Nous venons de vivre une nouvelle année record en termes de cyber attaques : les attaques en déni de service, le vol de données et les ransomware (ou « rançongiciel ») n’ont cessé de se multiplier, profitant de la vulnérabilité des entreprises pendant la crise. Forrester estime ainsi que les demandes d’extorsions ont augmenté de 300% en une année et le CSIS (Centre d’Etudes Stratégiques et Internationales)évalue les pertes mondiales liées à la cybercriminalité à plus de 1000 milliards de dollars, soit 1% du PIB mondial. Pour Cybersecurity Ventures, ce chiffre devrait atteindre 6000 milliards de dollars en 2021, ce qui dépasserait alors alors le PIB du Japon.
Il est vrai que le sujet est complexe : les attaques sont de plus en plus sophistiquées, et les entreprises manquent de temps et de ressources pour appréhender le problème. Mais si elles avaient accès à des outils plus simples et mieux intégrés dans leur environnement technologique, elles seraient mieux armées pour faire face à cette menace grandissante.
Les nouveaux enjeux de la sécurité du cloud
La situation n’est pas nouvelle, mais la pandémie a intensifié le phénomène. L’année 2020 a provoqué des changements de comportements qui ont eu des impacts importants sur la sécurité du SI. Les bouleversements des modes de travail et la nécessité d’accéder au SI depuis son domicile, donc de partout, ont aussi entraîné une numérisation à marche forcée et une accélération de l’utilisation du cloud. Mais les dispositions prises dans l’urgence n’ont pas toujours permis d’appliquer les dispositifs de sécurité nécessaires et les habitudes prises, parfois mauvaises, se sont installées. Aujourd’hui, le télétravail est devenu la norme, c’est un fait ;la conséquence est qu’il est indispensable de revoir en profondeur notre approche de la sécurité.
Or, les entreprises éprouvent des difficultés à trouver des ressources et à mobiliser des spécialistes, en particulier sur la sécurité dans le cloud, car celle-ci nécessite des connaissances et des outils spécifiques. En effet, les processus et les outils de sécurité en place ne sont pas toujours adaptés aux nouveaux environnements cloud de l’entreprise, tant d’un point de vue technique que (parfois) d’un point de vue licences. On peut penser au périmètre d’analyse d’un scanner de vulnérabilité restreint uniquement au serveur on-premise, excluant donc les serveurs hébergés dans le(s) cloud utilisé(s) par l’entreprise.
Le cloud ne doit pas absoudre les entreprises de toute responsabilité !
Les entreprises ont tendance à penser que le passage au cloud va les affranchir de toute responsabilité en ce qui concerne la sécurité de leurs systèmes. Avec le IaaS (« Infrastructure as a Service »), la gestion des serveurs physiques et de certaines sauvegardes, ainsi que la maintenance du data center sont assurées par le fournisseur du service, mais l’entreprise doit assurer toute la sécurité au niveau du système d’exploitation et de toutes les couches supérieures. Ce n’est pas le cas avec le SaaS(« Software as a Service ») où la responsabilité du fournisseur de services est plus étendue. Mais même dans ce cas, il reste toujours une responsabilité à la charge de l’entreprise qui souscrit au service.
Lorsqu’une société de location de voitures fournit un véhicule en tous points conforme aux normes de sécurité en vigueur, il est tout de même de la responsabilité du client de le conduire en appliquant le code de la route et les règles élémentaires de prudence, pour ne pas avoir d’accident.
C’est un peu la même chose avec le cloud. Dans tous les cas, l’entreprise sera a minima responsable :
- des données : choix de la sensibilité des données qu’elle transfère dans le cloud,
- des traitements : la conformité de ses applications au règlement en vigueur dans le périmètre où elle les rend accessibles,
- des accès à ses environnements cloud : quelles sont les personnes habilitées, avec quel niveau d’authentification et sur quels périmètres,
- de l’audit de ses solutions :afin d’assumer leur conformité aux réglementations auxquelles l’entreprise est soumise.
De plus, les équipes internes (testeurs, opérateurs, développeurs) ont l’habitude de travailler dans leur propre datacenter et dans un environnement théoriquement inaccessible de l’extérieur. Elles ne prennent donc pas forcément conscience de la différence de l’impact de leurs actions lorsqu’elles opèrent dans le cloud.
Un exemple simple : lorsque l’on change les permissions d’un répertoire en interne, au pire, les données sont exposées à tous les collaborateurs de l’organisation. Mais si un espace de stockage cloud est rendu public, les données qui y sont stockées sont exposées à tout internet : la surface d’exposition au risque n’est plus du tout la même et chaque action peut avoir infiniment plus de conséquences.
