Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Protection de vos assets cloud : par où commencer ?

Lors de la sécurisation d'environnements cloud dynamiques, la possibilité de découvrir et d'évaluer en continu les assets cloud vous permet de détecter rapidement les problèmes à mesure que de nouvelles vulnérabilités sont révélées et que votre environnement change. Voici ce que vous devez savoir pour commencer.  

Les services et applications cloud sont élastiques, rentables et, surtout, ils vous permettent de répondre rapidement aux besoins des clients et de gérer des équipes à distance toujours plus nombreuses. En fait, 81 % des entreprises ont au moins une application ou une partie de leur infrastructure informatique dans le cloud. 

Mais cette agilité et cette efficacité signifient que vous devez relever un nouveau défi : protéger et sécuriser vos assets et vos charges de travail dans le cloud. Si les leçons tirées des violations très médiatisées nous ont appris quelque chose, c'est que la responsabilité ultime des assets cloud revient au propriétaire des données, donc à vous, et non aux fournisseurs de services cloud.

Avec le nombre croissant de nouvelles vulnérabilités sur les réseaux, les terminaux et les environnements cloud, vous pouvez également vous rendre compte que vos anciens outils de gestion des vulnérabilités (VM) ne sont pas adaptés au paysage informatique complexe d'aujourd'hui et ne peuvent pas protéger votre surface d'attaque moderne. De 2015 à 2020, le nombre de CVE signalées a augmenté pour atteindre un taux de croissance annuel moyen de 36,6 %. Vous avez besoin d'une solution efficace pour vous aider à prioriser les mesures de remédiation en fonction des risques qu'elles représentent pour votre entreprise. 

Alors par où commencer ? Je suggère de toujours commencer par observer minutieusement les personnes, les processus et les technologies, et ce, dans cet ordre précis. Pourquoi ? Parce que vous aurez beau déployer la meilleure solution au monde, si votre équipe de sécurité ne communique pas avec votre équipe cloud, ou si vos processus métier ne suivent pas, vous ne pourrez pas protéger tout ce dont vous avez besoin dans le cloud.

Trois défis de sécurité à relever en premier

  1. Vos employés ne communiquent pas : j'ai pu constater moi-même le fossé entre l'équipe de sécurité et les unités métier. Comme l'a décrit un de mes amis informaticiens, « essayer de travailler avec des groupes de l'entreprise, c'est comme ce matin d'hiver glacial où je suis allé promener mon Yorkshire Terrier. Je tirais sur la laisse pour aller d'un côté, mon chien tirait de l'autre. À la fin, nous étions tous les deux épuisés ». Dans de nombreuses entreprises, l'équipe de sécurité et l'équipe cloud opèrent dans des unités métier totalement distinctes. Selon une récente étude de Forrester Consulting commanditée par Tenable, sur plus de 400 responsables sécurité interrogés, la moitié d'entre eux seulement indiquent collaborer avec d'autres équipes pour aligner les objectifs de réduction des risques sur les besoins de l'entreprise. Si vos équipes ne travaillent pas ensemble, vous aurez du mal à protéger et contrôler vos assets cloud, mais aussi à obtenir une visibilité sur ces assets, ce qui met en péril votre position de sécurité.
  2. Vos processus métier présentent des lacunes : avec un réseau traditionnel sur site, il est relativement facile de suivre les charges de travail et les applications. Avec les environnements cloud, il est difficile de savoir exactement ce qu'ils contiennent. En effet, les rôles en dehors de l'IT tels que le marketing et le développement créent souvent des assets dans le cloud, et parfois les abandonnent. Vous avez donc une vision erronée de votre inventaire cloud. Par exemple, j'ai rencontré récemment des employés qui pensaient avoir 2 000 assets cloud dans AWS. Après un scan de découverte, ils ont trouvé près de 3 500 assets et, grâce à un examen plus approfondi, nous avons découvert des lacunes dans leur processus : des assets cloud non étiquetés et des comptes enfants perdus. Et ce cas de figure est plus courant qu'on pourrait le croire.
  3. « Vous ne pouvez pas protéger ce que vous ne connaissez pas » : bien que ce soit presque un cliché, c'est néanmoins une réalité lorsqu'il s'agit de sécuriser vos assets cloud. Les entreprises ont du mal à découvrir et à évaluer les assets éphémères (de courte durée) dans les environnements cloud dynamiques. Selon l'étude Forrester, sur plus de 800 responsables sécurité et dirigeants interrogés, seuls 44 % affirment que leur équipe de sécurité a une bonne visibilité sur les assets les plus critiques de l'entreprise. Pourtant, même lorsque des assets sont découverts, les recherches de Tenable montrent que l'exposition a été évaluée pour seulement 20 % d'entre eux. Pourquoi ? Parce que la méthode traditionnelle de gestion des vulnérabilités pour le cloud est difficile et prend beaucoup de temps. Il faut installer des scanners et des agents, et les détections des nouvelles vulnérabilités peuvent être décalées de plusieurs semaines. En résumé, la sécurité IT traditionnelle ne fait pas le poids face à la vitesse du cloud.

À ce stade, vous vous dites probablement : « Bon sang, qu'est-ce que nous devons faire concrètement ? ». Eh bien, continuez à lire, car c'est précisément la question à laquelle nous allons répondre. 

