Le World Economic Forum classe les menaces de cybersécurité parmi les risques majeurs pour notre organisation géopolitique. Il devient urgent, alors que les risques grandissent d’années en années, de garantir la protection des données sensibles, des infrastructures réseaux propriétaires aux fournisseurs d’accès Cloud. Pierrick Conord, responsable offre Cloud Security chez Sopra Steria, revient sur les bonnes pratiques à adopter pour sécuriser les systèmes d’informations.
Les grands enjeux de la cybersécurité reposent aujourd’hui essentiellement sur des notions de risques embarqués dans le patrimoine numérique. Il existe de plus en plus de stratégies d’attaques, de méthodologies,
pour récupérer de l’information afin de la revendre ensuite sur le deep web ou de déstabiliser les organisations. Toutes les organisations désormais, des plus petites aux plus grandes, comme Canon récemment, deviennent victimes de ransomwares, avec leurs données prises en otage.
Gérer la conformité et les risques dans le Cloud
L’écosystème des infrastructures Cloud est vaste et complexe à maîtriser pour les utilisateurs qui doivent impérativement se renseigner sur la législation en vigueur. Par exemple, les fournisseurs des Clouds G-suite, Azure et AWS, à savoir Google, Microsoft et Amazon sont soumis aux lois américaines et en particulier au Cloud Act qui permet à la justice américaine de consulter toutes les données présentes sur des serveurs domiciliés aux États-Unis. “Je rappelle par ailleurs que ce n’est pas le fournisseur d’accès Cloud qui doit délivrer les informations mais l’entreprise propriétaire des données. Nous conseillons donc à nos clients de chiffrer leurs données et d’en contrôler les accès.” La conformité réglementaire est ainsi un levier majeur des stratégies de sécurité dans le Cloud.
D’autre part, la Cloud Security Alliance liste les principaux risques qui pèsent sur le Cloud : la fuite de données, les problématiques liées à la configuration des infrastructures, les architectures non-sécurisées,
et les problèmes de gestion d’accès.
Pour standardiser la gestion des risques dans le Cloud, des référentiels mondialement éprouvés permettent de définir facilement les règles à mettre en place dans les infrastructures et solutions Cloud.
Des organismes comme le CIS (Center Internet Security) avec le Controls Cloud Companion Guide mettent en place un ensemble de bonnes pratiques de sécurité qui sont reprises par les éditeurs et fournisseurs Cloud. “La conformité au CIS des infrastructures Cloud représente ainsi le premier niveau de sécurité, ce qui nous permet de standardiser la gestion des risques”, détaille
Pierrick. Les bonnes pratiques sur le déploiement d’architectures sécurisées sont également fournies en France par l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
qui délivre la qualification PASSI permettant d’identifier les prestataires d’audits en cybersécurité reconnus par le régulateur.
Simplifier la gouvernance cybersécurité Multi-Cloud
La complexité de l'hybride et du multi-Cloud a élargi le paysage des menaces du Cloud. L’intégration d’environnements on-premise avec leur propres processus sécurité selon une approche "château fort" avec des environnements Cloud qui s’appuient eux sur des approches "sécurité de l’aéroport" est un réel enjeu. Les process de déploiement, la gestion des environnements, le découpage en zone rajoutent un niveau de complexité non négligeable pour les DSI / RSSI.
Dans ce contexte, et quel que soit l’environnement IT, garder le contrôle de ses infrastructures nécessite de gagner en visibilité sur leur niveau de conformité à la politique de sécurité. Cela revient
d’une part à contrôler la bonne conformité réglementaire et d’autre part vérifier si les mesures de sécurité mises en œuvre pour lutter contre la cyber kill chain sont bien appliquées.
Un accès immédiat à tous les indicateurs permet alors de se prémunir contre les activités malveillantes sur le SI. Mais quand l’infrastructure fait intervenir différents fournisseurs d’accès
Cloud, cela devient plus complexe. “Il ne faut pas démultiplier le nombre d’outils par plateforme au risque de voir la gouvernance cybersécurité ingérable”, explique Pierrick. Il devient
alors indispensable de rationaliser les outils et simplifier la gouvernance multi-Cloud pour faire gagner en efficacité sur le contrôle des infrastructures.
Ce qui complexifie la tâche est la volumétrie de la donnée qui est exponentielle : toutes les entreprises génèrent de plus en plus d’informations. Alors, l’identification et la classification des données demandent nécessairement de plus en plus de temps. “Nous mettons en place un système de classification de la donnée pour l’organiser. De la classification nous formulons ensuite une règle pour marquer/taguer les données de manière automatisée.” Les technologies sont issues de divers éditeurs et utilisées pour reconnaître le contenu d’un document ou rechercher certains patterns prédéfinis par exemple. “Pour des environnements bureautiques classiques, cette méthode est très efficace.” Finalement, il en résulte une chaîne et une maîtrise complète de la donnée avec une procédure à appliquer par leur utilisateur, intégrée à une démarche plus globale de sensibilisation pour garantir la protection des informations.
Protéger les données et sécuriser les applications
La protection des données et la sécurisation des applications sont ainsi des leviers majeurs dans la prévention face aux cyberattaques. Avec la transformation digitale et l’interconnexion des systèmes, les API sont des points d’entrée au SI de plus en plus exploités. Pour se protéger, il existe différents mécanismes d'authentification éprouvés et robustes pour contrôler les accès aux API. “Il faut une bonne pratique du moindre privilège dans les applications, pour éviter une escalade de privilèges, c’est-à-dire qu’un programme malveillant prenne le contrôle d’une partie essentielle ou de toute l’application”. Il faut maîtriser les clefs de connexion API qui autorisent l’accès à une application et protéger leur stockage avec des containers multiples qui auront chacun un rôle attribué.
Aussi, avec la mise en place du télétravail massif, les employés deviennent un vecteur d’attaque. Diverses solutions technologiques existent pour protéger au mieux l’accès aux applications et aux informations
sensibles des organisations. Le CASB (Cloud Access Security Broker) permet par exemple de contrôler l’accès à la donnée de l’entreprise de manière conditionnelle. Certains privilèges permettent
par exemple de lire la donnée, mais n’autorisent pas de la modifier ou de la télécharger par exemple. Ensuite, pour anticiper au mieux les incidents de sécurité, des sas doivent être mis en place afin
d’assainir le matériel avant de le connecter au réseau de l’entreprise. Enfin, d'autres mécanismes existent également, comme le DLP (Data Loss Prevention) qui trace et empêche certains comportements comme
les fuites de données : il permet de bloquer le transfert d’une pièce jointe dans un e-mail ou de forcer son chiffrement.
Gérer les incidents de sécurité rapidement et efficacement
Dans le Cloud, la vitesse de déploiement des cyberattaques est plus rapide que dans les environnements IT traditionnels. Le Cloud impose de passer d’une méthode artisanale à une nouvelle approche de la détection des incidents de sécurité. Pour gérer rapidement et efficacement les incidents de sécurité, l’approche SOC DevOps se démarque également en combinant l’automatisation des déploiements par la machine et l’intelligence des experts humains. “Le SOC nous permet de déceler les dangers potentiels en amont, notamment en s’appuyant sur des référentiels comme la matrice Mitre Att&ck qui classifie différentes techniques et tactiques d’attaques”, analyse Pierrick. L’architecture doit, en outre, être sécurisée "by design" pour limiter les surcoûts humains et financiers en phase de production. Des contrôles quotidiens restent toutefois nécessaires par la suite afin de vérifier l’état des scores de sécurité indiqué par toutes les plateformes et fournisseurs d’accès.