Aujourd’hui, de très nombreuses entreprises ont fait le choix de migrer leurs infrastructures et leurs applications sur les environnements cloud.

Cette adoption massive tient en grande partie à la combinaison d’un faible coût du Cloud public, et de services/innovations récents (DevOps, Virtualisation, Container, etc…) qui ont amenés agilité, gain de la productivité et rapidité dans la mise en production des applications.

Il faut néanmoins garder à l’esprit que le cloud public induit de nouveaux enjeux de cyber-sécurité : pour une même application, l’infrastructure conduit souvent à la fragmentation de la répartition des données, la dispersion des ressources dans plusieurs instances et, parfois sur plusieurs plateformes, ce qui complexifie le management de la sécurité des actifs et données pour le responsable de la sécurité du SI (RSSI).

Qu’il s’agisse d’Amazon Web Services, de Microsoft Azure ou de Google Cloud Platform, les RSSI doivent composer avec les complexités d’inventaire et de suivi des biens hébergés chez ces opérateurs. Il leur est alors difficile d’obtenir des éléments permettant d’arbitrer les spécificités sécurité des environnements “cloud” avec un niveau de pertinence et de rigueur comparable aux ressources internes “on-premises”.

Ces arbitrages couvrent en l’occurrence :

• La sécurité du modèle cloud (mode privé, public, hybride)
• L’automatisation du processus d’identification/découverte des défauts de configuration (répertoires dans le cloud accessibles via SSH/RDP, droits d’accès aux comptes utilisateurs/services, etc…).
• L’assistance systématique à la remédiation des défauts de configuration

Afin de mieux maîtriser ces enjeux, les RSSI s’appuient aujourd’hui sur trois grandes familles de solutions :

• CASB : Cloud Security Access Broker
• CWPP : Cloud Workload Protection Plaform
• CSPM : Cloud Security Posture Management

À la frontière entre l’expertise technique et la dimension métier, CSPM permet à la fois de contrôler l’utilisation du cloud, le respect de la politique de sécurité de l’entreprise et la conformité aux standards comme CIS Foundations Benchmarks, SOC 2, PCI, NIST 800-53, HIPAA et GDPR.

CSPM contribue également, de façon significative, à la mise en œuvre d’une démarche structurée permettant de renforcer la sécurité de l’ensemble des déploiements cloud au travers d’un processus précis d’automatisation de la remédiation incluant des outils de détection, d’analyse et de correction en continu des erreurs de configuration et de paramétrage des services (code d’infrastructure, micro-services, etc…).

L’approche CSPM offre également une capacité à intégrer des processus de sécurité (DevSecOps) dans la chaîne DevOps. Cette démarche répond aux problématiques d’organisation relatifs à l’évaluation des risques opérationnels et au suivi des mesures de sécurité mises en place tout au long du cycle de vie d’un projet DevOps (utilisation des repos, scan de code statique, scan de conformité -durcissement-, scan d’API, tests d’intrusion, etc…). Elle s’appuie pour cela sur des outils, indicateurs et capacité d’automatisation des contrôles permettant à l’équipe projet d’adopter une démarche agile, autonome, et d’anticiper ses plans d’action.

Ainsi, DevSecOps pour la chaîne DevOps permet d’intégrer la cyber-securité dans un pipeline CI/DC, à l’instar des solutions CSPM déployées dans toute l’infrastructure.

La cohabitation intelligente d’une solution CSPM avec DevSecOps renforce les processus SSI d’un déploiement cloud qu’il s’effectue via un pipeline CI/DC ou par le biais de canaux traditionnels des mises en production.

L’une des questions que se pose les entreprises est de déterminer à quel moment l’investissement dans une solution CSPM est opportun. Le groupe Gartner et Cloud Security Alliance recommandent aux responsables de la sécurité et des risques opérationnels, disposant dans leurs périmètres des biens hébergés dans le cloud, d’investir dans une solution et des outils CSPM. Les entreprises qui optent pour cette approche basent généralement leur choix sur les gains substantiels réalisés dans la limitation des risques, au regard de la responsabilité, parfois partagée avec les hébergeurs et/ou prestataires, dans la gestion de la sécurité du cloud et des failles et vulnérabilités dans la configuration des services associés.

En synthèse, les solutions CSPM permettent la mise en place d’une posture de maîtrise des risques pouvant découler d’erreurs de configuration et de paramétrage des services du cloud. Elles permettent de mieux maitriser des enjeux réglementaires en constante évolution. Leur mise en œuvre aurait pu contribuer, courant 2019, à limiter, voire empêcher, des incidents de sécurité pour les sociétés GoDaddy, FedEx, Verizon ou Walmart, dont des défauts mineurs de configuration de l’instance AWS S3 Bucket ont entrainés la compromission de 1.3 millions de comptes utilisateurs/services.

Les entreprises qui décident d’adopter une posture du type CSPM doivent préalablement évaluer leurs infrastructures, leurs risques, et la capacité technique de leur hébergeur/prestataire cloud à leur fournir les services de sécurité dont elle a besoin. L’analyse de ces éléments leur permettra d’orienter de décider de façon éclairée leur choix vers l’adoption d’une solution CSPM clé en main, l’orientation vers des solutions tierce souvent fonctionnelles sur un périmètre bien précis, ou l’arbitrage, au cas par cas, selon les modalités contractuelles définies, avec les opérateurs cloud, dans ses contrats de services ou plans d’assurance sécurité.

Bien entendu, cette démarche ne saura être efficace qu’en corolaire de l’engagement de l’entreprise dans un processus d’intégration massif de fonctionnalités et d’outils de type SaaS, Paas ou IaaS, ou d’autres technologies telles que le Big Data. Il devra évidemment s’appuyer sur un département SSI structuré et proactif, ayant en responsabilité la réponse aux exigences en termes de sécurité, aux besoins de support, et dans l’organisation et les choix technologiques attenant à l’optimisation du travail collaboratif de ses équipes opérationnelles. Ces éléments sont, par ailleurs, un indicateur pertinent du niveau de maturité digitale de l’entreprise déterminant dans le choix stratégique d’adopter ou non une solution CSPM.

Rédacteur : Karim SLIMANI (Directeur de Projet chez Formind)