Revolve Job Zero : la revue de presse Sécurité
Curieux du Cloud et de la sécurité, apprentis comme expérimentés, technophiles et managers, soyez les bienvenus pour cette première édition de la revue de presse sécurité de Devoteam Revolve.
Cette revue a pour vocation de proposer un échantillon d’articles qui ont attiré notre attention en lien avec la sécurité et le cloud. Pour lancer ce nouveau format, la publication sera régulière et se focalisera sur l’une de ces 4 catégories : la configuration, les attaques, l’humain et la protection des données.
Alors, attachez votre ceinture, vos cadenas (et votre MFA), c’est parti.
Chez Devoteam Revolve, security is job zero ! Cela signifie qu’au quotidien chacun.e travaille, en interne comme chez ses clients, en prenant en compte au quotidien, et comme une top priorité avant toutes les autres, le respect des besoins de sécurité. Pour cela, il est indispensable de rester informé.e en permanence des nouvelles tendances, vulnérabilités et solutions du monde de la sécurité cloud. Et de partager ces infos !
En 2021, est-il besoin de rappeler l’importance de la sécurité dans les métiers de l’informatique ? Au cours du AWS re:Inforce 2021, Adam Selipsky, CEO AWS mentionnait que la sécurité était le “Job 0” pour AWS. Mais d’autres font le même constat, comme en Belgique, où Beltug, une association belge de CIOs, a publié son rapport annuel sur les principales priorités dans le milieu de l’IT. On peut y observer que la sécurité est une priorité pour presque 50% des personnes interrogées. Quant aux enjeux liés aux fournisseurs de cloud public, de type contrats et cloud provider lock-in, ils représentent chacun une priorité pour 38% de l’échantillon.
Cependant, dans la réalité du terrain, la priorité à la sécurité peut parfois plutôt s’apparenter à un cap qui donne une direction globale. En pratique, il arrive régulièrement que la sécurité passe après le reste : “faut qu’ça marche”, puis on regarde. D’instinct, si une application ne fonctionne pas, il apparaît secondaire que celle-ci soit sécurisée ou pas, vu qu’elle ne répondra à aucun besoin. Ce genre de manière de penser peut néanmoins amener à prendre des raccourcis pour arriver à un MVP coûte que coûte, quitte à réitérer plus tard en prenant éventuellement davantage en compte l’aspect sécurité.
Encore faudra-t-il du temps, de l’énergie, de la volonté… et des ressources. Ce qui fait que l’on peut constater que dans un certain nombre de cas, les intérêts des responsables de la sécurité et ceux des autres équipes ne sont pas forcément alignés à court terme. La sécurité peut ainsi être un peu perçue comme l’était auparavant le département IT : une contrainte significative plutôt que comme intégrée à la stratégie de l’entreprise.
LES MISCONFIGURATIONS
Certes, respecter des bonnes pratiques sécuritaires peut être contraignant, mais l’on peut viser le fameux 80/20 de Pareto.
On peut commencer petit et facile : Mark Nunnikhoven, AWS Community Hero et cloud strategist chez Lacework propose quelques idées pour garantir un niveau de sécurité avec un effort minimal, avec une emphase sur le traitement des événements suspects, c’est-à-dire, des événements qui ne sont pas explicitement de prime abord du type “ALLOW” ou “DENY”, et qui nécessitent une vérification pour remédiation et/ou action pédagogique. M. Nunnikhoven propose d’automatiser la découverte et l’alerting avec AWS Cloudwatch Events, AWS Lambda et Slack pour s’assurer de la conformité de l’événement détecté. Par la suite, on peut aussi imaginer que l’utilisation du service AWS Config, dont le rôle est de surveiller que la configuration de services respectent des règles préalablement établies, permettrait de faciliter la gestion de la conformité à l’échelle d’une AWS Organizations.
M. Nunnikhoven, tout comme S. Schmidt au cours du AWS re:Inforce 2021, insiste sur le fait que le problème principal des accidents de sécurité provient d’erreurs de configuration et non pas du cybercrime organisé. Toujours pas de ninjas en rappel pour pirater les serveurs…
VMware semble partager cet avis. Dans cet article publié sur cloudsecurityalliance.org, VMware évoque un rapport produit par la National Security Agency en 2020 qui a conclu que les erreurs de configuration dans le cloud représentent les vulnérabilités principales d’une infra et sont majoritairement à l’origine des exploits observés. Un sixième des entreprises ont eu un incident de sécurité lié à une mauvaise configuration, ce qui peut avoir des conséquences délétères, comme la fuite de credentials exposés (tip : n’hésitez pas à vérifier ce qui se passe sur vos vieilles instances Airflow). Sinon, cela peut éventuellement conduire à des credentials AWS dans la nature, et ça fait friser…ou bien ça peut faire Twitch…
D’après VMware, pour éviter les erreurs de configuration, on peut commencer par envisager les actions suivantes :
- Acquérir un savoir expert sur la sécurité dans le cloud. Dans le rapport, 62% des entreprises interrogées déclarent manquer d’expertise sur le sujet, et 49% disent n’avoir que peu de visibilité sur leur sécurité et sur la supervision de leurs ressources.
- Améliorer la prévention, la détection et la remédiation des erreurs de configuration. Compte tenu de la rapidité avec laquelle les attaquants sondent et tentent de pénétrer les systèmes, il apparaît critique d’augmenter sa propre vitesse avec laquelle les incidents de sécurité sont traités. C’est une course à l’armement entre attaquants et défenseurs technologiques, où il peut aisément être imaginé que si l’entreprise ne s’adapte pas rapidement au contexte, dans une certaine mesure, elle est menacée d’extinction, à la manière des systèmes naturels.
- Identifier à qui incombent les responsabilités liées à la sécurité au sein des différentes équipes et des départements afin d’aligner les pratiques, et clarifier les processus de remédiation des risques.
Une fois que le backlog est identifié et les axes d’amélioration sont déterminés, il reste encore à passer à l’implémentation. Il existe plusieurs stratégies dont on discutera une prochaine fois. En attendant la prochaine édition de cette revue de presse, voici un brin de poésie pour trouver l’inspiration fondamentale pour sécuriser vos configurations.