Cloud Hardening : 5 tips pour sécuriser le cloud

Cloud Hardening

Table

Cloud hardening : définition

Le « durcissement » (hardening) limite la vulnérabilité du cloud face aux attaques. Il implique des règles spécifiques en matière de configuration système. Sans oublier un ensemble de bonnes pratiques.

Depuis une dizaine d’années, les entreprises font migrer leurs systèmes informatiques vers le cloud. 93 %[1] d’entre elles l’utilisent désormais.

Face aux attaques, le cloud n’est pas infaillible. Le recours massif au télétravail a fragilisé la sécurité informatique des organisations. En 2020, au plus fort de la pandémie, 47 % des entreprises ont enregistré une hausse des cyberattaques[2].

Les utilisateurs sont responsables à 99 % des failles de cybersécurité du cloud[3]. Adopter une approche « Cloud Hardening » contribue à créer un environnement informatique sûr.

Paramétrage et bonnes pratiques à adopter : sécurisez votre cloud avec nos 5 recommandations.

Chiffres clés : une cybersécurité à améliorer

  • Environ 85 % des violations de la cybersécurité sont causées par une erreur humaine (Verizon) ;
  • Les attaques sur le Cloud ont augmenté de 630 % en 2020 par rapport à 2019 (McAfee);
  • 4 PME sur 10 (42 %) ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques (L’Usine Nouvelle);
  • Plus de 21 % de tous les dossiers d’une entreprise sont ouverts à tous. (CLUSIF)

1 – Sécurisez la console de gestion du cloud

L’abonnement à un service cloud donne lieu à la mise à disposition d’une console de gestion par le fournisseur. Cet outil, parfois également appelé cloud control panel, est propre à chaque organisation. Il permet d’effectuer de nombreux réglages côté client, tels que :

  • L’administration des comptes utilisateurs.
  • La gestion des droits d’accès.
  • La configuration des services cloud.
  • Le dépannage (détection, identification, puis résolution du problème).
  • La supervision de l’activité des utilisateurs.
  • La facturation, etc.

Les consoles de gestion cloud sont régulièrement ciblées par les hackers. L’exemple le plus marquant est probablement celui de l’hébergeur de code Code Spaces dont le détournement d’un compte d’administration de sa console AWS a entraîné la faillite de l’ensemble de l’entreprise.

Sans une administration correcte, les cloud control panels constituent des failles et des vulnérabilités majeures du système informatique d’une organisation. Il appartient donc aux entreprises de soigneusement contrôler et restreindre les droits d’accès et les privilèges sur ces outils.

Les bonnes pratiques de sécurité applicables à la console de gestion du cloud reposent sur une approche Zero Trust. Elles consistent notamment en :

  • l’inventaire des comptes utilisateurs en adaptant leurs droits ;
  • l’authentification à facteurs multiples (AMF) ;
  • la restriction des accès aux API aux seules sources et adresses IP fiables ;
  • la journalisation sur l’ensemble de l’environnement cloud.

2 – Sécurisez les identités : la politique least privilege

Selon le document Top 10 de l’OWASP[4] répertoriant les risques de sécurité les plus critiques, les contrôles d’accès ou d’authentification défectueux sont responsables d’au moins 4 des 10 principales vulnérabilités pesant sur les organisations.

Le principe du moindre privilège ou least privilege (POLP) est la pratique de cybersécurité incontournable pour la protection des accès. C’est un composant fondamental des référentiels Zero Trust stipulant qu’un individu ne doit posséder que les privilèges minimums nécessaires pour effectuer une tâche spécifique.

En pratique, ce principe du moindre privilège s’applique non seulement aux individus, mais aussi aux équipements, applications, processus, services ou encore réseaux pouvant accéder aux ressources cloud. Lorsqu’il s’agit de sécuriser les identités, tous ces éléments doivent être considérés comme des entités actives avec des droits d’accès et des privilèges clairement définis.

