Cloud : pourquoi il est urgent de sécuriser les usages

cloud-securite-data
0

Les usages du Cloud explosent dans les entreprises. Depuis les applications Saas jusqu’aux infrastructures hybrides les plus complexes, les services Cloud sont omniprésents. Or la cybersécurité peine à suivre la vitesse des métiers…

Le marché mondial de la cybersécurité va être impacté par la crise économique provoquée par la pandémie de coronavirus. Il est un segment où les dépenses vont s’envoler, c’est celui des solutions de cybersécurité Cloud. Selon le cabinet Gartner, le marché mondial de la sécurité connaîtra une croissance de 2,4 % en 2020, pour atteindre 123,8 milliards de dollars, contre +8,4 % initialement attendus.

Si les ventes d’équipements de sécurité réseau chutent lourdement (-12,6 %), celles des solutions de sécurité cloud s’envolent (+33,3 %). Sans surprise, alors que les entreprises migrent de plus en plus de ressources informatiques vers le cloud et, mécaniquement, les dépenses en cybersécurité suivent la tendance.

En France, l’édition 2020 de l’étude MIPS (Menaces informatiques et pratiques de sécurité) du Clusif aborde cette problématique de l’externalisation des ressources informatiques.
51 % des organisations et des entreprises françaises interrogées externalisent tout ou partie de leur système d’information chez un tiers, 7 % en totalité.

Les besoins en cybersécurité sont énormes avec des entreprises françaises qui font le choix raisonné d’une infogérance et d’un cloud gérés par la DSI. 74 % d’entre elles, soit douze points de plus qu’il y a deux ans, font un suivi régulier d’indicateurs de sécurité et 69 % font des audits sur cette infogérance, elles n’étaient que 45 % lors de la précédente étude du Clusif.

L’autre scénario consiste en une marche forcée vers le cloud menée par les métiers, mais sans réelle politique de sécurité adaptée. Seulement 84 % des entreprises estiment que ce recours au cloud est réalisé sous le contrôle de la DSI et de la RSSI, ce qui sous-entend que dans 16 % des cas, l’usage du cloud peut être apparenté à du Shadow IT. Seulement 3,7 % des entreprises françaises affirment avoir déployé une politique d’utilisation du cloud.

Le CASB, tour de contrôle des usages cloud de l’entreprise

Face à ce bouleversement des usages, DOSI et RSSI disposent d’outils pour gérer la sécurité de leurs infrastructures cloud. La première solution, sans doute la plus emblématique lorsque les entreprises ont commencé à se tourner vers les applications SaaS, fut le CASB.

Pour reprendre une classification des grandes tâches que doit accomplir un CASB (établie par la société de sécurité Advens) : l’identification et la sécurisation les usages issus du Shadow IT ; la protection des données et la veille pour éviter toute fuite de données confidentielles vers l’extérieur. Le CASB doit aussi faciliter la mise en conformité de l’entreprise vis-à-vis des normes de protection des données, détecter des menaces et donner des moyens d’y remédier. Enfin il doit assurer un pont entre infrastructures legacy et cloud.

Laurent Maréchal – Architecte sécurité du cloud chez McAfee

Tous les grands éditeurs de solutions de sécurité ont des solutions CASB à leur catalogue, de Cisco, à Palo Alto en passant par Symantec, Microsoft ou McAfee classique (selon le carré des leaders établi par le cabinet Gartner dans son dernier Magic Quadrant CASB).

Laurent Maréchal, architecte sécurité du cloud pour l’Europe et le Moyen-Orient chez McAfee, résume la stratégie de l’éditeur : « Il est important que McAfee fasse bénéficier ses clients d’une capacité de protection à 360 degrés. Elle couvre l’ensemble des typologies cloud (SaaS, PaaS, IaaS, CaaS, FaaS, Hybrid Cloud) au sein d’une solution intégrée. Dans la continuité de l’acquisition du leader des solutions CASB (Skyhigh), courant 2018, nous avons poursuivi nos investissements avec l’achat de Nanosec en 2019, permettant à McAfee de complémenter son offre via une solution « Zero Trust Security ». »

L’Américain propose désormais Mvision Cloud, une solution unique intégrant les capacités CASB, CSPM (Posture Management), CWPP (Workload Protection) et des fonctions de sécurité pour les conteneurs.

