Skip to content

Si l'utilisation d'un serveur en nuage est une bonne chose, l'utilisation de plusieurs serveurs en nuage ne serait-elle pas encore meilleure ?

C'est ce que semblent penser de nombreuses grandes organisations, qui se tournent de plus en plus vers l'infrastructure multicloud en tant que meilleure pratique. Enquête de la Harvard Business Review, En effet, 85% des personnes interrogées ont déclaré que " leurs organisations utilisent au moins deux nuages et un quart d'entre elles en utilisent cinq ou plus ". L'étude de Flexera Rapport 2022 sur l'état de l'informatique en nuage note que "le multicloud est l'infrastructure en nuage la plus populaire, avec 89% des entreprises qui l'utilisent".

Il y a de réels avantages à utiliser une combinaison de plusieurs infrastructures cloud, notamment AWS, Azure et Google Cloud Platform, pour aider les entreprises à optimiser les performances, à garantir la résilience et à éviter de trop dépendre d'un seul fournisseur.

Mais si l'infrastructure multicloud peut aider les entreprises à atteindre des objectifs clés, elle introduit également de nouveaux défis pour les administrateurs.

Dans le meilleur des cas, ces défis peuvent entraîner des inefficacités et un gaspillage d'efforts. Au pire, la gestion des utilisateurs, des droits, de l'accès, de l'authentification et de la révocation de l'accès dans plusieurs environnements en nuage pourrait exposer les entreprises à des risques inutiles et introduire des vulnérabilités majeures en matière de sécurité.

Dans de trop nombreux cas, les fonctionnalités de sécurité proposées par les fournisseurs de services cloud s’avèrent insuffisantes pour résoudre ces problèmes. Après avoir analysé plusieurs défaillances en matière de gouvernance du cloud et conseillé des entreprises privilégiant la sécurité sur les meilleures façons d’y remédier, nous avons élaboré les bonnes pratiques suivantes en matière de gouvernance des identités afin d’aider les entreprises à sécuriser leur environnement cloud et à adopter le modèle ’ Zero Trust ».

"Un champ de mines pour la mise en œuvre de la confiance zéro".

La croissance des environnements multiclouds et les défis correspondants dans la gestion des droits au cloud en expansion conduisent à des risques croissants.

Les administrateurs doivent comprendre que ces problèmes peuvent survenir dès le départ. Les équipes informatiques découvriront probablement que les environnements complexes de gestion des identités et des accès (IAM) de leurs fournisseurs de cloud computing ne correspondent pas à l'historique d'utilisation et aux privilèges d'accès sur site. Et c'est là que le problème commence : VentureBeat a récemment fait état de la prédiction de Gartner selon laquelle "99% des défaillances de la sécurité de l'informatique en nuage" résulteront d'une mauvaise configuration des contrôles.

"Plus une configuration multicloud est complexe, plus elle devient un champ de mines pour la mise en œuvre d'une confiance zéro."

Le multicloud crée trois grandes vulnérabilités en matière de cybersécurité

Les administrateurs devront s'attaquer immédiatement à ce problème en se familiarisant d'abord avec les diverses fonctions IAM prédéterminées des fournisseurs de services en nuage, puis en comprenant comment les configurer et les gérer.

D'une manière générale, nous constatons que trois défis majeurs en matière de gouvernance des identités se développent au fur et à mesure que les entreprises évoluent vers des environnements multicloud. Ces défis peuvent résulter des politiques de gouvernance initiales de l'organisation, de celles du fournisseur de cloud ou d'une combinaison des deux :

