et au manque de personnel qualifié.
Une situation qui complique la visibilité sur les données et les processus, sur un périmètre qui va du cœur de réseau à l’Edge en passant par le cloud, et rendant plus difficile la détection des vulnérabilités et des menaces. Une étude publiée par Illumio, société américaine spécialisée dans la sécurité des centres de données et du cloud computing, identifie trois causes principales à ce manque de visibilité. Le rapport Cloud Security Index 2023 met en évidence les vulnérabilités critiques des environnements cloud modernes que les attaquants exploitent de plus en plus. Ces vulnérabilités sont le reflet de l’évolution de la complexité et de l’échelle de l’infrastructure cloud, ainsi que des défis liés au maintien de mesures de sécurité efficaces.
1 - Complexité des applications et des charges de travail
La première grande vulnérabilité découle de la complexité inhérente des applications et des charges de travail dans les environnements cloud, combinée au chevauchement des infrastructures cloud et sur site. Cette complexité résulte souvent de l’intégration de plusieurs services cloud avec des systèmes existants, ce qui conduit à un environnement hétérogène (hétéroclite ?) difficile à gérer et à sécuriser. Dans ce contexte, les interdépendances complexes entre les différents composants peuvent créer des vulnérabilités cachées, ce qui rend difficile l’évaluation de l’étendue des risques pour la sécurité. Le chevauchement entre les environnements cloud et sur site ajoute une autre couche de complexité, car il nécessite une posture de sécurité cohérente entre les différentes infrastructures, ce qui est souvent difficile à réaliser en raison des différents niveaux de contrôle et de visibilité.2 - Diversité des services cloud
La deuxième source de vulnérabilité est liée à la diversité et au vaste éventail de services proposés par les fournisseurs de cloud, notamment l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS), la conteneurisation et l’informatique sans serveur. Chacun de ces services a son propre ensemble de considérations de sécurité et de vulnérabilités potentielles. Par exemple, l’IaaS peut exposer les machines virtuelles à des attaques, les solutions PaaS peuvent présenter des vulnérabilités dans l’environnement d’exécution, et les conteneurs et l’informatique sans serveur présentent des défis uniques en termes d’isolation et de nature éphémère des ressources. La nature expansive de ces services signifie que les équipes de sécurité doivent avoir une large compréhension et une capacité à sécuriser une grande variété de technologies et de configurations.3 - Faible visibilité et protection proactive
La troisième vulnérabilité identifiée dans le rapport est le manque de visibilité sur l’infrastructure cloud, qui empêche d’identifier les points faibles et d’y remédier efficacement. Ce manque de visibilité est particulièrement problématique dans les environnements distribués, où les ressources peuvent être allouées et mises à l’échelle de manière dynamique. Par conséquent, il devient difficile de suivre et de sécuriser tous les actifs en permanence.Ce défi est aggravé par le fait que de nombreuses organisations se concentrent sur des mesures de sécurité réactives, verrouillant les systèmes seulement après qu’ils ont été compromis, plutôt que d’identifier et d’atténuer les risques de manière proactive. Une sécurité efficace de l’informatique dématérialisée nécessite une évolution vers une surveillance continue, une analyse en temps réel et une chasse aux menaces proactive afin d’identifier les vulnérabilités potentielles et de répondre aux menaces avant qu’elles ne soient exploitées.
Une approche plus globale est nécessaire
Pour faire face à la nature complexe du cloud, où les applications et les charges de travail tournent fréquemment, les organisations doivent adopter une approche dite holistique, selon le Cloud Security Index 2023 d’Illumio. Ses rédacteurs recommandent plusieurs bonnes pratiques pour sécuriser les environnements cloud, notamment :- adopter une approche Zero Trust de la sécurité du cloud, qui part du principe que tous les utilisateurs, appareils et applications ne sont pas fiables jusqu’à preuve du contraire ;
- investir dans des outils de sécurité capables de cartographier les charges de travail et les connexions, d’assurer une surveillance en temps réel des risques de sécurité potentiels et d’assurer la résilience en cas de violation ;
- donner la priorité à la visibilité, à la cohérence et au contrôle dans les environnements cloud, et veiller à ce que les politiques de sécurité soient appliquées de manière cohérente à tous les services et applications cloud ;
- mettre en œuvre de solides contrôles de gestion des identités et des accès (IAM), y compris l’authentification multifactorielle (MFA) et le contrôle d’accès basé sur les rôles (RBAC) ;
- examiner et mettre à jour régulièrement les politiques et procédures de sécurité afin de s’assurer qu’elles sont actualisées et efficaces ;
- procéder régulièrement à des évaluations de la sécurité et à des tests de pénétration afin d’identifier les vulnérabilités et de s’assurer que les contrôles de sécurité fonctionnent efficacement ;
- en dispensant régulièrement des formations de sensibilisation à la sécurité aux employés pour les aider à comprendre les risques et les meilleures pratiques en matière de sécurisation des environnements cloud.