Afin d’implémenter le principe du moindre privilège, les entreprises doivent suivre ces bonnes pratiques :

  • supprimer tous les comptes inactifs ;
  • mettre régulièrement en place des audits pour réévaluer les comptes et les privilèges ;
  • limiter le nombre de comptes « privilégiés », en particulier ceux des administrateurs ;
  • consulter fréquemment les journaux et surveiller toutes les authentifications et les autorisations sur les systèmes critiques ;
  • mettre en place des privilèges limités dans le temps  ;
  • appliquer les principes de sécurité connexes, notamment la séparation des tâches et des profils utilisateurs selon les actions à effectuer.

En parallèle, les règles d’identification renforcées telles que le SSO (authentification unique des utilisateurs) et des politiques strictes de mot de passe doivent être mises en place.

3 – Protégez les ressources cloud : MDR

Par définition, le cloud permet de transférer des informations depuis et vers des ressources accessibles via Internet. Il est donc essentiel de disposer d’une protection solide sur les ressources allouées dans le cloud. Ces agents EPP combinent les fonctionnalités de firewall, filtrage web, antivirus, anti-malware, etc.   

Avec l’intensification et la sophistication des cybermenaces, les entreprises doivent également faire évoluer leurs défenses afin de s’adapter. Des outils comme l’EDR (Endpoint Detection and Response) leur permettent de renforcer leur sécurité, y compris lors de leurs accès au cloud.

Les solutions EDR sont constituées d’agents et de capteurs surveillant les terminaux. Ces plateformes collectent et envoient les données comportementales à une intelligence centralisée pour analyse.

   

Le MDR (Managed Detection and Response) fonctionne de manière similaire, sauf que l’analyse et les réponses aux cybermenaces sont confiées à des équipes de spécialistes comme les analystes d’EXEO.   

 

Chez EXEO, nous proposons ainsi, au sein de nos offres de Cloud Hardening, des services de sécurité managés qui intègrent la protection managée des terminaux. Nous fournissons un service de MDR et MSIEM (Managed Security Information and Event Management) pour :

  • détecter les menaces ;
  • identifier les vulnérabilités ;
  • garantir la sécurité des ressources informatiques.

Définition du MDR selon Gartner :

Selon le cabinet Gartner, « Les services MDR fournissent à distance des capacités de centres d’opérations de sécurité modernes, axées sur la détection rapide, l’investigation et l’atténuation active des incidents. »

4 – Protégez les données: les sauvegardes cloud to cloud

Les sauvegardes sont des éléments de sécurité incontournables permettant des reprises d’activité beaucoup plus rapides en cas d’incident et limitent les pertes et les compromissions de données.   

Dans ce domaine, une pratique de sécurité est de recourir à la sauvegarde cloud à cloud (C2C). Cette approche consiste à archiver les données d’un service cloud vers un autre service cloud. Elle a le même objectif qu’une sauvegarde normale, mais comporte des avantages supplémentaires comme :

  • Une meilleure accessibilité puisque les données sauvegardées sont disponibles depuis partout.
  • Une protection renforcée face aux attaques de type ransomware puisque les données ne sont pas stockées sur le réseau interne.
  • Une plus grande couverture, car les sauvegardes C2C protègent l’utilisateur contre de nombreux cas de compromission de données.

En revanche, les sauvegardes C2C peuvent être complexes à mettre en place.    Les organisations doivent clairement faire l’inventaire des données qu’elles utilisent et de leurs interactions au sein des différents services cloud. Ce suivi garantit que les dernières informations actualisées sont bien sauvegardées et accessibles en cas d’incident.   

Pour plus de simplicité et d’efficacité des sauvegardes Cloud, EXEO propose un service de sauvegarde managé basé sur le cloud Acronis. Nous garantissons à nos clients une surveillance quotidienne du processus de sauvegarde des données, avec notamment :

  • Un chiffrage à la source des données.
  • Une disponibilité de 99,995 %.
  • Des restaurations garanties et rapides.

