Cloud tales : leçons d’une équipe d’intervention en cas d’incident cybernétique

De nombreuses entreprises australiennes se trompent dans leurs stratégies de sécurité cloud. Alors qu’ils réduisent les coûts d’infrastructure et introduisent des gains d’efficacité en passant à des plates-formes multi-cloud flexibles, il devient difficile d’établir le bon niveau de sécurité tout au long de leurs cycles de vie de développement de logiciels agiles.

Près des deux tiers (61 %) des répondants aux questions de recherche posées par Cybersecurity Insiders, au nom de Check Point, avaient intégré leur chaîne d’outils DevOps dans les déploiements cloud, mais sont toujours aux prises avec un manque d’expertise qui relie la sécurité et DevOps. Seuls 16 % disposent d’environnements DevSecOps complets.

Des cadres supérieurs de la technologie se sont récemment réunis pour un déjeuner table ronde à Sydney pour discuter des raisons pour lesquelles les entreprises se trompent souvent dans leurs stratégies d’adoption du cloud, en particulier lorsqu’il s’agit de sécuriser leur infrastructure, ainsi que des défis liés à la conformité du cloud. La conversation, ‘Cloud tales: Lessons from a cyber incident response team’ a été parrainé par Check Point Software Technologies.

Point de contrôle

Ashwin Ram, évangéliste de la cybersécurité du bureau du directeur de la technologie chez Check Point Software Technologies, affirme que plusieurs facteurs entrent en jeu lorsqu’il s’agit de mettre en place des stratégies cloud adéquates.

Premièrement, de nombreuses organisations ne comprennent pas ou n’apprécient pas à quel point les écosystèmes cloud sont dynamiques – une simple mauvaise configuration ou une surveillance de la sécurité peut exposer une organisation, dit-il.

« Les fournisseurs de cloud innovent extrêmement rapidement et, à ce titre, il est difficile pour les équipes de sécurité cloud de suivre le rythme. La pénurie actuelle de cyber-compétences est également un facteur contributif, car les organisations ont du mal à trouver la bonne expertise pour faire face à la courbe d’apprentissage abrupte pour faire le pont entre la sécurité et DevOps », déclare Ram.

De plus, dit-il, COVID-19 a forcé de nombreuses organisations à précipiter leurs projets de travail à distance et de cloud afin d’être plus agiles. Cela a entraîné la précipitation de nombreux projets cloud sans processus d’assurance appropriés.

« Selon le rapport 2022 sur la sécurité dans le cloud de Check Point, 76 % des organisations ont une stratégie multi-cloud, ce qui rend difficile la mise en œuvre d’une sécurité cohérente. Les organisations ont du mal à mettre en œuvre les mêmes paramètres et politiques de sécurité sur tous les clouds et à s’assurer que cela est maintenu pour assurer une cohérence continue », a-t-il déclaré.

John Powell, consultant principal en sécurité chez Telstra Purple, ajoute qu’il est très facile de penser que le cloud réduit l’administration et offre plus de flexibilité.

« Mais la vérité est qu’il y a beaucoup plus à faire dès le départ pour que le » business-as-usual « soit fluide et sécurisé. La responsabilité de la sécurité est partagée en fonction de ce qui est sous-traité au fournisseur de cloud.

« Cela signifie que les accords contractuels sont extrêmement importants pour s’assurer que la frontière dans le modèle partagé est parfaitement claire. Le besoin d’expertise juridique et même d’un mélange d’expertise cyber/juridique n’est pas souvent pris en compte lors du déplacement de systèmes et de services vers le cloud », déclare Powell.

Pendant ce temps, John Boyd, directeur de l’information du groupe chez The Entertainment and Education Group (TEEG), affirme que l’organisation a adopté une approche de cloud hybride, qui a fourni le meilleur des deux mondes.

L’infrastructure sur site assure la stabilité de ses sites, en particulier ceux situés dans des endroits très éloignés. Mais lorsque l’entreprise exige de l’agilité, l’organisation se tourne vers le cloud pour répondre à ces exigences de demande, explique Boyd.

« En ce qui concerne la sécurité, notre équipe teste à chaque étape du cycle de vie du développement logiciel. La sécurité est toujours au premier plan de l’esprit de notre équipe et lors du développement d’applications, nous adoptons les meilleures pratiques telles que la formation du personnel et la définition claire des exigences afin [they] peut se concentrer sur les questions les plus importantes », dit-il.

Pourquoi les erreurs de configuration du cloud se produisent et que faire

La mauvaise configuration des ressources cloud reste la vulnérabilité cloud la plus répandue qui peut être exploitée par des criminels pour accéder aux données et services cloud.

Selon Ram de Check Point, ces erreurs de configuration se produisent parce que les équipes cloud produisent des quantités incroyables de code et construisent une infrastructure à un rythme rapide, de sorte que des erreurs sont inévitables.

Ram affirme que les organisations dotées de capacités de sécurité cloud matures utilisent des outils de gestion de la posture de sécurité cloud pour obtenir une connaissance de la situation de leurs écosystèmes cloud en temps réel afin de corriger automatiquement les erreurs de configuration.

