Sécuriser votre cloud : Ce que vous devez vraiment savoir

5 MIN. LIRE

Presque toutes les entreprises migrent vers le cloud d’une manière ou d’une autre, que ce soit par le biais d’une action planifiée ou parce que les employés adoptent des services cloud non autorisés. Les travailleurs adoptent généralement des services cloud pour faire leur travail plus efficacement, mais ils le font sans tenir compte des implications en matière de sécurité, une préoccupation pour la direction de l’entreprise.

Malheureusement, les entreprises s’inquiètent souvent des mauvais problèmes lorsqu’il s’agit de sécurité du cloud. Dans l’ensemble, les fournisseurs de cloud font un bien meilleur travail de sécurisation de leurs services que l’entreprise moyenne. Vous ne devez donc pas vous inquiéter outre mesure de la sécurité de fournisseur de cloud ou du risque que votre fournisseur de cloud soit piraté.

Au lieu de cela, vous devriez vous soucier des parties du cloud que vous contrôlez. Ces préoccupations diffèrent selon le type de cloud que votre entreprise déploie. L'infrastructure en tant que service (IaaS) vous donne beaucoup plus de contrôle sur la sécurité, mais également beaucoup plus de responsabilités à son égard. Le logiciel en tant que service (SaaS) vous donne le moins de contrôle sur la sécurité et transfère une grande partie de cette responsabilité à votre fournisseur de services. La plate-forme en tant que service (PaaS) est un mélange des deux.
Pour ces raisons, le modèle de service cloud que vous adoptez déterminera le niveau de responsabilité de votre fournisseur en matière de sécurité. Voici ce que vous devez savoir.

1. Comprendre les menaces qui pèsent sur les applications et l'infrastructure cloud

La menace la plus inquiétante pour l’infrastructure cloud est la même que pour toute autre infrastructure : les violations, qui ont diverses causes. Il est important de reconnaître qu’il existe différents niveaux de violations ; un attaquant qui accède à un compte administrateur a beaucoup plus de contrôle que celui qui accède à un compte utilisateur limité.

Pour cette raison, vous devriez vous soucier davantage des utilisateurs administratifs et privilégiés, et surveiller ces comptes au-delà de ce qui est normal pour tous les comptes d’utilisateurs. Cette menace de sécurité s’applique à tous les types de clouds, puisque les employés de l’entreprise conservent une certaine forme d’accès administrateur pour l’infrastructure SaaS, PaaS et IaaS.

2. Gérez l'identité et l'accès en toute sécurité

Par extension, vous devez accorder une attention particulière à l’importance de l’identité et de l’accès à la sécurisation des services cloud. Le stockage des données d’identité et d’accès doit être protégé et surveillé de près. Cependant, étant donné que l’entreprise moyenne doit gérer 1 031 applications cloud utilisées par ses employés, cela ne peut être accompli sans une gestion des identités fédérée ou une infrastructure d’authentification unique.

3. Compenser les menaces pesant sur la disponibilité

Les attaques par déni de service distribué (DDoS) sont devenues plus sophistiquées et plus faciles à lancer. Les services DDoS à louer, également connus sous le nom de booters ou stressers, sont facilement disponibles pour détruire des réseaux ou des sites Web. Et avec la popularité croissante des services cloud, les attaques DDoS sont également devenues plus impactantes, car les attaquants peuvent perturber les services commerciaux critiques de nombreuses entreprises avec une seule attaque.

En octobre 2016, par exemple, une attaque DDoS de grande ampleur alimentée par des dizaines de milliers d’enregistreurs vidéo numériques, de caméras et de routeurs domestiques a ciblé le fournisseur DNS Dyn , dont les clients comptent sur le service pour diriger les utilisateurs en ligne vers leurs sites. En conséquence, de nombreux services Internet, notamment Netflix, Twitter et PayPal, ont été perturbés.

Vous devrez déterminer si votre fournisseur est suffisamment élastique pour résister à une attaque. Bien que de nombreux fournisseurs d’infrastructures cloud offrent des fonctionnalités permettant d’augmenter la bande passante, ils facturent souvent cette bande passante supplémentaire lors d’une attaque, ce qui coûte énormément à votre entreprise. Vous devez évaluer à quel moment il est trop coûteux de suivre le niveau d’attaque et il est plus judicieux d’engager un service d’atténuation DDoS pour intercepter le trafic malveillant avant qu’il n’atteigne vos applications.

4. Gérer les menaces de vulnérabilités

En 2015, un pirate informatique a exploité une vulnérabilité dans le cloud public de la société antivirus BitDefender pour voler un nombre inconnu de noms d'utilisateur et de mots de passe non chiffrés. Les vulnérabilités ne constituent pas moins une menace pour l’infrastructure cloud que pour les appareils et les dispositifs sur site.

Les entreprises doivent pouvoir appliquer les correctifs de manière agile, ce qui signifie que les équipes d’exploitation doivent savoir quels composants d’infrastructure sont vulnérables et disposer d’options pour gérer cette vulnérabilité. Le déploiement rapide des correctifs doit être une priorité, mais les correctifs virtuels doivent également être disponibles pour donner aux équipes de sécurité suffisamment de temps pour résoudre les problèmes sans provoquer davantage de problèmes.

Dans l’ensemble, les services et plateformes cloud ont tendance à être plus sécurisés que l’infrastructure moyenne de l’entreprise en raison des accords de niveau de service et des mises à jour et correctifs réguliers. Les entreprises doivent donc se concentrer sur les aspects du cloud qu’elles contrôlent. Les entreprises trouveront le cloud une option beaucoup plus sûre si elles se concentrent sur le contrôle des accès et des informations d’identification, le maintien de la disponibilité des services et la gestion des vulnérabilités dans les parties de l’infrastructure cloud qui sont sous leur contrôle.

En tant qu'architecte senior de solutions de sécurité chez F5 Networks, Brian McHenry se concentre sur la sécurité des application Web et des réseaux. McHenry agit comme agent de liaison entre les clients et les équipes produits F5, offrant une perspective pratique et concrète. Il est un contributeur régulier sur InformationSecurityBuzz.com, co-fondateur de BSidesNYC et conférencier à AppSecUSA, BC Aware Day, GoSec Montréal et au Central Ohio Infosec Summit, entre autres. Avant de rejoindre F5 en 2008, McHenry, qui se décrit lui-même comme un généraliste informatique, a occupé des postes de direction au sein de diverses organisations technologiques, allant des startups aux grandes sociétés de services financiers.