Cyber Interview: les enjeux de la sécurité du Cloud
Bonjour Julien, la sécurité du Cloud est l’une des tendances phares de la cybersécurité en 2017. Comment l’expliquer ?
L’usage du cloud est plutôt répandu. Je ne pense pas que l’on puisse dire que c’est nouveau, tout comme la technologie. Par contre, ces technos et usages n’ont effectivement pas été pensés par la sécurité à la conception.
Cela signifie que les gens ont créé des machines en ligne – c’était très simple, mais ils ont oublié un facteur très important puisque que les machines étaient ouvertes, certes, mais à tout le monde ! Donc les usages grandissants, les attaques deviennent plus intenses. Les professionnels comme le grand public prennent conscience, que comme toute infrastructure informatique, les machines dans le Cloud n’échappent pas aux attaques. Il est donc nécessaire d’améliorer la sécurité sur ce plan-là : il faut protéger les applications, que ce soit en termes d’accès ou en termes de sécurité de l’application elle-même.
Mais comme toute nouvelle technologie ou concept, on pense d’abord aux usages – la praticité, la rapidité, etc. et la sécurité vient toujours en dernier ! C’est quelque chose que l’on remarque systématiquement !
Par exemple, je lisais la dernière fois un sujet sur les voitures connectées qui embarquent de plus en plus d’électronique et c’est incroyable ! La sécurité à la conception n’existe pas ! C’est pareil pour le Cloud. On déploie des machines en pensant que si l’on crée ou installe un security group (un groupe d’utilisateurs qui ont les mêmes privilèges sur un domaine précis, NDLR) sur Amazon ou Azure, par exemple, l’application ou la machine sera sécurisée. C’est faux ! Mais ce qui nous importe à ce moment-là n’est pas la sécurité, c’est que la machine se déploie tout de suite, que l’on puisse y accéder rapidement avec un petit mot de passe et que le tout soit facile d’utilisation.
J’ai l’impression que ce phénomène peut aussi être lié au fait qu’on ne sache pas vraiment ce qu’il se cache derrière cette notion de Cloud.
Concrètement, de quoi parle-t-on lorsque l’on parle de Cloud ?
Le Cloud est un paradigme qui permet d’utiliser des applicatifs à la demande, de partout, de disposer d’une infrastructure évolutive, etc. L’adoption du Cloud est importante aujourd’hui, la question pour les entreprises est plutôt de savoir lequel des 3 modèles du Cloud est le plus adapté à leur nouveaux usages : le SaaS (Software as a Service), PaaS (Platforme as a Service) ou IaaS (Infrastructure as a Service). Ensuite, on a les fournisseurs et les opérateurs de Cloud. Les fournisseurs de Cloud comme Microsoft, Amazon, Google, etc. fournissent des plateformes Cloud. Après, il y a les opérateurs de Cloud, c’est-à-dire des personnes qui vont louer de l’infrastructure à ces fournisseurs de Cloud pour proposer des services hostés directement dans le Cloud. Par exemple, Dropbox est en mode Saas, Software as a Service, c’est-à-dire qu’il propose à ses clients un abonnement à un service qui est hébergé sur une infrastructure Amazon.
Donc on voit bien qu’il y a plusieurs niveaux de sécurité à respecter lorsque l’on parle de Cloud puisqu’il faut non seulement s’assurer que les infrastructures gérées par les fournisseurs de Cloud sont sécurisées, mais également être sûr que l’opérateur de services Cloud sécurise son environnement virtuel hébergé chez un fournisseur.
Si l’on recentre ces problématiques sur les entreprises, est-ce que la sécurité du Cloud est un enjeu de cybersécurité supplémentaire ?
Je ne dirais pas forcément que c’est un enjeu supplémentaire. Je pense plutôt qu’il s’agit déjà d’essayer d’étendre un bon nombre de bonnes pratiques de sécurité acquises sur les infrastructures classiques vers des environnements Cloud. Il y a déjà des choses qu’on peut appliquer tout de suite. Je pense notamment aux mots de passe, qu’ils soient stockés dans le Cloud ou dans une machine sur un bureau, cela reste la même chose. La gestion des mots de passe est cruciale quel que soit l’environnement ou l’endroit où se trouve la machine ou le serveur.