  1. Exposition accidentelle aux données: Résultant souvent d'une mauvaise configuration des droits et des actifs, dans laquelle une ressource est laissée comme publique alors qu'elle devrait être privée. Gartner a également prédit que cette année, la moitié des entreprises "exposeront sans le savoir et par erreur certaines applications, segments de réseau, stockage et API directement au public, contre un quart en 2018".
  2. Droits excessifs: Si un profil utilisateur bénéficie de droits excessifs dans un environnement donné et que ce même profil est migré vers un autre environnement, le champ d’impact s’étend alors considérablement. Le problème s'aggrave de manière exponentielle à mesure que les entreprises adoptent de plus en plus d'environnements cloud. Bien que ce principe ne soit pas nouveau, les entreprises doivent adopter le principe du « privilège minimal » : chaque utilisateur ne doit disposer que du strict minimum nécessaire à l'exercice de ses fonctions. Le principe du « privilège minimal » ne se limite pas à une bonne cybersécurité, c'est également un élément clé de la transition vers une approche « Zero Trust ».
  3. Mots de passe faibles et recyclés: Tout comme les utilisateurs surprovisionnés qui passent d'un environnement à l'autre, les utilisateurs recyclent souvent les mêmes mots de passe d'un locataire en nuage à l'autre. Un mot de passe faible est une mauvaise chose, l'utiliser pour accéder à plusieurs environnements en nuage est encore pire. Les entreprises devraient s'efforcer d'utiliser l'authentification sans mot de passe chaque fois que cela est possible ; en attendant, elles devraient au moins imposer la rotation des mots de passe et ajouter des processus d'authentification multifactorielle (MFA).
Utiliser la gestion des droits sur l'infrastructure en nuage (CIEM) pour sécuriser le nuage

L'un des moyens utilisés par l'industrie pour répondre à ces nouveaux défis est la gestion des droits sur l'infrastructure en nuage (CIEM), un nouveau processus de gestion des droits sur l'identité en tant que service en nuage. Le CIEM tient compte des moyens spécifiques utilisés par les locataires de l'informatique dématérialisée pour augmenter la fréquence et l'impact des problèmes liés aux droits d'utilisation de l'informatique dématérialisée.

Le CIEM rejoint des programmes de gouvernance connexes tels que la gestion des identités et des accès des clients (CIAM), la gestion des identités et des accès externes (XIAM) et la gestion des identités et des accès de l'entreprise (EIAM), qui tentent tous de prendre en compte les types croissants d'utilisateurs et les droits distincts dont chacun d'entre eux a besoin.

Mais contrairement à CIAM, XIAM et EIAM, CIEM ne se contente pas de gérer les droits et d'assurer des abrogations efficaces. Les solutions CIEM prévoient également les droits actuels, garantissent des examens d'accès efficaces, vérifient que tous les types de droits des différents utilisateurs correspondent à leur utilisation prévue et empêchent tout droit d'exposer les données, les informations ou les systèmes de l'entreprise.

Plus de nuages, plus d'argent, plus de risques, plus de problèmes

Les équipes de sécurité et d'informatique se tournent vers le CIEM parce que les risques liés à tout environnement de cloud public sont plus importants que ceux liés aux environnements sur site, étant donné que les environnements de cloud sont accessibles vingt-quatre heures sur vingt-quatre. Ces risques augmentent de manière exponentielle à mesure que les organisations intègrent de multiples environnements en nuage.

Le CIEM répond également à un autre besoin : le contrôle des coûts des environnements en nuage public. Pensez à ce qui pourrait se produire si un employé qui a géré les ressources du nuage public quitte son entreprise. En l'absence de contrôles et de redondances appropriés, une ressource qui n'était censée fonctionner que pendant une durée déterminée pourrait continuer à consommer des ressources sans qu'un propriétaire ne la gère.

Les entreprises peuvent encourir des coûts supplémentaires si elles oublient une ressource en nuage. Elles pourraient également s'exposer à davantage de vulnérabilités : d'anciens administrateurs pourraient créer des hôtes sous le domaine de leur ancienne entreprise, hameçonner des clients et exfiltrer leurs informations. Il est regrettable qu'un escroc se fasse passer pour votre marque et vole un mot de passe ; c'est bien pire lorsque l'abus de marque provient de l'intérieur d'une entreprise.

Enfin, des acteurs menaçants pourraient s'introduire dans le fournisseur de services en nuage lui-même et utiliser cet accès pour attaquer ses clients. En décembre 2021, Ministère de la santé du Brésil a révélé que des pirates avaient dérobé les informations d'identification d'un utilisateur dans l'environnement d'infrastructure d'un fournisseur de services en nuage. Cet accès a permis aux attaquants de détruire des actifs que le ministère avait hébergés chez le fournisseur, de planter le système d'information du ministère et de le rendre inutilisable. ConecteSUS et, en fin de compte, empêcher les Brésiliens de se faire vacciner pendant la pandémie.

