Même si la sécurité du cloud a certainement parcouru un long chemin depuis l'époque de l'adoption précoce du cloud dans le Far West, la vérité est qu'il reste encore beaucoup de chemin à parcourir avant que la plupart des organisations d'aujourd'hui aient véritablement mûri leurs pratiques de sécurité du cloud. Et cela coûte énormément aux organisations en termes d’incidents de sécurité.
Une étude de Vanson Bourne plus tôt cette année, il a été démontré que près de la moitié des violations subies par les organisations au cours de l'année écoulée provenaient du cloud. Cette même étude a révélé qu’une organisation moyenne a perdu près de 4.1 millions de dollars à cause de violations du cloud au cours de l’année dernière.
Dark Reading a récemment rencontré le parrain de la sécurité Zero Trust, John Kindervag, pour discuter de l'état actuel de la sécurité du cloud. Lorsqu'il était analyste chez Forrester Research, Kindervag a contribué à conceptualiser et à populariser le modèle de sécurité Zero Trust. Il est aujourd'hui évangéliste en chef chez Illumio, où, dans le cadre de ses activités de sensibilisation, il reste un fervent partisan du zéro confiance, expliquant qu'il s'agit d'un moyen clé de repenser la sécurité à l'ère du cloud. Selon Kindervag, les organisations doivent faire face aux dures vérités suivantes pour réussir.
1. Vous ne devenez pas plus sécurisé simplement en accédant au cloud
L’un des mythes les plus répandus aujourd’hui à propos du cloud est qu’il est intrinsèquement plus sécurisé que la plupart des environnements sur site, explique Kindervag.
« Il existe une incompréhension fondamentale à propos du cloud, selon laquelle d'une manière ou d'une autre, la sécurité est intégrée de manière native, et que vous êtes plus en sécurité en accédant au cloud simplement par le simple fait d'y accéder », dit-il.
Le problème est que même si les fournisseurs de cloud hyperscale peuvent très bien protéger les infrastructures, le contrôle et la responsabilité dont ils disposent sur la posture de sécurité de leurs clients sont très limités.
« Beaucoup de gens pensent qu'ils sous-traitent la sécurité au fournisseur de cloud. Ils pensent qu'ils transfèrent le risque », dit-il. « En cybersécurité, on ne peut jamais transférer le risque. Si vous êtes le gardien de ces données, vous êtes toujours le gardien des données, peu importe qui les détient pour vous.
C’est pourquoi Kindervag n’est pas un grand fan de la phrase souvent répétée «responsabilité partagée», ce qui, selon lui, donne l'impression qu'il existe une division 50-50 du travail et des efforts. Il préfère la phrase «poignée de main inégale», inventé par son ancien collègue de Forrester, James Staten.
"C'est là le problème fondamental, c'est que les gens pensent qu'il existe un modèle de responsabilité partagée et qu'il y a à la place une poignée de main inégale", dit-il.
2. Les contrôles de sécurité natifs sont difficiles à gérer dans un monde hybride
En attendant, parlons des contrôles de sécurité natifs améliorés que les fournisseurs ont mis en place au cours de la dernière décennie. Même si de nombreux fournisseurs ont fait du bon travail en offrant à leurs clients plus de contrôle sur leurs charges de travail, leurs identités et leur visibilité, cette qualité est incohérente. Comme le dit Kindervag : « Certains d’entre eux sont bons, d’autres ne le sont pas ». Le véritable problème de chacun d’entre eux est qu’ils sont difficiles à gérer dans le monde réel, au-delà de l’isolement de l’environnement d’un seul fournisseur.
« Il faut beaucoup de personnes pour y parvenir, et elles sont différentes dans chaque cloud. Je pense que toutes les entreprises avec lesquelles j'ai parlé au cours des cinq dernières années ont un modèle multicloud et hybride, les deux se produisant en même temps », dit-il. « Hybride étant : « J'utilise mes éléments sur site et mes cloud, et j'utilise plusieurs cloud, et je peux utiliser plusieurs cloud pour fournir un accès à différents microservices pour une seule application. » La seule façon de résoudre ce problème est de disposer d’un contrôle de sécurité pouvant être géré sur tous les différents cloud.
C’est l’un des principaux facteurs qui motivent les discussions sur la transition du modèle Zero Trust vers le cloud, dit-il.
« Le modèle Zero Trust fonctionne quel que soit l’endroit où vous placez vos données ou vos actifs. Cela pourrait être dans le cloud. Cela pourrait être sur site. Cela pourrait concerner un point final », dit-il.
3. L'identité ne sauvera pas votre cloud
Avec autant d'importance accordée à la gestion des identités dans le cloud de nos jours et une attention disproportionnée accordée à la composante identité dans le Zero Trust, il est important que les organisations comprennent que l'identité n'est qu'une partie d'un petit-déjeuner bien équilibré pour un Zero Trust dans le cloud.
« Une grande partie du discours sur la confiance zéro concerne l’identité, l’identité, l’identité », déclare Kindervag. « L’identité est importante, mais nous consommons l’identité dans la politique de confiance zéro. Ce n’est pas la fin, bien sûr. Cela ne résout pas tous les problèmes.
Ce que Kindervag veut dire, c'est qu'avec un modèle de confiance zéro, les informations d'identification ne donnent pas automatiquement aux utilisateurs accès à quoi que ce soit sous le soleil au sein d'un cloud ou d'un réseau donné. La politique limite exactement quoi et quand l’accès est accordé à des actifs spécifiques. Kindervag est un partisan de longue date de la segmentation – des réseaux, des charges de travail, des actifs, des données – bien avant de commencer à élaborer le modèle Zero Trust. Comme il l'explique, l'essentiel de la définition de l'accès Zero Trust par politique consiste à diviser les choses en « surfaces de protection », puisque le niveau de risque des différents types d'utilisateurs accédant à chaque surface de protection définira les politiques qui seront attachées à un identifiant donné.
« C'est ma mission : amener les gens à se concentrer sur ce qu'ils doivent protéger, à placer ces éléments importants sur diverses surfaces de protection, comme votre base de données de cartes de crédit PCI devrait l'être dans sa propre surface de protection. Votre base de données RH doit se trouver dans sa propre surface de protection. Votre IHM pour votre système IoT ou votre système OT doit se trouver sur sa propre surface protégée », dit-il. « Lorsque nous divisons le problème en petits morceaux, nous les résolvons un morceau à la fois, et nous les réalisons l'un après l'autre. Cela le rend beaucoup plus évolutif et réalisable.
4. Trop d'entreprises ne savent pas ce qu'elles tentent de protéger
Lorsque les organisations décident comment segmenter leurs surfaces de protection dans le cloud, elles doivent d'abord définir clairement ce qu'elles tentent de protéger. Ceci est crucial car chaque actif, système ou processus comportera son propre risque unique, et cela déterminera les politiques d’accès et le durcissement qui l’entourent. La blague, c'est que vous ne construiriez pas un coffre-fort d'un million de dollars pour abriter quelques centaines de pièces de monnaie. L'équivalent cloud consisterait à mettre des tonnes de protection autour d'un actif cloud isolé des systèmes sensibles et n'hébergeant pas d'informations sensibles.
Kindervag affirme qu'il est incroyablement courant que les organisations n'aient pas une idée claire de ce qu'elles protègent dans le cloud ou au-delà. En fait, la plupart des organisations d'aujourd'hui n'ont même pas nécessairement une idée claire de ce qui se trouve dans le cloud ou de ce qui se connecte au cloud, et encore moins de ce qui doit être protégé. Par exemple, une étude de la Cloud Security Alliance montre que seulement 23 % des organisations disposent d’une visibilité complète sur les environnements cloud. Et l'étude Illumio du début de l'année montre que 46 % des organisations n'ont pas une visibilité complète sur la connectivité de leurs services cloud.
« Les gens ne pensent pas à ce qu'ils essaient réellement d'accomplir, à ce qu'ils essaient de protéger », dit-il. Il s'agit d'un problème fondamental qui amène les entreprises à gaspiller beaucoup d'argent en matière de sécurité sans mettre en place une protection appropriée, explique Kindervag. « Ils viendront me voir et me diront : « La confiance zéro ne fonctionne pas », et je leur demanderai : « Eh bien, qu'essayez-vous de protéger ? et ils diront : « Je n'y ai pas encore pensé », et ma réponse est : « Eh bien, alors vous n'êtes même pas près de entamer le processus de confiance zéro. '»
5. Les incitations au développement cloud natif sont hors de contrôle
Les pratiques DevOps et le développement cloud natif ont été considérablement améliorés grâce à la vitesse, l’évolutivité et la flexibilité que leur offrent les plates-formes et les outils cloud. Lorsque la sécurité est correctement intégrée à cet ensemble, de bonnes choses peuvent se produire. Mais Kindervag affirme que la plupart des organisations de développement ne sont pas suffisamment incitées à y parvenir, ce qui signifie que l'infrastructure cloud et toutes les applications qui y reposent sont mises en danger dans le processus.
« J'aime dire que les spécialistes des applications DevOps sont les Ricky Bobbys de l'informatique. Ils veulent juste aller vite. Je me souviens d'avoir parlé au responsable du développement d'une entreprise qui a finalement été victime d'une faille de sécurité, et je lui ai demandé ce qu'il faisait en matière de sécurité. Et il a répondu : « Rien, je m'en fiche de la sécurité » », raconte Kindervag. « J'ai demandé : « Comment pouvez-vous ne pas vous soucier de la sécurité ? et il dit : « Parce que je n'ai pas de KPI pour cela. Mon KPI dit que je dois faire cinq poussées par jour dans mon équipe, et si je ne le fais pas, je ne reçois pas de bonus.
Kindervag affirme qu'il s'agit d'une illustration de l'un des gros problèmes, non seulement dans l'AppSec, mais aussi dans la transition vers une confiance zéro pour le cloud et au-delà. Trop d’organisations ne disposent tout simplement pas des structures d’incitation appropriées pour y parvenir – et en fait, nombre d’entre elles ont des incitations perverses qui finissent par encourager des pratiques non sécurisées.
C'est pourquoi il plaide en faveur de la création de centres d'excellence Zero Trust au sein des entreprises, qui incluent non seulement des technologues, mais également des dirigeants d'entreprise dans les processus de planification, de conception et de prise de décision en cours. Lorsque ces équipes interfonctionnelles se réunissent, dit-il, il a vu « les structures d'incitation changer en temps réel » lorsqu'un dirigeant d'entreprise puissant se présente pour annoncer que l'organisation va évoluer dans cette direction.
« Les initiatives Zero Trust les plus réussies sont celles auxquelles les chefs d’entreprise se sont impliqués », explique Kindervag. « J’en ai eu un dans une entreprise manufacturière où le vice-président exécutif – l’un des principaux dirigeants de l’entreprise – est devenu un champion de la transformation Zero Trust pour l’environnement manufacturier. Cela s’est très bien passé car il n’y avait aucun inhibiteur.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