Malgré tout, ces bonnes pratiques ne sont pas suffisantes lorsqu’on parle de la sécurité du Cloud parce qu’avec de nouveaux usages s’ajoutent de nouvelles méthodes d’administration. Dans ce cas, nous pouvons effectivement parler d’enjeux de sécurité supplémentaires parce qu’il va falloir repenser la façon dont on y accède, dont on utilise les ressources ou bien celle dont les gens les utilisent. Etant donné que ce sont des machines virtuelles qui sont dans le Cloud, plusieurs personnes vont être amenées à les utiliser, ce qui veut dire théoriquement plus d’accès, donc plus de contrôle et de rigueur dans les accréditations des accès.
Justement, comment contrôle-t-on tous ces accès dans le Cloud ?
Aujourd’hui, les principaux fournisseurs de Cloud que sont Amazon et Microsoft fournissent ce qu’on appelle une sorte d’IAM (Identity and Access Management, NDLR) qui permet de déléguer des droits de manière assez granulaire ce qui va rendre possible le contrôle et l’accès (grâce à des workflows d’autorisations) aux ressources et servers clés. Par contre, on ne saura pas ce qui a été fait en termes d’administration. Là, je distingue l’usage des machines qui vont être des machines destinataires dédiés à des métiers (par exemple avec de la compilation, des gens de la R&D qui vont travailler dessus parce que c’est leur outil, etc.) de celles dédiées à l’administration. L’administration aujourd’hui est liée à des personnes qui vont administrer l’infrastructure Cloud d’une société. Ce sont des personnes qui ont les clés du royaume et qui vont pouvoir faire la même chose que ce qu’ils feraient sur une machine hébergée en datacenter ou posée sur un bureau. En regardant ces cas de figure, on se rend bien compte que la gestion des IAM et la gestion des rôles proposées par les fournisseurs de Cloud sont de bonnes choses mais insuffisantes parce qu’elles ne vont pas nous permettre de savoir ce qui s’est passé, de faire du post mortem, de faire de la gestion de mots de passe fine, de faire tout ce qu’on est capable de faire aujourd’hui sur les infrastructures internes avec une solution comme le Bastion de WALLIX.
De manière plus spécifique, comment le Bastion intervient-il à ce niveau-là ?
Si l’on reprend l’exemple des fournisseurs de service qui hébergent leurs machines virtuelles chez des fournisseurs de Cloud Azure, etc. : ils vont forcément passer au travers d’un Bastion qui leur permet à tout moment de demander les traces d’administration, ou de mettre en place une politique de changement de mots de passe sur leurs propres machines virtuelles. La valeur ajoutée est que le client peut à tout moment savoir ce qui se passe ou ce qui s’est passé, et peut gérer lui-même la sécurité de ses machines virtuelles au travers d’un seul point d’accès qui est le Bastion. Donc le Bastion agit comme une barrière plus ou moins forte entre le fournisseur de services et les machines administrées. Il diminue alors la menace interne comme on a déjà pu l’aborder dans une autre interview, la menace interne qui est quand même pour moi la menace la plus prégnante pour une entreprise. Dans le cadre de la sécurité du Cloud, la problématique touche plus particulièrement les utilisateurs à privilèges ; on fait de l’outsourcing donc de facto on fait peut-être encore moins confiance aux personnes qui arbitrent nos machines ! Pour réduire les menaces venant du Cloud, nous recommandons de couper l’accès aux machines et de se connecter uniquement au Bastion pour y accéder, les risques d’incidents sont alors fortement diminués. Le Bastion agit dans ce cas comme une barrière puisque l’accès direct aux machines ne sera théoriquement plus possible. Nous recommandons cette démarche pour que les mots de passes soient connus uniquement par le Bastion, tout en accompagnant le changement auprès des utilisateurs afin de faciliter son adoption.
Pour plus d’information sur le Bastion de WALLIX, rendez-vous sur www.wallix.com ou contactez-nous pour une démo live.