Protection de vos assets cloud : les trois étapes clés

  1. Favorisez un dialogue fructueux entre vos équipes à propos du cloud : l'élimination du cloisonnement des services et la mise en place d'un environnement collaboratif pour vos équipes sont une première étape essentielle afin d'obtenir une visibilité et un contrôle constants pour vos assets cloud. Selon l'étude Forrester, le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise. Lorsque vous parlez aux employés qui utilisent le cloud, il est important d'évoquer l'impact des menaces de cyber-sécurité dans le contexte de leurs besoins, et d'utiliser des mots clés tels que « capacité de montée en charge », « agilité », « qualité » et « continuité » lors de vos échanges. Il peut être utile d'organiser régulièrement des réunions pour faire le point et communiquer les métriques de performance de l'équipe de sécurité aux parties prenantes de l'entreprise. Si l'octroi de droits administratifs pose problème, faites preuve de créativité pour contourner le problème : par exemple, créez un ensemble convenu d'autorisations d'utilisation pour la sécurité IT, ou encore mettez en place un format commun cloud-natif, comme la création d'un modèle CloudFormation. Cette approche permet d'obtenir les résultats dont l'équipe de sécurité a besoin tout en réduisant le travail à fournir pour l'administrateur cloud.
  2. Assurez de bonnes pratiques d'hygiène pour la sécurité du cloud : développer de bonnes pratiques de sécurité adaptées à la vitesse du cloud est une autre étape cruciale dans la sécurisation de vos assets cloud. L'intégration de ces bonnes pratiques dans votre culture d'entreprise peut vous aider à alléger la surcharge administrative et à combler les lacunes de sécurité du processus d'entreprise. Par exemple, la mise en œuvre d'une stratégie d'étiquetage pour tous vos assets cloud peut vous fournir un moyen efficace de gérer les ressources, de contrôler les coûts et de réduire les risques. Une fois la stratégie en place, les développeurs peuvent démarrer des environnements de test à leur guise. L'équipe de sécurité peut suivre ce qui est créé, et passer moins de temps à rechercher des assets et des propriétaires afin de se consacrer davantage à la sécurité. Une autre bonne pratique d'hygiène dans le cloud consiste à relier tous les comptes enfants au compte parent approprié dans le cloud. Cela permet aux administrateurs de voir tout ce qui se trouve dans le cloud, et ainsi de réduire efficacement les cyber-risques et de déterminer le niveau d'exposition de votre entreprise dans n'importe quel environnement cloud.
  3. La découverte et l'évaluation continue des vulnérabilités sont essentielles : pouvoir identifier et évaluer rapidement les assets cloud est la prochaine étape essentielle pour protéger et sécuriser votre environnement qui s'étend et évolue constamment. Si vous utilisez des services cloud tels qu'Amazon Web Services (AWS), la découverte en direct des assets cloud peut non seulement vous aider à maximiser la valeur de votre investissement actuel, mais aussi vous donner une visibilité totale sur les assets, que vous ayez ou non eu connaissance de leur existence. Une fois que vous savez ce que vous avez presque en temps réel, vous avez besoin d'une approche qui vous permette d'évaluer le cloud en continu au fur et à mesure que de nouveaux assets sont déployés ou que de nouvelles vulnérabilités sont révélées.

Comme je l'ai déjà mentionné, la méthode traditionnelle de gestion des vulnérabilités pour le cloud peut être difficile et prendre beaucoup de temps. C'est là que la fonction Frictionless Assessment de Tenable entre en scène. Contrairement aux autres outils de gestion des vulnérabilités, Frictionless Assessment (disponible dès maintenant dans Tenable.io) exploite les outils AWS natifs, notamment l'agent AWS Systems Manager (SSM), pour découvrir et évaluer en continu les instances Elastic Compute Cloud (EC2) afin de détecter les vulnérabilités sans jamais avoir à configurer un scan, à gérer les informations d'authentification ou à installer des agents. Cela vous permet de détecter rapidement les problèmes de sécurité lorsque de nouvelles vulnérabilités sont révélées et que votre environnement change avec des instances qui évoluent constamment. Vous bénéficiez d'une vue presque en temps réel de votre environnement cloud, ce qui vous donne un inventaire précis des assets et des expositions à tout moment. En outre, cette fonction est particulièrement efficace pour découvrir et évaluer les assets éphémères (de courte durée) dans les environnements cloud dynamiques.

Frictionless Assessment travaille aussi vite que le cloud. Mais ce n'est pas tout. En tant qu'élément clé de la gestion des vulnérabilités basée sur le risque, Frictionless Assessment fournit un aperçu complet des vulnérabilités, et vient appuyer la solution Predictive Prioritization de Tenable pour vous aider à vous concentrer sur ce qui compte. 

Si vous souhaitez en savoir plus sur la manière de mettre en place un programme complet de gestion des vulnérabilités basée sur le risque en quelques secondes et obtenir des résultats exploitables en quelques minutes, regardez la vidéo de présentation de Frictionless Assessment.

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

GRATUIT PENDANT 30 JOURS


Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

GRATUIT PENDANT 30 JOURS Bénéficiez d'un accès complet pour détecter et corriger les erreurs de configuration d'infrastructure cloud dans les phases de conception, build et exécution du cycle de vie du développement logiciel.

Acheter Tenable.cs

Contactez un commercial pour en savoir plus sur la sécurité dans le cloud et découvrir comment sécuriser chaque étape du code au cloud.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance