En bouleversant les modes de travail et d’échanges de données, la crise sanitaire a fait évoluer la typologie des cyber-menaces. Les systèmes d’informations sont plus ouverts que jamais, et le Cloud représente leur plus grande force comme leur plus grande faiblesse. Retour avec Pierrick Conord, Responsable de la Sécurité Cloud chez Sopra Steria, sur les bonnes pratiques à adopter pour sécuriser son infrastructure Cloud.
Une multiplication par 4. C’est le constat que réalise l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sur le nombre de cyberattaques depuis le début de la pandémie. Guillaume Poupard, président de l’ANSSI, évoque ainsi une “explosion totale” de la cybercriminalité sur le plateau de BFMTV. Trois grandes menaces sont aujourd’hui identifiées : l’espionnage, la grande criminalité, et ce qu’il nomme les “risques quasiment militaires” lorsque les OIV (Opérateurs d’Importance Vitale) sont ciblés.
Une accélération exponentielle des cyber-menaces
Le contexte sanitaire de ces 18 derniers mois a modifié en profondeur la structure du travail et des entreprises. D’abord, la démocratisation du télétravail a entraîné dans son sillage l’ouverture du système d’information (SI) des entreprises aux employés. Or, les employés sont des vecteurs d’attaques, des portes d’entrées pour les menaces externes. Ensuite, l’externalisation de certains services aux infrastructures Cloud (de plus en plus plébiscitées pour faciliter l’échange d’informations internes notamment) ouvre de nouvelles brèches, puisque ces infrastructures manquent parfois de contrôle de sécurité.
Pierrick Conord, Responsable Sécurité Cloud chez Sopra Steria, témoigne ainsi : “dès le mois de novembre 2020, nous avons ressenti une forte accélération des cyberattaques, notamment sur les prises en otage des systemes d’information via les ransomwares. Cela s’explique par le fait que de nombreux groupes d’attaquants (APT) ont mis en vente leurs boîtes à outils sur le marché noir pour que tout le monde puisse s’en servir.” Ce phénomène a eu de grandes répercussions sur la capacité des attaquants à s’adapter et à utiliser des outils de plus en plus perfectionnés. Les chiffres parlent d’eux-mêmes : en 2019, l’ANSSI dénombrait 54 attaques de ransomwares. En 2020, elle en comptait 192. Des chiffres qui, pour rappel, ne concernent que les agences étatiques. En comptant les entreprises privées, LeMagIT recensait pas moins de 1600 attaques au rançongiciel dans le monde sur l’année 2020, dont 130 en France.
Lutter efficacement contre la Cyber Kill Chain
Après les risques liés aux VPN, l’accélération du Cloud représente la menace principale pour les DSI, puisqu’elle démultiplie les accès à leur système d’information. Les attaques sur les infrastructures Cloud suivent la méthodologie de la Cyber Kill Chain. La première étape est une reconnaissance de l’environnement, pour connaître les services Cloud hébergés. Ensuite, les cyber attaquants identifient les technologies employées et les vulnérabilités potentielles afin de les exploiter. Ils effectuent alors des reconnaissances directement dans le SI pour organiser des escalades de privilèges et gagner l’accès à des parties vitales. Ils travaillent enfin à l’exfiltration de la donnée, et à la prise de contrôle ou jusqu’à la destruction de l’infrastructure toute entière.
Pour lutter contre cette méthodologie bien connue des DSI, le plus important est de mettre en place des bonnes pratiques afin de gagner en visibilité sur son SI, notamment dans le cas des applications massivement utilisées par le public. Trois principes peuvent être mises en œuvre :
- Limiter les accès à l’application pour éviter la surexposition ;
- Restreindre les accès et les privilèges sur l’application ;
- Mettre en place une authentification forte dès la préproduction.
“Derrière les cybermenaces se cachent en effet des organisations importantes avec de grands moyens financiers et technologiques. Et comme l’infrastructure Cloud est à la fois agile et rapide, les DSI ne doivent pas se faire dépasser : ils doivent garder le contrôle sur tout ce qui est déployé dans leur environnement”, prévient Pierrick Conord.
De nouveaux outils pour de nouveaux challenges
Avant l’avènement du Cloud, assurer la cybersécurité des données était moins complexe puisqu’elles étaient hébergées sur un data center clairement identifié. Maintenant, la donnée peut se trouver n’importe où et être accessible depuis n’importe quel équipement. Le nouveau challenge de la DSI est de savoir qui se connecte, depuis où a lieu la connexion et surtout avec quel équipement. Ici, les solutions de Cloud ont un avantage : “pour protéger la donnée, nous pouvons paramétrer des indicateurs de lieux et de conditions d’accès qui définissent les règles protégeant la donnée. Si l’infrastructure Cloud ne reconnaît pas le lieu de connexion, elle peut tout simplement bloquer l’accès”, détaille Pierrick Conord.
La force du Cloud est de pouvoir effectuer des analyses comportementales pour mettre en place des exigences de contrôle d’accès avec des solutions telles que le CASB (Cloud access security broker), le DLP (Data Loss Prevention) ou encore le chiffrement des données. Les éléments conditionnels permettent ainsi de renforcer la gouvernance en cybersécurité. C’est pourquoi, d’ici 2024, 40% des entreprises mettront en œuvre une stratégie SASE (accès à la donnée et à l’infrastructure en fonction du lieu de connexion), selon le Gartner.
Gagner en visibilité, le nerf de la guerre
Selon une étude du fournisseur de logiciel NinjaRMM, 41% des télétravailleurs reconnaissent devoir contourner les politiques de sécurité de leur entreprise pour faire leur travail. Et 18 % des sondés déclarent faire un usage personnel de leurs outils professionnels. Ce phénomène a été baptisé le Shadow IT, et il échappe totalement au contrôle de la DSI.
“Prenons un exemple simple : imaginons un environnement Microsoft Azure dans lequel certains employés utilisent la messagerie Exchange sans la supervision de la DSI. Ce simple usage pourrait mettre à mal toute l’organisation en ouvrant une vulnérabilité sur le SI, puisque tous les services sont connectés par le Cloud”, explique Pierrick Conord. Mais l’impact peut être encore plus fort si les machines utilisées sans la supervision de la DSI sont détournées par des bots. Ces machines pourraient alors utiliser les ressources du Cloud pour, par exemple, miner du Bitcoin, générant de l’argent pour les attaquants et alourdissant la facture des entreprises.
La solution ? Le CSPM (Cloud Security Posture Management). Il permet de gagner en visibilité sur toute une infrastructure Cloud. Si les environnements Cloud sont en expansion constante et rapide, les DSI peuvent mettre en place des tableaux de bords pour gagner en visibilité sur ce qui est déployé et sur ce qui est exposé. Le CSPM permet de répondre à ce problème grâce à un seul tableau de bord centralisé qui utilise des API en mode lecture. Celles-ci collectent et auditent en temps réel tout ce qui est déployé dans le SI. Cette posture a l’avantage de fonctionner également sur des environnements multi-cloud et hybride on premise. Mais aussi les CWPP (Cloud Workload protection Platform) permettant de descendre au niveau de l’asset déployée dans le Cloud et permet ainsi d’avoir la vue sur les vulnérabilités présentes, des erreurs de configuration.
Le Cloud, en apportant de la flexibilité et de la souplesse au SI, reste donc un levier de cyber-résilience pour les entreprises. Mais il doit, pour cela, être parfaitement protégé.