Protection de vos assets cloud : par où commencer ?
Lors de la sécurisation d'environnements cloud dynamiques, la possibilité de découvrir et d'évaluer en continu les assets cloud vous permet de détecter rapidement les problèmes à mesure que de nouvelles vulnérabilités sont révélées et que votre environnement change. Voici ce que vous devez savoir pour commencer.
Les services et applications cloud sont élastiques, rentables et, surtout, ils vous permettent de répondre rapidement aux besoins des clients et de gérer des équipes à distance toujours plus nombreuses. En fait, 81 % des entreprises ont au moins une application ou une partie de leur infrastructure informatique dans le cloud.
Mais cette agilité et cette efficacité signifient que vous devez relever un nouveau défi : protéger et sécuriser vos assets et vos charges de travail dans le cloud. Si les leçons tirées des violations très médiatisées nous ont appris quelque chose, c'est que la responsabilité ultime des assets cloud revient au propriétaire des données, donc à vous, et non aux fournisseurs de services cloud.
Avec le nombre croissant de nouvelles vulnérabilités sur les réseaux, les terminaux et les environnements cloud, vous pouvez également vous rendre compte que vos anciens outils de gestion des vulnérabilités (VM) ne sont pas adaptés au paysage informatique complexe d'aujourd'hui et ne peuvent pas protéger votre surface d'attaque moderne. De 2015 à 2020, le nombre de CVE signalées a augmenté pour atteindre un taux de croissance annuel moyen de 36,6 %. Vous avez besoin d'une solution efficace pour vous aider à prioriser les mesures de remédiation en fonction des risques qu'elles représentent pour votre entreprise.
Alors par où commencer ? Je suggère de toujours commencer par observer minutieusement les personnes, les processus et les technologies, et ce, dans cet ordre précis. Pourquoi ? Parce que vous aurez beau déployer la meilleure solution au monde, si votre équipe de sécurité ne communique pas avec votre équipe cloud, ou si vos processus métier ne suivent pas, vous ne pourrez pas protéger tout ce dont vous avez besoin dans le cloud.
Trois défis de sécurité à relever en premier
- Vos employés ne communiquent pas : j'ai pu constater moi-même le fossé entre l'équipe de sécurité et les unités métier. Comme l'a décrit un de mes amis informaticiens, « essayer de travailler avec des groupes de l'entreprise, c'est comme ce matin d'hiver glacial où je suis allé promener mon Yorkshire Terrier. Je tirais sur la laisse pour aller d'un côté, mon chien tirait de l'autre. À la fin, nous étions tous les deux épuisés ». Dans de nombreuses entreprises, l'équipe de sécurité et l'équipe cloud opèrent dans des unités métier totalement distinctes. Selon une récente étude de Forrester Consulting commanditée par Tenable, sur plus de 400 responsables sécurité interrogés, la moitié d'entre eux seulement indiquent collaborer avec d'autres équipes pour aligner les objectifs de réduction des risques sur les besoins de l'entreprise. Si vos équipes ne travaillent pas ensemble, vous aurez du mal à protéger et contrôler vos assets cloud, mais aussi à obtenir une visibilité sur ces assets, ce qui met en péril votre position de sécurité.
- Vos processus métier présentent des lacunes : avec un réseau traditionnel sur site, il est relativement facile de suivre les charges de travail et les applications. Avec les environnements cloud, il est difficile de savoir exactement ce qu'ils contiennent. En effet, les rôles en dehors de l'IT tels que le marketing et le développement créent souvent des assets dans le cloud, et parfois les abandonnent. Vous avez donc une vision erronée de votre inventaire cloud. Par exemple, j'ai rencontré récemment des employés qui pensaient avoir 2 000 assets cloud dans AWS. Après un scan de découverte, ils ont trouvé près de 3 500 assets et, grâce à un examen plus approfondi, nous avons découvert des lacunes dans leur processus : des assets cloud non étiquetés et des comptes enfants perdus. Et ce cas de figure est plus courant qu'on pourrait le croire.
- « Vous ne pouvez pas protéger ce que vous ne connaissez pas » : bien que ce soit presque un cliché, c'est néanmoins une réalité lorsqu'il s'agit de sécuriser vos assets cloud. Les entreprises ont du mal à découvrir et à évaluer les assets éphémères (de courte durée) dans les environnements cloud dynamiques. Selon l'étude Forrester, sur plus de 800 responsables sécurité et dirigeants interrogés, seuls 44 % affirment que leur équipe de sécurité a une bonne visibilité sur les assets les plus critiques de l'entreprise. Pourtant, même lorsque des assets sont découverts, les recherches de Tenable montrent que l'exposition a été évaluée pour seulement 20 % d'entre eux. Pourquoi ? Parce que la méthode traditionnelle de gestion des vulnérabilités pour le cloud est difficile et prend beaucoup de temps. Il faut installer des scanners et des agents, et les détections des nouvelles vulnérabilités peuvent être décalées de plusieurs semaines. En résumé, la sécurité IT traditionnelle ne fait pas le poids face à la vitesse du cloud.
À ce stade, vous vous dites probablement : « Bon sang, qu'est-ce que nous devons faire concrètement ? ». Eh bien, continuez à lire, car c'est précisément la question à laquelle nous allons répondre.
Protection de vos assets cloud : les trois étapes clés
- Favorisez un dialogue fructueux entre vos équipes à propos du cloud : l'élimination du cloisonnement des services et la mise en place d'un environnement collaboratif pour vos équipes sont une première étape essentielle afin d'obtenir une visibilité et un contrôle constants pour vos assets cloud. Selon l'étude Forrester, le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise. Lorsque vous parlez aux employés qui utilisent le cloud, il est important d'évoquer l'impact des menaces de cyber-sécurité dans le contexte de leurs besoins, et d'utiliser des mots clés tels que « capacité de montée en charge », « agilité », « qualité » et « continuité » lors de vos échanges. Il peut être utile d'organiser régulièrement des réunions pour faire le point et communiquer les métriques de performance de l'équipe de sécurité aux parties prenantes de l'entreprise. Si l'octroi de droits administratifs pose problème, faites preuve de créativité pour contourner le problème : par exemple, créez un ensemble convenu d'autorisations d'utilisation pour la sécurité IT, ou encore mettez en place un format commun cloud-natif, comme la création d'un modèle CloudFormation. Cette approche permet d'obtenir les résultats dont l'équipe de sécurité a besoin tout en réduisant le travail à fournir pour l'administrateur cloud.
- Assurez de bonnes pratiques d'hygiène pour la sécurité du cloud : développer de bonnes pratiques de sécurité adaptées à la vitesse du cloud est une autre étape cruciale dans la sécurisation de vos assets cloud. L'intégration de ces bonnes pratiques dans votre culture d'entreprise peut vous aider à alléger la surcharge administrative et à combler les lacunes de sécurité du processus d'entreprise. Par exemple, la mise en œuvre d'une stratégie d'étiquetage pour tous vos assets cloud peut vous fournir un moyen efficace de gérer les ressources, de contrôler les coûts et de réduire les risques. Une fois la stratégie en place, les développeurs peuvent démarrer des environnements de test à leur guise. L'équipe de sécurité peut suivre ce qui est créé, et passer moins de temps à rechercher des assets et des propriétaires afin de se consacrer davantage à la sécurité. Une autre bonne pratique d'hygiène dans le cloud consiste à relier tous les comptes enfants au compte parent approprié dans le cloud. Cela permet aux administrateurs de voir tout ce qui se trouve dans le cloud, et ainsi de réduire efficacement les cyber-risques et de déterminer le niveau d'exposition de votre entreprise dans n'importe quel environnement cloud.
- La découverte et l'évaluation continue des vulnérabilités sont essentielles : pouvoir identifier et évaluer rapidement les assets cloud est la prochaine étape essentielle pour protéger et sécuriser votre environnement qui s'étend et évolue constamment. Si vous utilisez des services cloud tels qu'Amazon Web Services (AWS), la découverte en direct des assets cloud peut non seulement vous aider à maximiser la valeur de votre investissement actuel, mais aussi vous donner une visibilité totale sur les assets, que vous ayez ou non eu connaissance de leur existence. Une fois que vous savez ce que vous avez presque en temps réel, vous avez besoin d'une approche qui vous permette d'évaluer le cloud en continu au fur et à mesure que de nouveaux assets sont déployés ou que de nouvelles vulnérabilités sont révélées.
Comme je l'ai déjà mentionné, la méthode traditionnelle de gestion des vulnérabilités pour le cloud peut être difficile et prendre beaucoup de temps. C'est là que la fonction Frictionless Assessment de Tenable entre en scène. Contrairement aux autres outils de gestion des vulnérabilités, Frictionless Assessment (disponible dès maintenant dans Tenable.io) exploite les outils AWS natifs, notamment l'agent AWS Systems Manager (SSM), pour découvrir et évaluer en continu les instances Elastic Compute Cloud (EC2) afin de détecter les vulnérabilités sans jamais avoir à configurer un scan, à gérer les informations d'authentification ou à installer des agents. Cela vous permet de détecter rapidement les problèmes de sécurité lorsque de nouvelles vulnérabilités sont révélées et que votre environnement change avec des instances qui évoluent constamment. Vous bénéficiez d'une vue presque en temps réel de votre environnement cloud, ce qui vous donne un inventaire précis des assets et des expositions à tout moment. En outre, cette fonction est particulièrement efficace pour découvrir et évaluer les assets éphémères (de courte durée) dans les environnements cloud dynamiques.
Frictionless Assessment travaille aussi vite que le cloud. Mais ce n'est pas tout. En tant qu'élément clé de la gestion des vulnérabilités basée sur le risque, Frictionless Assessment fournit un aperçu complet des vulnérabilités, et vient appuyer la solution Predictive Prioritization de Tenable pour vous aider à vous concentrer sur ce qui compte.
Si vous souhaitez en savoir plus sur la manière de mettre en place un programme complet de gestion des vulnérabilités basée sur le risque en quelques secondes et obtenir des résultats exploitables en quelques minutes, regardez la vidéo de présentation de Frictionless Assessment.
Articles connexes
- Cloud
- Risk-based Vulnerability Management
- Tenable.io
- Vulnerability Management
- Vulnerability Scanning