Cloud : conseils pour garantir la sécurité de vos données

À chaque violation de données, c'est l'insécurité du cloud et des logiciels open source que l'on soupçonne, alors que la plupart des cas surviennent sur site.

Récemment, un serveur mal configuré sur le cloud était à l'origine d’une faille. Aussi surprenant que cela puisse paraître, ce cas de figure est très fréquent... On découvre ainsi, dans le rapport McAfee de 2019 intitulé 2019 Cloud Adoption and Risk Report, que « les entreprises ont en moyenne au minimum 14 instances IaaS mal configurées ». Si vous travaillez pour une grande entreprise, ce nombre peut vous sembler dérisoire, mais McAfee souligne qu'il correspond à une moyenne de 2 269 incidents mensuels. Ces « mauvaises configurations » sont une porte ouverte sur les données des entreprises, qui sont potentiellement toutes exposées.

Trois stratégies pour garantir la sécurité des données

Selon certains analystes, la croissance des services IaaS sur le cloud va se poursuivre. Il est donc fort probable que la sécurité des données hébergées fasse aussi l'objet d'une attention croissante. Voici trois stratégies qui peuvent vous aider à limiter le risque d'erreur de configuration sur un serveur cloud.

1. Comprendre votre rôle dans le « modèle de responsabilité partagée »

La responsabilité partagée est un élément clé du modèle économique « As a Service ». Le rôle que joue votre entreprise dans la sécurisation des applications basées sur le cloud dépend fortement des types de service auxquels vous avez recours lors du déploiement vers le cloud. Théoriquement, le logiciel en tant que service (SaaS) est le modèle le moins contraignant pour le client. Votre équipe gère l'accès au système et le niveau d'autorisation. À mesure que vous évoluez vers une plateforme en tant que service (PaaS), vous devez gérer les populations d'utilisateurs et de développeurs. Avec l'infrastructure en tant que service (IaaS), votre responsabilité s'étend à la sécurité du réseau et de l'infrastructure. Dans ce dernier cas de figure, ce n'est pas le fournisseur de service, mais bien votre entreprise, qui est directement responsable d'une mauvaise configuration des serveurs.

Vous devez impérativement comprendre ces modèles pour déterminer le rôle de votre fournisseur de service dans le provisionnement et le déploiement de nouveaux serveurs, et ainsi limiter les risques d'erreur de configuration. Si vous gérez vous-même votre infrastructure, assurez-vous que vous n'avez pas commis l'une des 10 erreurs de configuration les plus fréquentes identifiées par McAfee [1] :

  1. Chiffrement des données du service de stockage non activé
  2. Accès sortant non restreint
  3. Accès aux ressources avec gestion des identités et des accès (IAM) non paramétré
  4. Port du groupe de sécurité mal configuré
  5. Accès entrant du groupe de sécurité mal configuré
  6. Instance de la machine non chiffrée
  7. Groupes de sécurité non utilisés
  8. Journaux de flux du cloud privé virtuel désactivés
  9. Authentification multiple (MFA) non activée
  10. Chiffrement du stockage de fichiers non activé

2. Comprendre comment votre architecture affecte la vulnérabilité de votre infrastructure

L’architecture cloud évolue sans cesse vers l'utilisation de ressources à la demande, via des conteneurs ou autres systèmes sans serveur. Ces technologies étant relativement récentes, le nombre de machines virtuelles encore utilisées dans le monde est très élevé. Pendant quelques années encore, ces différents environnements cohabiteront.

Rien ne sert d'accélérer la migration vers de nouvelles formes d'architecture cloud, vous n'éliminerez pas le risque de vulnérabilité lié aux mauvaises configurations. Mieux vaut développer des centres d'excellence autour de la plateforme d'infrastructure de votre choix, ou cibler des fournisseurs de service capables de documenter leurs contrôles.

3. Mettre en place les politiques et les outils adaptés aux modèles de cloud choisis

Derrière chaque vol de données, se cachent souvent un ou plusieurs individus. Pour les dissuader, votre première défense consiste à mettre en place les contrôles d'accès. Pour cela, vous devez impérativement disposer d'outils et de procédures de gestion des identités et des accès (IAM). Ils permettent non seulement de configurer les contrôles d'accès lorsque vous provisionnez de nouvelles ressources, mais aussi de gérer l'accès à celles-ci tout au long de leur cycle de vie. L'ajout d'autres fonctions de sécurité, comme l'authentification multiple (MFA), renforce les contrôles et limite l'accès aux seuls utilisateurs autorisés.

Il existe de nombreux outils pour surveiller et gérer votre infrastructure et vos ressources système. Ces outils sont souvent utilisés dans une optique d'extension, mais ils peuvent également permettre de valider la configuration des ressources sur le cloud et à en surveiller la performance et l'accès. Assurez-vous que vos outils de surveillance couvrent bien les différentes couches de votre plateforme : physique, logique et réseau.


 

[1] Source : McAfee Cloud Adoption and Risk Report 2019 (rapport 2019 de McAfee sur la dispersion des données dans le cloud et les risques associés)