Le WAF, le gardien des architectures Iaas/PaaS

Si le CASB apporte un élément de réponse, notamment vis-à-vis de l’utilisation d’applications SaaS par les métiers, la migration des applications on-premise vers le cloud public au moyen d’instances IaaS et le développement de nouvelles applications sur des infrastructures PaaS entraîne de nouveaux enjeux en matière de sécurité.

Selon le concept de responsabilité partagée entre le fournisseur cloud et l’entreprise cliente, les fournisseurs de services n’assurent qu’un premier niveau de sécurité portant sur la sécurité physique des installations et celle des serveurs et du stockage. Tout ce qui vient exploiter ces ressources est placé sous la responsabilité de l’entreprise. Impossible, donc, de faire l’impasse sur la protection des données : c’est l’entreprise qui est responsable de l’authentification des utilisateurs, de ses clés de chiffrement, de ses applications.

Émile Heitor – CTO de NBS System

Pour Émile Heitor, CTO de NBS System, la première étape dans la sécurisation d’une infrastructure cloud publique consiste, sans nul doute, à se conformer aux best practices proposées par les fournisseurs cloud. « Les cloudistes ont élaboré des documents qui définissent précisément comment l’entreprise peut sécuriser ses applications. Identification, segmentation, chiffrement, tout est décrit dans le détail dans ces guides de bonnes pratiques, et les fournisseurs proposent des méthodologies qu’il suffit se suivre pas à pas pour atteindre un bon niveau de sécurité. »

Amazon Web Services, le pionnier du cloud public a ainsi récemment mis à jour son pilier sécurité au sein du programme « Well Architected », son catalogue de bonnes pratiques pour renforcer la protection des applications hébergées sur ses infrastructures concernant les aspects identification et gestion d’accès, sur la protection des données, la réponse à incident.

Pour l’expert en cybersécurité, suivre scrupuleusement ces bonnes pratiques va permettre de résoudre toutes les problématiques de sécurité de base et de se concentrer sur la principale faille des systèmes d’information cloud, les applicatifs. « Le zéro bug est impossible à atteindre par les développeurs, il n’y a pas d’application parfaite, ce qui veut dire qu’il faut restreindre au maximum les droits accordés aux utilisateurs et aux applications, et contrôler le comportement des utilisateurs. C’est le rôle du WAF. »

Le Web Application Firewall s’impose, en effet, comme le pivot indispensable de la protection des applications cloud. Outre le rôle classique de filtrage de port et de filtrage d’adresses suspectes, un WAF moderne va beaucoup plus loin : il analyse les données reçues et émises par les applications pour déceler d’éventuelles attaques de type SQL Injection ou par code malicieux, et ainsi protéger les API. Certains implémentent des fonctions de machine learning afin de réaliser une détection de comportements anormaux.

De nouvelles architectures pour plus de sécurité

Le WAF devient peu à peu le couteau suisse de la protection cloud, mais la surveillance d’une architecture hybride à cheval entre des infrastructures on-premise dotées de moyens de protection classiques et des ressources cloud, dont la sécurité s’appuie sur des briques managées, pose le problème de cette diversité de solutions.

Le risque d’avoir une sécurité à deux vitesses est réel, et les hackers ne se privent pas d’attaquer la brique la plus faible du système d’information pour rebondir vers les données les mieux protégées. Habituellement, c’est au SIEM de tenter de rapprocher les données de sécurité et d’identifier ce genre d’attaque.

