20.12.2022 IT Cybersecurity Data & Cloud IT

La sécurité (feinte) du cloud

Geert de Ron, Cloud Security Architect (Check Point)
Writer Geert de Ron, Cloud Security Architect (Check Point)
secrute feinte du cloud check point

Recourir au cloud comme plate-forme stratégique ? Pour la plupart des organisations, ce choix s’impose sans peine. Pas de frais élevés en personnel ICT, pas de tracas pour la gestion, la maintenance, le back-up, et pas non plus à se préoccuper de la sécurité. Ce sont les fournisseurs de services sur le cloud qui s’en chargent, pas vrai ?

Oui. Quoi que… pas forcément ! En effet, il faut savoir que les hébergeurs sur le cloud, comme Microsoft, Amazon et Google, appliquent un modèle de responsabilité partagée. Le prestataire est responsable de la sécurité physique de ses centres de données : l’infrastructure, le fonctionnement correct des serveurs, le refroidissement, la sécurisation du système d’exploitation de ses PaaS services. Mais vous, utilisateur du cloud, êtes supposé vous occuper de la configuration correcte desdits PaaS services, du cryptage des données et de la non-divulgation de celles réservées à vous-même ou à l’usage interne. En d’autres termes, vous êtes chargé de la protection du contenu et des applications qui sont vôtres, tandis que les hébergeurs doivent assumer la sécurité de leur plate-forme proprement dite.

Cela étant, comme les hébergeurs prennent à leur charge la plus grande partie de la sécurité, la situation semble à votre avantage. Ils ont plus d’expérience et tout le personnel nécessaire pour sécuriser leur plate-forme ; vos données paraissent donc en de bonnes mains. C’est d’ailleurs l’un des principaux arguments pour convaincre les clients d’opter pour le cloud. Un raisonnement qui ne tombe pas dans l’oreille d’un sourd, tant les clients aspirent à se décharger des tracas de la sécurité.

Une cible de choix pour les cybercriminels

Malheureusement, la sécurité des plates-formes de cloud a été mise à rude épreuve l’an dernier. Cela a commencé par les recherches d’experts en sécurité en 2021 : considérant la popularité croissante du cloud, ils ont voulu analyser en détail ces plates-formes qui faisaient miroiter à leurs clients la promesse d’une sécurité absolue. Leurs rapports ont révélé des ‘vulnerabilities’ présentes depuis longtemps, mais que personne n’avait encore observées. Depuis, ces plates-formes font l’objet d’examens et de comptes rendus systématiques, et par chance, les hébergeurs en résolvent rapidement les faiblesses.

La popularité des plates-formes de cloud s’est muée en menace : en n’exploitant qu’une seule des failles du système, les cybercriminels sont désormais en mesure de prendre dans leurs filets des milliers de victimes. Une fois détectées et publiées, ces vulnérabilités sont heureusement toujours neutralisées assez vite, car les gros hébergeurs de cloud ont la capacité de les colmater rapidement et à grande échelle. Mais cela prouve que les clients et utilisateurs doivent rester sur leurs gardes et prendre des mesures afin de sécuriser leur environnement. Car plus celui-ci est sûr, plus est ténu l’impact d’une vulnérabilité de la plate-forme de cloud sur leur propre environnement.

La métaphore de la porte

Dès lors, quelles mesures un client du cloud peut-il prendre afin de minimiser les risques ? Eh bien, une comparaison avec une porte va vous éclairer. Sécuriser l’espace web de votre entreprise doit être aussi naturel et systématique que verrouiller la porte de vos bureaux et activer l’alarme quand le personnel les quitte. Cela a toujours été la base de la sécurité, pas vrai ?

Dans le monde numérique actuel, cette protection matérielle ne suffit pas. De nos jours, l’accès physique à votre établissement n’est sans doute plus votre préoccupation principale. Désormais, les vecteurs de menace se manifestent en ligne, par des connexions Internet omniprésentes et non gérées, et s’étendent sur le cloud que vous utilisez pour de nombreuses applications, le stockage et la gestion de vos données ainsi que de vos opérations. Ou plutôt des clouds, car chaque cloud emploie une ou plusieurs portes, c’est-à-dire des entrées et des sorties. Lorsque votre entreprise héberge des données sur un cloud, elle y installe un nombre bien supérieur de portes par lesquelles peuvent s’introduire des cambrioleurs (comprenez : des cybercriminels). Et le problème s’accroît sans cesse : d’après un récent rapport consacré à la sécurité sur le cloud, trois quarts des répondants déclarent utiliser au moins deux services de cloud différents, alors qu’ils n’étaient encore que 62 % à en faire autant en 2021.