« En plus de la mauvaise configuration, les organisations doivent également être conscientes des attaques par hypothèse de rôle de gestion des identités et des accès, qui cherchent à élever les privilèges après l’entrée initiale. Ces attaques continuent d’être une préoccupation importante », dit-il.

Ram recommande aux entreprises d’investir dans un outil capable de visualiser et d’évaluer la posture de sécurité du cloud en détectant les erreurs de configuration, tout en appliquant automatiquement et activement des politiques de référence pour se protéger contre les attaques et les menaces internes.

Powell de Telstra ajoute qu’il est souvent beaucoup plus facile d’exploiter la mauvaise configuration des ressources cloud que d’exploiter les vulnérabilités logicielles ou matérielles ou de lancer une campagne de phishing contre des utilisateurs privilégiés.

« La mauvaise configuration est la vulnérabilité cloud la plus répandue, car c’est souvent le fruit le plus bas », déclare-t-il.

Selon Powell, la configuration des environnements cloud fournit plusieurs contrôles de sécurité techniques. Il dit que la meilleure façon de mesurer les contrôles de sécurité techniques est d’utiliser des outils technologiques.

« À cette fin, une évaluation de la sécurité du cloud, avec un outil associé, peut être utilisée pour atteindre cet objectif, soit de manière ponctuelle, soit mieux encore, sous forme de contrôle régulier. »

Boyd de TEEG affirme que les ressources de l’organisation sont hébergées exclusivement au sein d’Azure et que l’équipe utilise Microsoft Cloud Service pour gérer de manière proactive la posture de sécurité de l’ensemble de la plate-forme.

« La réalisation d’évaluations régulières et l’examen de toute nouvelle recommandation contribuent à renforcer la configuration de sécurité de nos ressources cloud », déclare-t-il.

Bien se conformer au cloud

La pénurie continue de compétences technologiques a rendu difficile pour les organisations de trouver le bon personnel possédant les compétences nécessaires pour effectuer des audits et des évaluations des risques liés au cloud.

Powell de Telstra suggère qu’en premier lieu, les organisations devraient « laisser les machines faire ce pour quoi elles sont bonnes et laisser les gens faire ce pour quoi les gens sont bons ».

« Les contrôles technologiques peuvent être testés et évalués avec des solutions techniques et si ce processus est automatisé, la conformité des contrôles techniques peut être vérifiée avec une grande régularité afin que tout écart par rapport à la conformité soit remarqué et modifié rapidement.

« L’évaluation des actions des personnes ou du flux de processus est mieux évaluée par un auditeur de sécurité qualifié et lorsque les ressources humaines sont rares, elles doivent être utilisées là où elles sont le plus efficaces », déclare Powell.

Deuxièmement, si les entreprises ne disposent pas de ressources disponibles en interne pour auditer les contrôles de sécurité ou pour concevoir et créer des systèmes de surveillance nécessaires pour tester et évaluer en permanence ces contrôles, elles doivent alors contacter un partenaire, dit-il.

« Il est très difficile de conserver des compétences spécialisées en cybersécurité, alors plutôt que de continuer à former de nouveaux employés en cybersécurité, comptez sur les personnes qui sont déjà des spécialistes et peuvent fournir ce service », dit-il.

Boyd de TEEG affirme que la conformité est une priorité constante pour son équipe, qui exploite une entreprise dans sept régions, toutes avec leur propre ensemble d’exigences réglementaires uniques. Cela nécessite que l’organisation soit alignée sur son approche de la conformité et de l’exécution.

« Nous nous appuyons sur l’expertise de notre équipe interne en collaboration avec des fournisseurs clés qui nous fournissent des conseils sur l’évaluation des risques et l’établissement de politiques et de contrôles clairs », déclare Boyd.

Qui est responsable en cas d’infraction ?

Les participants à la table ronde ont également discuté de ce que les entreprises doivent savoir lors de la négociation de contrats cloud, en particulier qui est responsable de quoi en cas de violation.

Selon Powell de Telstra, les organisations doivent s’assurer que les clauses d’un contrat avec un fournisseur de services cloud définissent la portée de ce dont le fournisseur est responsable et de ce qu’il n’est pas.

Powell ajoute que cela ne s’applique pas seulement à une situation de violation, mais à tout ce qui précède une violation et la récupération de la violation.

« Assurez-vous d’inclure une clause de ce qui peut et ne peut pas être testé dans l’environnement cloud. Demandez : « Pouvons-nous consulter le profil de menace, les évaluations des risques et le registre des risques du fournisseur de services cloud ? »

« Plus important encore, vous ne pouvez pas externaliser la responsabilité, alors ne croyez pas trop vite que votre risque est réduit parce que vous n’êtes pas responsable de l’infrastructure qui sous-tend vos systèmes et services. »

Ram de Check Point ajoute que la plupart des organisations feraient bien de comprendre le modèle de responsabilité partagée dans un premier temps.

« Il est important de noter que la responsabilité change en fonction du type de ressource cloud que vous consommez, de l’infrastructure en tant que service à la plate-forme en tant que service en passant par les offres de logiciel en tant que service.

« Le modèle de responsabilité partagée est très précis sur qui est responsable de quoi, comme nous l’avons vu avec le Violation de Capital One.”