Christophe Parmentier – Security Threat Management Leader – IBM France

Acteur majeur de ce marché avec QRadar, IBM a récemment choisi de revoir son approche, comme le confie Christophe Parmentier, Security Threat Management Segment Leader France chez IBM :
« Notre SIEM est, par nature, capable d’intégrer de multiples sources de données, or les cloud providers apportent aujourd’hui de bonnes solutions de sécurité. Notre choix est d’assimiler les informations de leurs briques de sécurité, non plus en intégrant une à une chaque nouvelle solution, mais en nous appuyant sur les travaux de l’Open Cybersecurity Alliance (OCA).»

Illustration de cette nouvelle approche, IBM a dévoilé un « Cloud Pak for Security » en décembre 2019 et l’offre en est aujourd’hui à sa troisième version, sachant que l’acquisition de RedHat a amené IBM à revoir la roadmap de développement de son offre de sécurité cloud, avec une mise à jour chaque trimestre.

« Il ne s’agit pas non plus d’un SIEM, mais d’une infrastructure qui va permettre à l’entreprise de répondre à la problématique posée par le multicloud. Chaque fournisseur cloud propose un environnement de sécurité, soit par des solutions du fournisseur, soit via des partenariats, et le Cloud Pak for Security apporte un bus d’intégration qui va collecter les données de l’ensemble des solutions de sécurité de nos clients. » IBM n’est, évidemment, pas le seul à repenser la manière de sécuriser ces infrastructures hybrides.

Les équipementiers réseau se sont, eux aussi, adaptés à ce nouvel environnement en proposant leurs solutions sous forme d’appliances virtuelles, puis en les mettant à disposition sur les marketplaces des fournisseurs cloud. L’entreprise peut de plus en plus utiliser le WAF de son choix en paiement à la demande, via un service managé par l’éditeur ou un partenaire, voire en utilisant ses propres licences.

Christophe Auberger, Cyber Evangelist chez Fortinet

« L’objectif est d’apporter la sécurité là où c’est nécessaire, indépendamment du type d’infrastructure utilisée (physique ou virtuelle, privée ou publique) », argumente Christophe Auberger, Cyber Evangelist chez Fortinet.
« La question est donc, pour les responsables, de définir les politiques de sécurité propres à leur environnement, sans avoir à se poser la question sur la technologie de sécurité à déployer. »

De son côté, Cisco mise sur l’approche SASE (Secure Access Service Edge). Elle est définie par Gartner comme futur modèle de réseau sécurisé pour les entreprises.

Selon Fayçal Mouhieddine, directeur commercial sécurité de Cisco France : « Cisco suit cette approche depuis plusieurs années grâce à des acquisitions clés dans les domaines du SD-WAN du réseau (Meraki, Viptela) et de la sécurité (OpenDNS, CloudLock, Duo), ainsi que de nombreuses innovations développées en interne. Aujourd’hui, SASE est le mieux représenté par la convergence du SD-Wan géré dans le cloud et de la sécurité fournie par le cloud, deux capacités fondamentales que Cisco a largement développées. »

Fayçal Mouhieddine – directeur commercial sécurité de Cisco France

Pour le volet sécurité cloud, l’Américain propose l’offre Cisco Umbrella qui unifie la passerelle Web sécurisée (SWG), la sécurité de la couche DNS, le pare-feu, le CASB et la threat Intel en une seule plateforme naturellement délivrée par le cloud.
Pour la partie réseau, Cisco pousse son offre SD-WAN avec une pile de sécurité complète et intégrée avec pare-feu, IPS/IDS, AMP et un filtrage d’URL. Analytics et Assurance offrent la visibilité et les informations sur tous les types de connectivité pour offrir la meilleure expérience possible.

Enfin, dernière composante essentielle à cette approche SASE de Cisco, le Zero Trust Network Access (ZTNA). L’essor du cloud pousse ainsi l’ensemble des acteurs du secteur de la cybersécurité à revoir leurs approches vis-à-vis de la sécurité du système d’information. Si les grands principes, comme le Zero Trust et le SASE, sont en train d’émerger, il faudra sans doute de nombreuses années aux entreprises pour mettre en œuvre ces concepts. D’autant que cela leur demandera pas mal d’efforts et d’investissements. .