La sécurité dans les nuages : le Cloud Azure et Microsoft Sentinel
Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques : boite à outils sécurité dans le Cloud, évolutions de fond, impacts de la crise sanitaire, transformation du métier de la sécurité… Notre invité aujourd’hui est Ivan Farias, Cloud Solution Architect & Engineering Security chez Microsoft.
Quels sont tes principaux outils de sécurité ?
Je travaille uniquement sur Microsoft Azure, et j’utilise principalement Microsoft Sentinel, et Azure Active Directory pour la partie identité.
Microsoft Sentinel est une solution Cloud Native de SIEM (Security information and event management) et SOAR (Security orchestration automation and response). C’est une solution centralisée dédiée à la détection d’attaques, l’identification de menaces.
L’outil collecte des données à l’échelle du Cloud (users, devices, applis, infra, on premise et cloud), centralise tous les journaux des produits, sur lesquels on peut mettre en place des règles de détection des anomalies. Sentinel propose également une analyse des menaces basée sur l’IA, en s’appuyant sur les bases d’information de Microsoft.
Sur une détection d’événement, Sentinel envoie des notifications, mais il est aussi possible d’automatiser les réponses, par exemple sur une connexion en provenance d’un pays inhabituel. Sentinel permet aussi de faire du threat intelligence configuration, sur la base de différentes sources, gratuites ou payantes, et sur ces bases de détecter les menaces dans nos environnements, avec des options de remédiation automatisée.
Quel est ton point de vue sur la remédiation automatisée ?
C’est très utile mais à utiliser avec précaution, il faut vraiment bien planifier les actions qui seront automatisées. Les entreprises qui utilisent Sentinel sont généralement de grande taille, donc toute automatisation peut avoir un impact à grande échelle. La question se pose donc de savoir quelles actions automatiser, et jusqu’à quel point. Fermer un compte sur une action malveillante avérée, ok, même si le compte est celui du CEO !
L’automatisation facilite aussi le travail des équipes du SOC (Security Operation Center). Ces équipes sont souvent débordées : elles reçoivent énormément d’informations et toutes ne pointent pas forcément vers des attaques, mais il y a toujours beaucoup de tentatives de connexion à l’AD. N’importe qui peut tenter d’accéder aux ressources Cloud, donc l’automatisation les aide à améliorer leur travail. Elle permet de se concentrer sur la stratégie plutôt que sur la remédiation.
Est-ce qu’avec la généralisation de l’infra as code les experts sécurité descendent plus souvent dans le code ?
Le cloud permet de provisionner les ressources plus simplement, plus rapidement. Pour un expert sécurité, maîtriser le code va permettre de mieux réagir en cas d’incident.
Quels sont les principaux challenges de sécurité sur le Cloud Microsoft ?
Une bonne connaissance des recherches CQL (custom query language) est nécessaire pour faire du threat hunting dans les outils Microsoft. Le CQL est un langage, qui comme SQL, lorsqu’il est maîtrisé, permet de travailler mieux et plus efficacement. Pour les entreprises qui ont des produits Microsoft, c’est une compétence indispensable.
Concernant Sentinel, c’est un outil incroyable, on peut y mettre beaucoup de choses, mais cela a un coût. Configurer Sentinel demande donc une bonne connaissance des risques de l’entreprise et des cas d’usage spécifiques. Une mauvaise configuration, trop large, va juste accroître la charge de travail des équipes SOC, ajouter du bruit au risque de manquer ce qui est important. Sans parler de l’impact sur la facture. Sentinel apporte une technologie incroyable, mais le travail de planification en amont est essentiel pour l’exploiter correctement.
Comment l’IA est-elle intégrée dans Sentinel ?
L’IA détecte l’utilisation de certaines tâches pour ensuite les automatiser. Il est aussi possible d’activer une fonction d’apprentissage automatique, qui apprend des environnements, évalue leur charge habituelle, leur comportement, pour ensuite envoyer des alertes quand il y a une anomalie. Là encore, un travail de configuration en amont est nécessaire pour avoir le moins de faux positifs possible.
Comment ton métier a évolué ces dernières années, notamment avec la montée en puissance du Cloud ?
Le passage sur le Cloud a tout changé. Avant, tout était derrière un firewall, aujourd’hui nous devons sécuriser les ID, les appareils, les données, les applications, assurer la ségrégation des réseaux, etc. C’est clairement plus compliqué qu’avant, le Cloud apporte plus de challenges. Et comme la plupart des entreprises sont dans le Cloud, cela signifie globalement plus de risques, en conséquence les entreprises ont besoin de plus d’experts en cybersécurité pour les aider à configurer leurs ressources dans le Cloud. Le modèle Zero Trust est beaucoup plus adapté à cette situation.
Comment la montée en puissance du travail à distance a changé la gestion des ID ?
Sur le plan technologique, il n’est pas très compliqué de mettre en place les solutions permettant de s’assurer de l’ID de la personne. Mais pour beaucoup d’entreprises, le problème se situe plus à un niveau organisationnel. Le strict minimum, c’est le MFA. Sans MFA, c’est game over, on sait que le compte sera compromis à un moment ou à un autre. C’est encore mieux si on peut mettre en place une technologie passwordless comme la reconnaissance faciale, ou des clés FIDO. Le principal frein reste souvent l’humain, il y a encore des CEO qui n’ont pas la patience de se connecter en MFA.
Le cloud est-il un accélérateur des enjeux de sécurité ?
C’est clairement un accélérateur, le passage dans le Cloud demande d’augmenter le niveau de sécurité et cela a permis d’amener les experts sécurité beaucoup plus tôt dans les projets. C’est une évolution qu’on constate aussi dans les certifications de sécurité, qui poussent à l’inclusion de ces questions dès le début des projets. C’est également vrai pour les ressources on premises, la sécurité intervient maintenant beaucoup plus tôt.
Pour terminer, quels conseils donnerais-tu à un jeune référent sécurité ?
La sécurité est un domaine très large. Identité, infrastructure as a service, software as a service… Il y a de nombreux domaines, donc je conseillerai de se concentrer sur ce qu’on aime le plus, pour se spécialiser ensuite sur ce sujet. Ensuite, il faut passer des certifications ! Concernant les certifications (CISP, Cloud Alliance Security), le mieux est de commencer par les plus simples et de monter progressivement en complexité. Enfin, il faut toujours garder à l’esprit que le métier de la sécurité demande une veille active, se tenir à jour des évolutions.