Les bénéfices de la sécurité « by design »
L’offre cloud d’Oracle est arrivée sur le marché après celle des autres hyperscalers, ce qui lui a permis de bénéficier des premiers retours d’expérience de l’écosystème et d’identifier les failles techniques et les lacunes sécuritaires de ces premiers environnements. L’orientation prise par Oracle pour bâtir son cloud dit « de seconde génération », a ainsi été de le concevoir de façon radicalement différente, avec la sécurité au cœur du réacteur. Par exemple, en séparant la couche réseau de la couche de virtualisation lors de la création des datacenters, il est beaucoup plus simple d’assurer la sécurité des données et le cloisonnement des environnements clients. De plus, Oracle applique des contrôles sur tous les composants hardware de ses serveurs avec un niveau d’exigence qui n’a que peu d’équivalent sur le marché.
Autre différence essentielle : un grand nombre de solutions de sécurité sont incluses dans la tarification du cloud d’Oracle. Les clients ont ainsi accès, sans surcoût, à des services simples d’utilisation, optimisés pour fonctionner sur OCI (« Oracle Cloud Infrastructure »), et bénéficiant d’une automatisation optimale. Pour les entreprises, c’est un réel avantage de ne pas avoir à gérer un nouveau projet pour la recherche de solutions de sécurité. Oracle inclut également tous les dispositifs nécessaires pour la protection des bases de données dans le cloud : le chiffrement des données (avec une clé uniquement détenue par le client, et non par Oracle ou par une tierce partie), les outils pour vérifier la configuration et l’activité sur les base de données, ainsi que ceux pour identifier et quantifier les données sensibles et les masquer si nécessaire.
L’IA, seule solution pour lutter efficacement contre les cybercriminels
Pour lutter contre la cyber criminalité, il faut adopter les mêmes armes. Et ainsi miser sur l’Intelligence Artificielle (IA).En intégrant l’IA dans les systèmes de sécurité, il est possible, par exemple, de détecter les signaux faibles, et d’anticiper les comportements malveillants. Car les cybercriminels élaborent leurs attaques minutieusement, en prenant du temps et en s’installant progressivement dans le SI de l’entreprise de la manière la plus furtive possible. Mais en laissant des indices pour qui sait les détecter…
C’est pour cette raison qu’Oracle intègre de l’IA dans ses solutions de sécurité : afin d’optimiser l’efficacité de la protection de ses clients cloud.
Et c’est pour cette raison qu’Oracle a une nouvelle fois innové en élaborant les solutions « Autonomous » qui permettent, entre autres, d’automatiser un certain nombre de bonnes pratiques de sécurité, comme l’application automatique (et sans interruption de service !) des patches sur les bases de données (AutonomousDataBase, Autonomous Data Warehouse…), et sur les systèmes d’exploitation comme Oracle Autonomous Linux. La vulnérabilité dans Apache Log4j en fin d’année 2021 a cruellement rappelé l’importance capitale de disposer des moyens de patcher très rapidement tous ses systèmes. Ce que ne peut pas faire l’être humain de façon optimale, au contraire des solutions basées sur l’IA…
Les solutions de surveillance intégrées à Oracle Cloud Infrastructure utilisent aussi des modèles d’IA afin de détecter les utilisateurs malveillants en se basant sur le framework MITRE ATT&CK®, qui est la référence dans ce domaine pour détecter et modéliser toutes les méthodes d'attaques dans le cloud.
La sécurité ne doit pas être une option ; c’est une obligation !
L’année 2022 nous réserve sans nul doute son lot de surprises, en matière de cyberattaques ; mais il est un point sur lequel nous pouvons parier sans nous tromper : la cybercriminalité va continuer à s’accélérer et à toucher tous les secteurs. Les organisations, publiques, privées, grandes ou petites, doivent mettre la sécurité à leur agenda pour éviter les graves conséquences des cyberattaques sur leurs assets et sur leurs activités. Les solutions cloud d’Oracle, intégrant la sécurité « by design » sans surcoût, offrent un réel atout : elles permettent à toutes les entreprises, y compris celles qui n’avaient pas réussi à adresser le sujet précédemment, tant pour des raisons techniques que financières, de mettre en place les contrôles avancés à même de réduire leurs risques.
Les entreprises ont besoin que leurs fournisseurs les aident dans cette lutte incessante contre la cybercriminalité, en leur apportant à la fois des solutions simples et robustes, adaptées à leur environnement ainsi que l’accompagnement nécessaire pour adopter les meilleures pratiques. C’est ce que nous proposons aujourd’hui à nos clients, en leur permettant de tirer profit des outils dont ils disposent déjà … parfois sans le savoir.
Par Damien Rilliard, EMEA Cloud Security Business Development Manager chez Oracle
