Dès mars 2020, la pandémie a incité les entreprises à s'adapter et à adopter, parfois précipitamment, le télétravail. Dès lors, elles ont dû établir une stratégie de transformation numérique s'appuyant majoritairement sur des services cloud et des applications SaaS. IDC prévoit ainsi une augmentation des dépenses dans le cloud de 10,6 % par an en cinq ans.
Toutefois, à mesure que les entreprises intensifient leur utilisation du cloud et leur collaboration avec des fournisseurs, elles créent davantage d'identités, humaines et machines. Il est par conséquent devenu compliqué de dresser un inventaire des relations entre toutes ces identités et ressources présentes dans le cloud. Or, la moindre vulnérabilité du système peut servir de porte d'entrée aux cybercriminels afin de s'introduire dans les réseaux.
La gestion des identités et des accès (IAM) - c'est-à-dire l'ensemble des processus mis en œuvre par une entité pour la gestion des habilitations de ses utilisateurs à son système d'information ou à ses applications - dans le cloud public et privé constitue un des nombreux défis auxquels les équipes IT sont confrontées. En effet, en raison du modèle de responsabilité partagée des fournisseurs cloud, il incombe en partie aux entreprises de gérer et de sécuriser l'accès à leurs environnements. La mise en œuvre du principe du moindre privilège est alors une pratique essentielle en matière de cybersécurité, puisqu'elle permet d'assurer la sécurisation des accès et des identités à privilèges des infrastructures et des applications basées sur le cloud. Dans un monde idéal, chaque identité serait ainsi configurée de manière à ne disposer que des privilèges et des autorisations nécessaires à l'exécution des fonctions prévues - ni plus, ni moins. Il s'agit du fondement du principe du moindre privilège « Zero Trust », selon lequel il ne faut faire confiance ni à une personne ni à un appareil afin de protéger ses infrastructures contre toute intrusion malveillante.
La mauvaise configuration des autorisations dans le cloud est un vecteur d'attaque critique
La nature dynamique des rôles, de l'infrastructure, des applications et des services dans le cloud entraîne souvent des erreurs de configuration qui peuvent déboucher sur une accumulation d'autorisations inutilisées. Les attaquants peuvent alors les exploiter, obtenir l'accès à des infrastructures cloud critiques, voler ou modifier des données sensibles, ou encore interrompre des services hébergés dans le cloud. Les comptes et les accès soumis à des autorisations excessives peuvent donc causer d'importantes violations avec des conséquences dramatiques pour l'entreprise ; notamment des vols d'informations confidentielles, voire des attaques de ransomware.
D'après une étude conduite en 2020 par IBM, 19 % des violations sont dues à des fautes dans la configuration des serveurs et des machines virtuelles (VM). Par ailleurs, leur coût est plus élevé que celui des autres types de violations, avec 4,41 millions de dollars en moyenne. Il est essentiel que les organisations adaptent leur stratégie de sécurité et adoptent le moindre privilège dans l'IAM.
Par ailleurs, la responsabilité de la conception et des opérations IAM dans le cloud varie considérablement d'une organisation à l'autre. Les services opérationnels impliqués doivent donc se mettre d'accord pour identifier les équipes et les personnes qui s'approprieront la mise en œuvre des stratégies de moindre privilège, et veiller à ce que ces responsabilités soient clairement comprises.
La sécurité est un travail d'équipe.
Afin de maximiser l'adhésion des principales parties prenantes et d'accroître l'efficacité à long terme, les architectes cloud et les développeurs doivent suivre les décisions relatives aux processus et aux technologies dès le début du projet et tout au long de la mise en œuvre. Pour ce faire, il est important d'établir une liste précise de l'ensemble des autorisations IAM existantes, sans quoi les organisations ne pourront pas résoudre les vulnérabilités dont elles n'auront pas connaissance. Pour ce faire, elles doivent particulièrement identifier et mettre en évidence tous les accès autorisés dans les environnements cloud et les services Kubernetes. Une fois que toutes les relations entre les identités et les ressources sont connues, il devient alors aisé de déceler les vulnérabilités potentielles et de les corriger.
Par ailleurs, les autorisations excessives accordées aux employés, machines et applications doivent être identifiées et supprimées rapidement pour réduire les risques. Les équipes de sécurité peuvent notamment recourir à l'IA afin d'accélérer, simplifier ce processus, et identifier les risques cachés. Cependant, si une organisation opte pour une approche progressive, elle doit dans un premier temps éliminer les accès à privilèges excessifs accordés aux actifs les plus précieux dans le cloud puis, par la suite, appliquer progressivement les politiques de moindre privilège au reste des accès. Par exemple, AWS conseille aux organisations de commencer avec un minimum d'autorisations et d'en accorder d'autres si nécessaire par la suite. Cette méthode est bien plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre ensuite.
Cette approche du moindre privilège n'a pas une durée illimitée, en ce sens que les autorisations sont soumises à la vie de l'entreprise, il est donc essentiel de vérifier régulièrement ces accès pour éliminer les autorisations non utilisées qui s'accumulent au fil du temps. Cela permettra notamment d'éviter la prolifération des accès obsolètes. Une nouvelle fois, il est important d'avoir une parfaite connaissance et une visibilité complète des accès existants et de leurs statuts afin d'en assurer un suivi et une gestion optimale. Enfin, les stratégies les plus efficaces sont basées sur une gestion des accès à privilèges, centralisée et cohérente. Cela permet d'accorder le moins de privilèges possible à toutes les identités liées aux ressources dans les environnements hybrides et multicloud. Il est également important d'associer ces contrôles à l'authentification unique et multi-facteurs, afin de sécuriser davantage l'accès aux environnements cloud.