5 – Mettez en place une surveillance 24 heures/24, 7 jours/7

Le monitoring de l’environnement cloud et de l’ensemble du système informatique est un des piliers des politiques de cybersécurité. Les cybermenaces sont en permanente évolution, de nouvelles failles de sécurité peuvent se créer ou être exploitées à tout instant par des cyber-attaquants (les vulnérabilités zero-days).

Les failles d’origine humaine peuvent aussi déjouer les dispositifs de protection les plus avancés.

La surveillance continue des accès, autorisations et utilisations est par ailleurs l’un des fondamentaux de l’approche Zero Trust.

Au niveau du cloud, ces bonnes pratiques de surveillance incluent :

  • La connaissance des engagements des fournisseurs cloud pour déterminer quelle part de la sécurité leur incombe et laquelle repose sur le client.
  • Le monitoring des métriques de sécurité pour détecter les menaces et réagir
  • L’observation des comportements dans chaque couche de l’infrastructure.
  • La prise en compte des données de l’expérience utilisateur.
  • L’automatisation des outils de surveillance et de réaction.

Le chiffre à retenir :
"Les entreprises utilisatrices d’un cloud public négligeant de définir un protocole de sécurité approprié seront confrontées, pour 90 % d’entre elles, à au moins une fuite de données sensibles d’ici 2024.

Selon Gartner

Cette surveillance continue est automatisée, mais elle requiert une intervention humaine pour évaluer en continu les risques et prendre les mesures adaptées.
Chez EXEO, nous proposons un système de surveillance du cloud totalement managé.   

Nous allions ces références de sécurité de pointe à des logiciels d’analyse et de détection de menaces pour assurer la sécurité de nos clients 24h×7j.   

Pourquoi faire confiance à EXEO pour renforcer votre cybersécurité cloud ?

EXEO se met au service d’une informatique plus abordable, agile, mais aussi accessible. Nos professionnels interviennent déjà auprès de milliers d’utilisateurs cloud, répartis sur quatre continents. Notre mission : vous aider à adopter les services cloud dans les meilleures conditions de sécurité.

L’expertise EXEO en 3 mots :

  • Accélérer vos processus, via une approche TI Agile.
  • Protéger, avec des actions concrètes en faveur de votre durcissement cloud (hardening) ;
  • Optimiser par un recours accru aux technologies numériques et à l’automatisation des processus.

Les 3 points clés à retenir:

  1. La responsabilité de cybersécurité du cloud

Elle relève à la fois du fournisseur de service et du client. La plupart des failles sont la conséquence de pratiques manquantes de ce dernier.

  1. Adopter une approche sécuritaire…

L’exploitation à leur plein potentiel des services cloud exige une approche sécuritaire spécifique. La multiplication des possibles points d’accès pour les attaques implique une veille permanente.

  1. …avec le bon partenaire

Cependant, la mise en place de protocoles sécuritaires pour les clients cloud requiert du temps et de solides ressources internes. Pour exploiter en sécurité tout le potentiel des services cloud, EXEO dispose des compétences nécessaires pour vous accompagner dans votre processus de cloud hardening.

Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn

Contactez-nous

Re-Architect

This methodology requires the most effort to implement but it results in the most optimised recurring cost and will provide the best scalability for apps. This involves re-adapting the code of applications and the heavy use of SAAS solutions in order to replace existing hosted applications.

Re-Platform

This method utilizes the power of  PAAS services, like transferring a database to an as-a-service model,  the use of containers for some apps or the use of network/security functions as a service. Greater scalability and lower cost of operation is achieved.

Re-Host (Lift & Shift)

the migration of workloads from  to the cloud without changing the architecture. Machines get to keep their  OS and apps. This is the quickest and easy way to migrate, but since its  utilising IAAS, its is also the most expensive on the long term.