Bala Sathiamurthy, Chief Information Security & Trust Officer chez Atlassian, partage les critiques existantes sur la fiabilité cyber du cloud ainsi que les bénéfices possibles, en particulier pour les PME. Au travers de son expérience, l’entreprise affirme que :

• Les équipes de sécurité IT doivent changer leurs pratiques pour évoluer dans un monde en mutation
• Établir une approche zero trust renforce le potentiel du cloud
• L’Homme tient une place essentielle dans l’ère numérique.

Peu importe si une entreprise utilise un environnement cloud complexe ou flexible, ou tout autre modèle SaaS, les équipes de sécurité IT ont besoin de réviser leur fonctionnement. En effet, les principes fondamentaux de la sécurité doivent être appliqués par le service IT afin de protéger l’entreprise de toute cyber attaque. Voici quelques conseils pour mettre en place une stratégie Zero Trust, tirer tous les bénéfices de la sécurité cloud et surtout, mettre en lumière le rôle de l’homme dans la cyber résilience.

Exigeant une connaissance pointue des technologies, la sécurité cloud peut paraître au départ bien herculéenne. Pourtant, à la manière dont les hackers opèrent aujourd’hui, on devine tout le contraire : alors qu’il existe des attaques sophistiquées et complexes, la plupart du temps un intrus s’empare du système avec un simple phishing ou piratage de mot de passe. Or le meilleur moyen pour se parer des cyberattaques reste la maintenance et le contrôle continu du système, lui-même devant être protégé et fiable.

Le Zero Trust ne relève pas de la magie

Même si la sécurité IT est souvent questionnée dans les environnements cloud, tôt ou tard on en vient à parler de Zero Trust. Quand il s’agit d’informatique, le Zero trust consiste à penser qu’un système peut être mis en danger par toute application, tout service ou tout appareil. En d’autres termes, l’IT doit assumer initialement que les appareils, les applications et les services reliés au réseau interne, ont un certain degré de vulnérabilité dû à l’erreur humaine. Au travers d’un modèle Zero Trust, les paramètres d’usages et d’accès au SI sont partiellement séparés de la localisation des appareils et des autorisations définies au profit des identifications, des authentifications, de l’attribution de statuts et des validations de processus de sécurité.

Pour implanter le Zero Trust, il faut s’assurer que les identités des employés soient centralisées dans un répertoire ou une base de données utilisateurs. Idéalement, le répertoire d’utilisateurs doit être synchronisé avec les processus RH de l’entreprise, afin que toute modification d’un statut d’employé ou toute permission puisse directement être mise à jour dans la base de données. Il est très simple de construire ce type de base de données en synchronisant le fournisseur cloud de l’entreprise avec un éditeur de logiciel externe, spécialisé dans la gestion des identités numériques et des accès (Okta ou CyberArk, par exemple). Une fois la synchronisation effectuée, les équipes IT peuvent aussi mettre en place un procédé SSO (single sign-on). Cela consiste à vérifier si l’utilisateur est rattaché au répertoire et, une fois l’identité confirmée, à lui donner un accès sur une durée déterminée aux ressources partagées. Les systèmes de gestion d’accès facilitent également le paramétrage et la mise en place d’authentification multifactorielle (MFA).

Après l’identification, puis l’authentification de l’utilisateur, il faut s’assurer que l’appareil n’a pas de défauts. Les prestataires de services proposent également une gestion des terminaux mobiles MDM. Une fois tous les appareils enregistrés, on peut définir une politique individuelle d’accès, prenant en compte la spécificité de certains réseaux. Une fois ces mesures instaurées pour vérifier les individus et les appareils, il faut se concentrer sur le niveau individuel d’applications et de données. Pour y parvenir, il est nécessaire de mettre en place un système de gestion d’accès pour réguler les accès. Le Zero Trust se fonde sur le principe qu’un employé doit se voir confier le strict minimum d’accès, afin de travailler sans encombre. Par exemple, si un hacker pirate les accès d’un software engineer junior, avec une Zero Trust policy il lui sera impossible d’accéder aux données des autres services, comme la finance, les RH ou l’équipe marketing. Les dégâts seront ainsi minimisés.

Tout en un : la sécurité et le cloud

Certains managers doutent encore de la fiabilité du cloud en matière de cybersécurité et préfèrent sauvegarder leurs données sur un serveur interne. La plupart des PME affirment pourtant le contraire. Pourquoi donc ? Le cloud est plus vaste qu’un simple serveur. En principe la base de clients d’un hyperscaler ou d’un fournisseur SaaS attachent toujours de l’importance à ce que son opérateur soit conforme aux politiques de protection des données.