Meilleures pratiques de gouvernance pour sécuriser les environnements multicloud

La bonne nouvelle, c'est qu'il existe des meilleures pratiques de gouvernance que les organisations peuvent mettre en œuvre pour sécuriser les environnements multicloud.

La violation du ministère de la santé brésilien a démontré que les organisations devraient maintenir un environnement IGA distinct pour gérer les droits des fournisseurs de services en nuage, séparément de leurs environnements CIEM et EIAM.

Un environnement IGA séparé permet de mieux gérer le volume et la complexité des données nécessaires pour contrôler les droits des utilisateurs. En outre, compte tenu du risque de violation, le maintien d'un système de gouvernance distinct rend plus difficile pour les pirates informatiques de se déplacer latéralement et d'accéder aux informations critiques.

Qu'il s'agisse de créer un environnement entièrement séparé ou de combiner un environnement de gouvernance avec d'autres données, les équipes de sécurité doivent considérer tous les utilisateurs qui peuvent y accéder comme des comptes privilégiés, car ces utilisateurs peuvent accéder à des outils et à des ressources d'infrastructure à haut risque.

De même, les équipes de sécurité doivent s'assurer que le système utilisé pour gérer leur instance CIEM bénéficie d'un niveau de protection approprié. Au minimum, cela devrait inclure l'authentification multifactorielle (MFA). En règle générale, les fournisseurs de services en nuage facilitent l'intégration de l'AMF, ce qui permet de sécuriser à la fois un environnement spécifique et l'ensemble du fournisseur de services en nuage.

Soyez intelligents : utilisez le contexte

Et bien que le MFA constitue une première étape importante vers la mise en place du CIEM, il ne s'agit que d'un début : les organisations devraient également envisager d'intégrer des fonctionnalités qui les rapprochent du modèle « Zero Trust », notamment la possibilité de modifier de manière dynamique les exigences d'authentification.

Les organisations peuvent atteindre cette capacité en utilisant l'authentification contextuelle pour évaluer dynamiquement les risques : les systèmes de sécurité intelligents peuvent évaluer l'emplacement de l'utilisateur, l'appareil, le réseau et d'autres signaux pour examiner les risques en temps réel et restreindre l'accès si nécessaire. Des mesures supplémentaires, telles que la rotation des mots de passe, l'activation temporaire des droits, la gestion des sessions et l'audit, peuvent renforcer la sécurité des environnements de gouvernance.

Les équipes de sécurité peuvent utiliser ces signaux pour alimenter et former les outils de surveillance des événements de sécurité : avec une visibilité sur les actions des utilisateurs, les systèmes IAM intelligents peuvent apprendre à comprendre quels événements sont attendus - et lesquels indiquent un risque.

Si le système détecte un problème, l'équipe de réponse aux incidents de l'organisation doit être en mesure d'utiliser l'outil qui gère l'accès pour bloquer les comptes exploités.

Assurez-vous que votre solution de gouvernance peut exporter ses politiques

L'utilisation d'environnements multicloud étant très répandue, les organisations doivent s'assurer que la sécurité qu'elles développent pour un environnement donné peut également s'étendre à d'autres environnements.

Quelle que soit la solution utilisée par une organisation pour gérer un environnement en nuage unique, elle doit être en mesure d'exporter des politiques d'accès similaires vers différents fournisseurs. Les droits attribués à un administrateur de base de données dans Azure doivent refléter les droits attribués à la même personne lorsqu'elle administre un environnement AWS. Cela permet aux organisations d'adapter leurs paramètres de sécurité au fur et à mesure qu'elles intègrent d'autres environnements en nuage.

De nombreux outils du marché CIEM fournissent ce mappage pour les profils standard, mais il n'est pas toujours possible d'étendre les profils personnalisés dans les environnements multi-nuages. Ces profils personnalisés peuvent ne pas suivre les profils personnalisés, les administrateurs ou d'autres utilisateurs à haut risque, de sorte que les organisations doivent s'assurer qu'elles comprennent comment les fonctions de mappage fonctionnent pour différents types d'utilisateurs d'un environnement en nuage à l'autre.

Demander une démonstration

Obtenir une démonstration