Compte tenu du rôle majeur que joue le cloud de nos jours dans la transformation des organisations, sa sécurité représente une préoccupation cruciale. Pour anticiper et/ou combler les failles de sécurité, les différents acteurs qui sont partie prenante doivent adopter ensemble, et sans tarder, un nouvel état d’esprit.
La multiplication des attaques contre l’infrastructure et les services cloud créé un scénario dans lequel le destin des fournisseurs et des utilisateurs du cloud se retrouve désormais lié : si une violation réussit, la partie est perdue pour tous. Dans ce contexte, une réflexion nouvelle et une collaboration plus étroite entre les différentes parties prenantes pourraient contribuer à éviter cette fatalité et à mieux protéger les ressources du cloud public.
Pour tous les observateurs, 2023 allait être une année charnière en matière de cyberattaques contre les infrastructures et les services de cloud public. Selon l’étude Thales Cloud Security Study 2023, 39% des entreprises ont été victimes d’une violation de données dans leur environnement cloud, soit un chiffre en hausse de 4 points par rapport à l’année précédente.
Elles ont augmenté non seulement en volumes, mais également en termes de techniques utilisées (vol d’informations d’identification et de données, contrôle des accès, sabotage de systèmes et exploitation de sites miniers, emploi de crypto-monnaies utilisant des ressources cloud détournées ou encore simple espionnage).
Une intensification qui a mis les RSSI et leurs équipes dans la position de devoir superviser et défendre ces environnements cloud qui sont radicalement et fondamentalement différents de l’informatique traditionnelle. Du fait de frontières floues et de l’interdépendances de ses ressources, il transforme notamment la notion de responsabilité partagée (selon laquelle les fournisseurs de services cloud – CSP, et leurs clients ont chacun des obligations de sécurité distinctes). Un aspect qu’Anton Chauvakin de Google qualifie de « sort commun », sous-entendu : lorsque les assaillants gagnent, tout le monde perd.
Face à la complexité de l’infrastructure, comment les organisations peuvent-elles maîtriser la sécurité de leur cloud ?
Dans cet environnement à part, les concepts et les définitions traditionnels de la sécurité informatique s’appliquent différemment. Typiquement, les classifications standard des menaces ne fonctionnent pas car la notion de gravité est fortement contextuelle dans le cloud.
Ainsi, une menace faible en elle-même peut se révéler majeure selon ce à quoi l’assaillant a accès ou les limites qu’il peut franchir (par exemple, sortir du cloud et entrer dans le datacenter de l’entreprise dans une configuration de cloud hybride). Idem pour les vulnérabilités ou expositions courantes (CVE). Dans le cloud, elles n’ont pas la même classification et les fournisseurs peuvent choisir de ne pas travailler à implémenter un correctif – d’où l’enjeu de résoudre les failles Zero-Day dans cet environnement diffus.
La nature du cloud est en elle-même déroutante. Elle n’offre pas aux équipes SOC la même visibilité que dans un réseau traditionnel et les contraint à se fier à ce que leurs CSP (Customer Service Provider) leur laissent voir. Or, les logs ne sont pas tous accessibles par défaut et certains ne sont pas disponibles du tout, même dans le cadre d’un forfait premium.
Les bénéficiaires de services se retrouvent avec une vision réduite dans un environnement sans serveur, où les machines communiquent entre elles à travers les différents clouds. Une communication qui rend difficile la définition des limites autour des activités et l’application des principes de sécurité des meilleures pratiques comme le Zero Trust.
Le modèle de responsabilité partagée en matière de sécurité du cloud est encore largement adopté par les CSP. Il comporte toutefois de nombreuses lacunes aboutissant à une situation de destin partagé dans lequel – en cas d’attaque réussie – le CSP risque de voir sa réputation entachée et les utilisateurs subir des pertes de données, des sanctions et des préjudices financiers.
Pour s’extraire de cette posture, une collaboration plus étroite entre les CSP et leurs clients est nécessaire. Elle doit permettre d’aborder la sécurité comme une entreprise commune et définir la marche à suivre pour garantir la protection de l’infrastructure, des services, des clusters, des conteneurs et du code cloud. Un impératif pour mettre fin à ce « destin commun » et protéger de manière proactive leur infrastructure cloud vitale.
Compte tenu du rôle majeur que joue le cloud de nos jours dans la transformation des organisations, sa sécurité représente une préoccupation cruciale. Pour anticiper et/ou combler les failles de sécurité, les différents acteurs qui sont partie prenante doivent adopter ensemble, et sans tarder, un nouvel état d’esprit.
