Sécurité dans le Cloud : 10 bonnes pratiques pour 2024

A l’instar de 58 % des entreprises interrogées dans l'Etude Cloud France 2023 de PwC qui ont adopté le Cloud dans la plupart ou la totalité de leurs fonctions, vous projetez peut-être de migrer sur le Cloud.

Pour garantir un move to cloud réussi, le volet sécurité est essentiel.

Les problématiques de sécurité posées par le Cloud sont nombreuses, similaires à celles connues on premise mais plus nombreuses encore. Les moyens par lesquels les acteurs malveillants s’introduisent dans l’entreprise peuvent sembler pratiquement illimités : sur l'identité et l'accès, les comptes de messagerie, les portails web, les applications, les informations propriétaires, les interactions avec les clients, les systèmes d'exploitation, les appareils connectés, etc...

Une étude menée par Thalès en 2023 a révélé que plus d'un tiers (39 %) des entreprises ont subi l’année dernière une violation de données dans leur environnement Cloud. De plus, 55 % des personnes interrogées ont déclaré que l'erreur humaine était la principale cause des violations de données dans le Cloud.

Dans ce contexte, la sécurité du Cloud devient une préoccupation pour de nombreuses organisations : près de la moitié des répondants (47 %) à la Global Digital Trust Survey 2024 de PwC citent cet enjeu comme leur préoccupation de cybersécurité numéro 1. Ce chiffre augmente d’ailleurs à 54 % pour les utilisateurs de Cloud hybrides. Mais si la menace est désormais perçue très clairement, les moyens pour y faire face ne sont pas encore à la hauteur de l’enjeu. Pratiquement toutes les organisations — 97 % — ont des lacunes dans leur plan de gestion des risques du cloud.

Aussi, l’un des éléments fondamentaux à garder en tête lorsque vous envisagez une migration de tout ou partie de vos activités vers le cloud est celui du changement des responsabilités que cela implique.

Alors que vous étiez les seuls responsables de votre sécurité dans un système on premise, vous perdez en partie le contrôle de ces sujets en migrant vers le Cloud.

En effet, la responsabilité de la sécurité du Cloud n’est plus de votre ressort mais celle du fournisseur de Services Cloud (CSP – Cloud Service Supplier). Dans cet environnement, le CSP est responsable de la sécurité de l'infrastructure d'hébergement, à savoir la protection physique des centres de données, la sécurité des matériels sous-jacents (réseau, hyperviseurs, …).

Pour autant, vous restez responsable de la sécurité dans le Cloud, donc de la sécurisation de vos données, de vos workloads, et des applications.

Si les domaines de sécurisation restent les mêmes (gestion des accès, réseau, chiffrement, …), la manière de les adresser est différente et implique une posture de sécurité nouvelle. En d’autres termes, adresser les enjeux de cybersécurité du Cloud implique l’adoption de solutions propres au Cloud.

Il ne faut jamais perdre de vue que la sécurité des données doit rester votre objectif numéro 1, et que cela restera la responsabilité de l’entreprise, quel que soit son modèle choisi – IaaS, PaaS, SaaS.

Avec ce prérequis en tête, passons en revue quelques bonnes pratiques pour garantir la sécurité dans le cloud. Le Framework NIST CSF - reconnu en cybersécurité - nous apporte un cadre intéressant au sujet de la sécurité appliquée au Cloud, en classant les actions sous 5 piliers (Identify, Protect, Detect, Respond et Recover) visant à protéger les actifs dans le Cloud.

1. Identification des risques et des actifs

Cette étape essentielle, et souvent négligée, doit être menée avec attention et de manière méticuleuse, et ce, dès les prémisses du projet. De nombreux projets de migration vers un environnement Cloud rencontrent des obstacles dans leur déploiement parce que l’identification des menaces et des actifs n’a pas été menée en profondeur et n’a pas donné lieu à un standard de sécurité Cloud adapté aux spécificités de l’entreprise.

Bonne pratique n°1 : Procédez à une analyse proactive de risques

Conduisez une analyse de risques approfondie en l’identifiant des risques liés au cœur de métier de votre entreprise, liés aux menaces de cybersécurité générales et liés à l’utilisation du Cloud tout particulièrement. Une analyse de risques est nécessaire afin de s’assurer qu’un niveau de contrôle adéquat soit appliqué dans le Cloud. Les contraintes peuvent être réglementaires (données personnelles, données médicales, ...) ou liées à la sensibilité des données et workloads qui les manipulent.

Anticipez les menaces émergentes en intégrant des équipes de Cyber Threat Intelligence (CTI).