La sécurité du cloud ne dépend pas des individus eux même, mais de l’intégralité du système. Ce système profite à tous les clients du cloud, car lorsqu’ils investissent dans cette technologie, ils deviennent membres d’une « communauté d’intérêt en matière de sécurité ». Ils bénéficient de la meilleure infrastructure de sécurité possible car celle-ci doit correspondre aux mêmes normes de sécurité que dans les grandes entreprises. Au fur et à mesure de l’augmentation du nombre de clients, les fournisseurs cloud peuvent à leur tour constituer des équipes de sécurité spécialisées dans des domaines métiers, contrairement aux petites infrastructures sur site, qui elles font appel à des généralistes. Avec la pénurie de talent, cela est néanmoins complexe.

Pour les PME le cloud est particulièrement bénéfique par rapport aux mécanismes de sécurité, car elles sont rattachées à une communauté d’intérêt comportant aussi des entreprises financièrement stables et donc ayant besoin de hauts standards de sécurité. Par exemple, des mesures de sécurité qui s’appliquent seulement à grande échelle peuvent aussi être partagées avec les plus petites structures. Les équipes spécialisées des opérateurs cloud pour la sécurité sont nommées les Red Teams. Ce sont des équipes dédiées ayant l’autorisation de simuler des attaques adverses. Elles sont chargées d’explorer les failles des produits et des infrastructures cloud, et de les reporter, afin qu’aucun criminel n’en profite. Elles simulent, par exemple, des e-mails d’hameçonnage.

Les données des clients ne sont évidemment pas affectées par les simulations, mais ces investissements permettent de renforcer la sécurité des produits cloud, tout en enrichissant les procédés internes, afin que les équipes soient mieux préparées en cas de cyberattaque.

Faire attention au facteur humain

D’après le rapport 2022 du Forum économique sur les risques mondiaux , 95% des incidents de cybersécurité sont due à une erreur humaine. Il est donc primordial d’ajouter le risque humain à toute approche de cyber résilience. Accidentellement, le terme de “résilience” vient également de la psychologie. Si les criminels l’appliquent habilement, ils peuvent accéder à un système sécurisé avec une faible connaissances IT. Cela se produit, par exemple, par le biais de ce que l’on appelle l’ingénierie sociale, où des méthodes perfides sont utilisées pour tenter d’obtenir des données d’accès de la part des employés ou pour les inciter à effectuer certaines actions – par exemple : débloquer un virement bancaire douteux.

Pour se protéger contre ces attaques d’ingénierie sociale, les entreprises doivent renforcer leur résilience et sensibiliser leurs employés. Cela n’est possible que si ces derniers sont conscients des méthodes utilisées par les attaquants potentiels et savent comment réagir en cas de besoin. Pour les équipes informatiques des entreprises, cela signifie qu’elles doivent jouer un rôle plus actif dans la communication. Elles doivent se tenir régulièrement informées des cybers incidents, des nouveaux vecteurs d’attaque et immuniser le personnel. Cela peut se faire par le biais de mises à jour régulières, mais également des formations interactives ou des tests en direct. Le service informatique peut, par exemple, créer des e-mails d’hameçonnage. À la suite de ces actions, il peut directement solliciter les collaborateurs qui n’ont pas remarqué la tentative de fraude, pour mettre en place les mesures adaptées.

En outre, la communication entre les équipes informatiques et le personnel doit être fondée sur des processus clairs et définis. Si l’entreprise communique clairement et à plusieurs reprises, que le service informatique ne demandera jamais de mots de passe par téléphone, alors les tentatives de fraude seront mieux identifiées. Enfin, les équipes informatiques doivent être disponibles pour répondre aux questions de suivi et encourager les employés à poser des questions.

Conclusion

Les architectures cloud modernes nécessitent de nouvelles approches de la sécurité, allant au-delà du contexte actuel. Pour cela, les équipes informatiques peuvent s’appuyer sur une gamme de solutions et d’outils facilitant la de Zero Trust policy. L’utilisation du cloud et de logiciels cloud ne doit pas être considérée comme une lacune, mais comme une opportunité – avec les vastes ressources des hyperscalers en arrière-plan, dont même les PME bénéficient grâce à des mises à niveau automatiques de la sécurité. Cependant, l’aspect humain est au moins aussi important que la composante technique de la sécurité informatique. En manipulant les données par le biais de l’ingénierie sociale ou de l’hameçonnage, les criminels peuvent accéder aux données sans avoir à pirater quoi que ce soit. Comme il est de plus en plus facile pour les attaquants d’exploiter les vulnérabilités courantes, il est important que les équipes informatiques ne se concentrent pas uniquement sur la technologie, mais qu’elles tiennent toujours compte des erreurs humaines potentielles et qu’elles collaborent avec le personnel pour les éviter. Lorsque les entreprises font tout cela avec leurs fournisseurs de logiciels et d’informatique cloud dans le cadre de leur stratégie de sécurité informatique, elles font généralement le choix de l’informatique cloud le plus sûr pour elles-mêmes, pour leurs clients et pour leurs employés.