Comment se protéger de façon optimale ? Reprenons l’analogie de la porte. Elle se compose de plusieurs pièces : le panneau de porte, les charnières, les poignées, la serrure, les ferronneries, les clés… Il suffit qu’un seul de ces éléments manque pour que la porte ne soit plus entièrement verrouillable. L’ensemble est plus grand que la somme des parties. Eh bien, il en va de même de la sécurité sur le cloud.

Des paramétrages de sécurité adaptés à votre environnement

Demandez conseil à votre hébergeur de cloud et à votre fournisseur de services de sécurité. Ils peuvent vous indiquer quel type de protection convient à votre environnement et vous aider à y adapter les paramétrages de sécurité. Sachez également que votre configuration peut changer et que les paramètres initiaux doivent être réactualisés de temps en temps. L’exemple suivant le montre clairement.

En août 2021, des recherches d’experts en sécurité sur le cloud ont révélé des vulnérabilités critiques sur Azure Cosmos DB, le plus important service de base de données NoSQL de la plate-forme Microsoft Azure. Par cette faille déjà introduite en 2019, sous le nom très pertinent de ChaosDB, des clients Microsoft Azure – et même des pirates informatiques – ayant un compte Azure corrompu ont eu accès pendant deux ans à l’environnement ‘protégé’ d’autres clients Azure, et donc aux données de leurs entreprises et autres données confidentielles. C’était une catastrophe en puissance pour tous les utilisateurs d’Azure Cosmos DB qui n’avaient pas suffisamment relevé le niveau de protection ordinaire de ce service, en limitant trop peu l’accès Internet à ladite base de données. Autant dire d’emblée que c’est ce que conseillent toujours les fournisseurs de sécurité et de services sur le cloud : pour chaque application et chaque base de données, ne donner accès qu’aux personnes pour qui c’est strictement requis.

Un suivi continu nécessaire

Les gestionnaires d’organisations doivent également se rendre compte à quel point un suivi permanent est nécessaire. Pour optimaliser des machines Azure Linux, Microsoft a par exemple installé en catimini des ‘secret agents’, c’est-à-dire de petits programmes de gestion travaillant en arrière-plan et dont la plupart des clients ignorent même jusqu’à l’existence. Mais lorsqu’un de ces agents détecte une vulnérabilité, tous les autres agents doivent être mis à jour. Très bien, sauf lorsque ce sont les clients eux-mêmes qui sont sollicités pour exécuter cet upgrade  ! Et la notification qui les en informe ressemble à tant d’autres, dont ils sont chaque jour submergés. La probabilité de ne pas y prêter suffisamment attention est grande. Et donc, la vulnérabilité risque de ne pas être neutralisée.

Attention, Microsoft Azure n’est pas le seul service à connaître des vulnérabilités. Amazon AWS et Google Cloud ont à leur tour régulièrement besoin de correctifs et mises à jour. Pour se forger une idée plus précise de toutes les failles déjà recensées pour chaque plate-forme active sur le cloud, il suffit de consulter la page https://www.cloudvulndb.org. La liste est longue et l’accroissement semble même s’accélérer. Ironie du sort : elle révèle que même Microsoft avait stocké sur le cloud des documents sans protection. Les ‘bulletins’ d’hébergeurs tels que Microsoft, AWS, et Google, sont d’autres sources permettant de bien se documenter sur la situation.

Si vous préférez dormir sur vos deux oreilles et confier la cybersécurité à un tiers, tournez-vous vers un partenaire en sécurité disposant de solutions spécifiques pour la détection de failles sur votre environnement de cloud, et capable, en cas de problème, de vous soumettre, voire d’exécuter une réaction appropriée.