Bonne pratique n°2 : Réalisez un inventaire clair des actifs Cloud

On ne peut bien protéger que ce que l’on connaît. Or, nombreuses sont encore les entreprises qui ne disposent pas d’une vision claire de l’ensemble des environnements Cloud à protéger :  le phénomène de Shadow IT (ou informatique fantôme) en est une illustration. Veillez donc à établir un inventaire le plus exhaustif possible des environnements Cloud, en incluant CSP, plateformes, données, et workloads. Pour autant, réaliser l’inventaire des assets et des workloads est essentiel mais pas suffisant. En effet, il est important de connaître le propriétaire des assets, l’environnement dans lequel ils se trouvent, etc. Aussi des outils spécifiques au Cloud tels que le tagging permettent d’ajouter ce genre d’informations aux assets. Utilisez ces outils de marquage et d'inventaire fournis par les CSP pour ajouter des informations cruciales telles que le propriétaire des actifs.

Bonne pratique n°3 : Développez votre standard de cybersécurité Cloud spécifique

A l’issue des phases d’identification des risques et d’inventaire des actifs Cloud, vous possédez maintenant les éléments essentiels pour développer un standard de cybersécurité Cloud spécifique à votre entreprise, couvrant l'ensemble des domaines de la cybersécurité. 

Assurez-vous que ce standard minimise les risques et les menaces identifiés.

2. Protection des données et workloads

Vous avez procédé à une analyse approfondie des risques, un inventaire précis de vos actifs Cloud et des responsabilités associées, et possédez désormais un standard de sécurité adapté à votre entreprise. Vous avez désormais les prérequis pour protéger efficacement vos données dans le Cloud et mettre en place des contrôles. Ces derniers peuvent être de nature technique (mise en place de pare-feu, de chiffrement, …), ou administrative (processus RH par exemple).

Examinons cette étape de protection plus en détail.

Bonne pratique n°4 : Formez en continu vos Administrateurs Cloud

Investissez dans la formation continue de vos équipes administratives Cloud pour qu'elles restent au fait des dernières bonnes pratiques et des évolutions technologiques.

Bonne pratique n°5 : Configurez de manière sécurisée vos services Cloud et utilisez des outils de contrôle de sécurité dédiés

Configurez vos services Cloud en respectant le standard de sécurité défini précédemment. Utilisez des contrôles techniques et administratifs pour renforcer la protection, en accord avec votre standard de cybersécurité Cloud.

Explorez les services de contrôle de sécurité dédiés fournis par les CSP, tels que Identity and Access Management (IAM), Security Group pour le réseau, et le chiffrement. Personnalisez votre stratégie de sécurité en fonction de vos besoins spécifiques, en combinant les contrôles fournis par le CSP et des solutions tierces si nécessaire, telles que celles spécifiques au Cloud de confiance par exemple.

Tout ceci doit permettre de répondre au standard de sécurité défini lors de la phase préparatoire. L’ensemble permet d’obtenir une architecture sécurisée.

FOCUS SUR :

• Identity and Access Management (IAM) : mise en place des règles, en respectant le standard de sécurité Cloud mais aussi des bonnes pratiques tels que le principe du moindre privilège, pour accéder aux ressources. Des utilisateurs, réels et techniques sont créés, des rôles leur sont assignés (comme auditeur, propriétaire, …) permettant d’expliciter qui accède à quoi ;

• Réseau : chaque ressource peut être protégée par un Security Group explicitant les flux réseau qui peuvent arriver (et sortir) sur la ressource. 

• Chiffrement : le chiffrement est la base de la sécurité sur le Cloud et permet de se protéger d’accès frauduleux, y compris du CSP lui-même. Les services Cloud permettent de configurer le cycle de vie des clés, les données qui doivent être chiffrées, etc…

Ces exemples ne restent qu’un aperçu de l’ensemble des contrôles et services à disposition de l’utilisateur. Par ailleurs, ces contrôles diffèrent en fonction des CSP et des services. De plus, de nouveaux contrôles et services sont créés en permanence rendant plus difficile leur configuration par l’utilisateur. Il est donc important d’être en mesure de détecter automatiquement toute erreur de configuration. 

3. Automatisation pour une sécurité continue

Parce que de nouveaux contrôles et services sont créés en permanence, il est donc primordial d’être en mesure de détecter toute mis-configuration grâce à l’automatisation. Les CSP mettent à disposition de leurs utilisateurs des mécanismes d’automatisation qui peuvent prendre plusieurs formes avec, entre autres, la création automatique de l’architecture Cloud et la surveillance automatique du respect de certaines règles.

