Nos meilleurs voeux pour une bonne année sécurité
C’est en 46 avant notre ère que Jules César a décidé que le Jour de l’an, auparavant célébré en mars, serait fixé au 1er janvier. A l’époque, ce jour était dédié à Janus, Dieu des portes et des commencements. Ce dieu avait d’ailleurs deux faces, l’une tournée vers l’avant, l’autre vers l’arrière.
Le début de l’année, c’est donc l’occasion de faire le bilan de l’année passée, de remettre les compteurs à zéro et de repartir sur de bonnes et nouvelles bases. A ce titre, nous vous souhaitons la meilleure des sécurités pour 2020 ! Et même si on sait bien que le passé n’est pas garant de l’avenir, on s’est demandé quelles étaient les tendances, les feel goods news et les nouveaux services qui avaient marqué l’année 2019 et dont nous pourrons nous inspirer pour mettre des paillettes dans la sécurité en 2020 !
C’est pourquoi nous avons lancé un sondage au sein des équipes D2SI. Les résultats ? En 2020, nous vous souhaitons (et nous nous souhaitons) de pouvoir :
- S’informer en toute confiance : des sources d’information fiables et synthétiques pour vous informer sur la sécurité Cloud
- Pratiquer pour apprendre : des outils et de plateformes en ligne pour apprendre en testant
- Évaluer les faits : des méthodologies simples et claires qui démystifient les discours sécuritaires anxiogènes et permettent de faire des analyses de risque Cloud factuelles
- S’appuyer sur une communauté : des événements, des forums en ligne, des publications qui permettent à tout un chacun de partager ses avis, des REX et de faire avancer les réflexions ensemble
- S’outiller facilement : accéder à des outils simples à déployer, qui font ce qu’ils disent et qui disent ce qu’ils font, et qui vous font réellement gagner en temps et pertinence
- Intégrer, automatiser, simplifier : des solutions de sécurité embarquées au coeur des plateformes Cloud, pour une plus grande interopérabilité et efficacité
- Et des cadeaux bonus, parce qu’on est toujours OK pour les “bonnes nouvelles tombées du ciel “ qui nous simplifient la vie !
S’informer en toute confiance
Quoi de mieux que de trouver l’information à sa source ? La documentation AWS de la plupart des services dispose d’une section sécurité dédiée. Cela simplifiera vos recherches sur la meilleure façon de sécuriser chaque service managé.
La sécurité, c’est compliqué, c’est un truc de hackers, et je n’aurais jamais le temps de compenser mon retard. Est-il trop tard pour apprendre la sécurité informatique ? Non, il n’est jamais trop tard ! Toujours pas convaincu ? Lisez cet article.
Pratiquer pour apprendre
Mettez-vous à l’épreuve ! Nuit du Hack, Security Jams, Gameday… Relevez des défis conçus pour vous aider à approfondir votre connaissance des bonnes pratiques de sécurité. Les Security Jam AWS sont proposés lors des events comme le re:Inforce ou le re:Invent, et nous proposons aussi des Gameday Sécurité lors des Learning Day AWS.
Evaluer les faits
Gardez à portée de main la dernière version du framework de catégorisation de menaces du MITRE, qui inclut des sections spécifiques au Cloud : Framework MITRE.
Pour vous aider à porter vos messages autour de la gestion du risque numérique, de façon compréhensible, vous pouvez vous inspirer du guide conjoint de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) : « Maîtrise du risque numérique – L’atout confiance ». « Guide en 15 étapes pour accompagner les dirigeants des organisations publiques et privées de toutes tailles dans la construction d’une politique de gestion du risque numérique, présenté à Berlin au Ferma Forum, le congrès des associations européennes de Risk management, le 18 novembre 2019. »
Et pour ceux pour qui textes de loi et exigences réglementaires sont leurs boites noires, voici un précieux support : le MOOC réalisé par la CNIL et destiné aux profils techniques et juridiques, pour les aider à mieux comprendre et respecter le RGPD. En bonus, une mise à jour de l’article d’AWS visant à clarifier son rôle en termes de respect du RGPD.
S’appuyer sur une communauté
On ne le dira jamais assez, c’est par les échanges avec ses pairs qu’on apprend le plus ! On salue la création d’un événement annuel AWS dédié à la sécurité, le AWS re:Inforce. Prochaine édition le “à juin et 1er juillet à Houston. Il nous fera plaisir de vous y retrouver. Et si vous ne pouvez pas y assister, il y a aussi de nombreux meetups sécurité toute l’année près de chez vous, comme par exemple le SecParis.
DEFCON est la plus importante conférence sécurité mondiale, et la plus ancienne. Toutes les présentations du DEFCON sont accessibles ici, avec des sujets très pointus, notamment sur la sécurité du Cloud.
Enfin on vous recommande les guides de l’OWASP, toujours une valeur sûre, et notamment :
- OWASP/DVSA : explications sur les failles applicatives les plus sensibles.
- OWASP/CheatSheetSeries : cette série a été créée pour fournir une mine d’informations sur des sujets spécifiques liés à la sécurité applicative.
S’outiller facilement
Devant le grand nombre d’outils Open Source disponibles, il est parfois difficile de s’y retrouver. D’où l’intérêt de récapitulatifs complets comme ceux-ci :
- SecureCloud : une répertoire d’outils de sécurité open source conçus pour les environnements AWS et couvrant divers domaines de sécurité, comme les évaluations de sécurité, la conformité, le reporting, le troubleshooting, la journalisation et la surveillance des logs…
- My-arsenal-of-aws-security-tools : une liste d’outils open source dédiés à la sécurité AWS, abordant aussi bien les aspects défensifs, offensifs, l’audit, le forensic et la gestion des incidents, etc.
On recommandera aussi Dome 9, une solution qui convient bien aux entreprises qui veulent des solutions type SaaS pour automatiser leur sécurité et leur conformité. Voir l’exemple de l’implémentation chez Bouygues Telecom.
Intégrer, automatiser, simplifier
La connaissance, c’est le pouvoir ! Et l’utilisation des services managés Cloud facilite grandement la consolidation et le reporting des données sécurité relatives à vos environnements, grâce notamment à l’interopérabilité des services les uns avec les autres. Un des services de reporting très utiles dans un environnement AWS est le Security Hub. Ce service nous a permis par exemple d’aider un client à peaufiner une stack de remédiation sécurité basée sur une centralisation des findings provenant de CloudCustodian, Wazuh et AWS Config et le déclenchement d’actions de notification et/ou remédiation via AWS StepFunction.
AWS Config fait d’ailleurs partie lui aussi de notre boîte à outils standard pour la sécurité AWS. Service managé qui permet d’identifier, contrôler et évaluer la configuration de vos ressources AWS, nous l’utilisons très souvent pour permettre à nos clients de s’assurer que les règles de sécurité qu’ils ont conçu sont appliquées au quotidien et remonter les non-conformités le cas échéant.
Et en cadeau bonus…
Et pour finir, une première initiative autour de la sécurisation de l’accès aux metadata dans les instances EC2 sur AWS. En bon perfectionnistes, on aimerait voir encore quelques avancées, mais c’est un bon début et qui répond à un problème bien réel dans les organisations.
Et pour (vraiment) conclure, on espère faire partie de vos sources d’information sécurité en 2020, puisque nous avons prévu de continuer à écrire des articles sur le sujet, à partager nos retours d’expérience, à fact-checker les news de sécurité inutilement alarmistes ou à vous proposer des didacticiels sur des outils.