En transférant les charges de travail vers le Cloud, les entreprises (et les administrateurs informatiques) ont perdu le contrôle de ces charges et délaissé de nombreux aspects cruciaux de la cybersécurité. En conséquence, ce que l’on considère comme « intérieur » dans un environnement local devient subitement « extérieur » dans une infrastructure hébergée dans un Cloud public. En utilisant des méthodes de connexion, des protocoles et des API publiques standard, les hackers peuvent disposer du même accès aux charges de travail hébergées dans un Cloud public que les administrateurs informatiques. De ce fait, le monde entier devient une menace interne. La sécurité des charges de travail est donc déterminée par les personnes qui peuvent accéder à ces charges et par les autorisations dont elles disposent.
Le problème réside dans la commodité et la flexibilité des environnements Cloud. Les administrateurs de Cloud accordent souvent des autorisations étendues à des groupes d’utilisateurs pour leur permettre d’accomplir des tâches en toute fluidité. En pratique, la plupart des utilisateurs n’utilisent qu’une petite partie des autorisations qui leur sont octroyées et n’ont pas besoin de toutes celles-ci. Cela représente une sérieuse faille de sécurité, car si ces identifiants utilisateur tombent entre des mains malveillantes, les hackers disposent d’un accès étendu aux données et ressources sensibles. Selon le rapport Gartner « Managing Privileged Access in Cloud Infrastructure », d’ici 2023, 75 % des défaillances de sécurité dans le Cloud seront imputables à une gestion inadéquate des identités, des accès et des privilèges.
1 – Ne pas comprendre la différence entre les autorisations UTILISÉES et ACCORDÉES
80 % des autorisations excessives sont basées sur les rôles. Dans un environnement Cloud où les ressources sont hébergées « à l’extérieur » de l’entreprise, les autorisations d’accès au réseau définissent la surface de menace.
Les autorisations superflues résultent de l’écart entre les autorisations dont les utilisateurs ont besoin pour accomplir leur travail et celles dont ils disposent effectivement. Autrement dit, il s’agit de l’écart entre les autorisations définies et celles qui sont utilisées. Cette différence constitue la surface d’attaque de votre entreprise.
Comprendre la différence entre les autorisations UTILISÉES et les autorisations ACCORDÉES est l’un des principaux défis de cybersécurité que doivent relever les entreprises. Pour cette raison, il est capital de surveiller et d’analyser en permanence cette différence pour s’assurer qu’elle est aussi réduite que possible et, par conséquent, que votre surface d’attaque est minime.
2 – Votre problème n’est pas la détection. C’est la corrélation
Les alertes de cybersécurité font penser à l’histoire du garçon qui criait « au loup ! ». Selon de nombreux rapports indépendants, un centre d’opérations de sécurité type traite environ 10 000 alertes par jour.
La prolifération des alertes est l’une des principales causes de négligence à leur égard, ce qui fait que des alertes indiquant une activité potentiellement malveillante sont noyées dans une mer d’avertissements, entraînant potentiellement une violation des données.
Se concentrer sur les alertes les plus importantes est l’un des principaux enjeux des entreprises en matière de sécurité du Cloud. Il est essentiel que les équipes de sécurité disposent d’une vue unifiée sur plusieurs environnements et comptes Cloud, avec un système intégré de classement des alertes pour une hiérarchisation efficace.
[Vous avez aimé cet article ? Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]
3 – Une incapacité à faire le lien entre différents éléments
Les violations de données ne surviennent pas instantanément ; elles se déploient dans le temps. Elles sont le fruit d’un long processus de tâtonnement de la part de l’attaquant, et comprennent de nombreuses petites étapes et activités à mesure que l’attaquant tente d’accéder aux données sensibles.
Ces petites étapes et activités, dont beaucoup sont des événements de faible ou moyenne priorité, sont souvent négligées. Pour ne rien arranger, la durée moyenne d’une violation de données est de six mois. Par conséquent, même si des événements isolés sont détectés, ils sont souvent oubliés lorsque l’événement suivant est détecté... aucun « fil » les reliant entre eux n’est jamais détecté.
[Sur le même thème : Répartir des charges de travail applicatives entre plusieurs Clouds et centres de données]
L’incapacité à corréler des événements/alertes isolés dans le temps en un « scénario » d’attaque est l’une des plus grandes lacunes des entreprises en matière de sécurité Cloud. Les entreprises doivent y remédier pour éviter les violations de données avant qu’elles ne se produisent.