Bonne pratique n°6 : Adoptez l'Infrastructure as Code (IaC)

Adoptez l'Infrastructure as Code (IaC) pour automatiser la création et la configuration des ressources Cloud. L’IaC permet de décrire l’ensemble des ressources utilisées et l’ensemble de leur configuration sous forme de fichiers textes. Chaque CSP dispose de son propre langage d’IaC mais il existe des langages tels que TerraForm fournissant un même langage pour l’ensemble des CSP. En utilisant des langages IaC comme TerraForm, vous garantissez des déploiements automatiques, reproductibles et versionnés. En effet, le code d’IaC peut être versionné à l'instar des codes de programmation et le développement de l’IaC peut intégrer les boucles d’intégration continues standards.

Bonne pratique n°7 : Mettez en place des politiques globales de sécurité

Automatisez les contrôles à travers la mise en place de politiques globales de sécurité telles que les Service Control Policies (SCP) d’AWS ou les Azure Policy / Azure Blue Print de Microsoft par exemple. Ces politiques s’appliquent à l’ensemble du tenant Cloud et permettent par exemple d’interdire la création de ressources dans certaines régions, ou l’accès à des buckets.

Ainsi, ces règles peuvent éviter des erreurs de configuration de manière automatique lors de la création de ressources ou lors du déploiement d’IaC.

4. Détection précoce des vulnérabilités

La phase de détection joue un rôle crucial et permet de détecter les écarts de configuration, les tentatives d’attaques ainsi que les intrusions. Dans le cadre de cet article, nous discutons uniquement de la détection des écarts de configuration. Différentes catégories d'outils d’audit peuvent être utilisées pour auditer la configuration et détecter les écarts : les outils travaillant sur l’IaC et ceux examinant la configuration effectivement déployée.

Bonne pratique n°8 : Déployez des outils d’audit et de surveillance, type CSPM

Utilisez des outils d'audit travaillant sur l'IaC, si cela s’applique à votre organisation, mais aussi sur la configuration déployée pour détecter les écarts de configuration avant et après le déploiement. Assurez-vous que ces outils s'intègrent à des processus de détection automatisés. Quel que soit l'outil que vous sélectionnez, concentrez-vous sur les outils essentiels et sachez-les manipuler. La multiplication d'outils apporte un sentiment de fausse sécurité et rend leur utilisation et leur contrôle plus complexe.

Intégrez des CSPM (Cloud Security Posture Management) pour surveiller en temps réel les contrôles de sécurité et la configuration des services Cloud. Un CSPM est un outil de surveillance de la posture de sécurité qui repose sur un canevas d’audit standard tels que le CIS ou le NIST ou sur des règles personnalisées. Il est conçu pour s’intégrer à un écosystème de sécurité et est souvent connecté à un outil de ticketing permettant de traiter les incidents de sécurité dans des workflows déjà existants.

D’autres outils effectuent des audits ponctuels et périodiques de l’environnement Cloud. Ces outils extraient les configurations effectivement déployées et les comparent à un canevas de contrôle, donnant lieu à un rapport sur les écarts de conformité.  

5. Réponse aux incidents et phase de reprise

Les phases Response et Recover sont similaires à celles adoptées au sein des infrastructures non-Cloud, mais peuvent tirer parti des outils Cloud tels que le tagging ou l'automatisation.

Bonne pratique n°9 : Corrigez rapidement des déviations de conformité ou des incidents de sécurité

La phase de réponse (Response) consiste à exécuter des actions immédiates lorsqu’un incident de sécurité ou une déviation de conformité est détectée.

• Dans le cadre d’une déviation de conformité, la réponse peut être une modification de l’IaC suivi d’un déploiement (ou d’un redéploiement) ou une modification de la configuration d’un service, afin de revenir à une architecture sécurisée conforme.

• Dans le cadre d’un incident de sécurité, la réponse peut se traduire par un containment des systèmes touchés, un patching … Des outils comme le canevas AWS AIR, développé par Amazon, permettent d’automatiser la réponse à incidents.  

La phase de reprise (Recover) consiste à revenir à l’état nominal du système en restaurant par exemple des sauvegardes.

Bonne pratique n°10 : Mettez en place un outil de SOAR

Ces étapes peuvent être facilitées par la mise en place d’un outil de SOAR (Security Orchestration, Automation and Response) qui permet la mise en œuvre des processus correspondants à ces phases et facilite la communication entre les différentes entités de l’organisation (les équipes de sécurité opérationnelles, les équipes Cloud, les équipes GRC voire les équipes juridiques, etc…).