Tenable spécialiste de la gestion de l’exposition aux risques cyber, poursuit la publication de sa série de tribunes dédiée à l’exploration les piliers fondamentaux de la sécurité cloud moderne.
Par Bernard Montel, expert cybersécurité chez Tenable
Dans le premier volet, nous avions abordé la gestion de la posture de sécurité cloud (CSPM), qui vise à protéger votre infrastructure multi-cloud en détectant les erreurs de configuration. Aujourd’hui, nous nous concentrons sur la sécurisation des workloads cloud, c’est-à-dire les applications et services, ainsi que toutes les ressources nécessaires à leur fonctionnement, qui s’exécutent dans un écosystème cloud distribué.
Pourquoi la sécurité des workloads cloud est-elle complexe ?
Les environnements cloud sont dynamiques, distribués et multicouches, ce qui rend difficile la sécurisation des applications cloud, dont la posture peut évoluer rapidement. La diversité des ressources, machines virtuelles, images de conteneurs, bases de données, fonctions serverless…, accentue encore cette complexité.
Autre facteur de complication : le déploiement d’applications sur plusieurs fournisseurs de services cloud (CSP), ce qui oblige les équipes de sécurité à protéger plusieurs environnements multi-cloud.
Selon une étude de l’Enterprise Strategy Group (ESG), 89 % des organisations souhaitant sécuriser leurs applications dans des environnements hybrides, prévoyaient d’investir davantage dans des plateformes de sécurité cloud et le DevSecOps, y compris dans des solutions de protection des workloads cloud, afin de garantir leur intégrité, élément essentiel pour la continuité d’activité.
Pour sécuriser les infrastructures hybrides, on recourt généralement à une plateforme de protection des applications cloud natives (CNAPP) intégrant une solution robuste de protection des workloads cloud (CWP), capable de prévenir, détecter et corriger les expositions, notamment les vulnérabilités, les mauvaises configurations et les API non sécurisées.
Le meilleur programme de sécurité cloud repose sur l’indépendance, la transparence et des priorités alignées sur les besoins réels de sécurité.
Voici cinq bonnes pratiques essentielles pour protéger ses workloads cloud :
1. Gestion continue et contextualisée des vulnérabilités
L’essentiel consiste à automatiser l’analyse continue des workloads cloud pour détecter les vulnérabilités sur les systèmes d’exploitation, conteneurs, machines virtuelles, etc., dès leur apparition. Sans oublier l’analyse contextualisée des vulnérabilités. L’outil CWP d’un CNAPP vient enrichir les vulnérabilités détectées avec des informations de recherche détaillées : niveau de criticité, possibilités d’exploitation, etc. Ce contexte riche permet d’identifier les vulnérabilités les plus risquées pour l’organisation et de hiérarchiser les corrections.
Prenons l’exemple de workloads exposés publiquement, comportant des vulnérabilités critiques et bénéficiant de permissions excessives. Près de 40 % des organisations présentent au moins un cas de ce trio toxique, quand 27 % en comptent au moins cinq.
2. Analyse native des ressources cloud
Pour protéger les applications de manière native, mieux vaut une méthode d’analyse efficace. L’analyse sans agent (agentless) en est une : elle utilise les API des fournisseurs de cloud pour collecter des données de sécurité sans affecter les performances, tout en fournissant une vue globale de la posture de sécurité.
On obtient alors de la visibilité sur l’inventaire, la télémétrie et les risques liés aux workloads : vulnérabilités, exposition des données, identités à privilèges excessifs, malwares, mauvaises configurations, etc., sur les machines virtuelles, conteneurs, ressources serverless et clusters Kubernetes. Ces données aident à établir des priorités solides pour orienter les efforts de remédiation.
3. Sécurité des conteneurs du build à l’exécution
Un élément essentiel de la sécurité des applications cloud est la protection en continue des conteneurs, de leur création à leur exécution. Cette sécurité doit être automatisée et intégrée aux flux DevOps et pipelines CI/CD.
Cette approche est indispensable, étant donné le nombre élevé de conteneurs, leur durée de vie éphémère, et pour garantir la continuité des opérations.
Tout commence au moment de la création du conteneur. Votre plateforme CWP doit donner aux développeurs de la visibilité sur les risques, images de systèmes obsolètes, vulnérabilités, et leur fournir des informations pour hiérarchiser efficacement la remédiation.
Il faut aussi automatiser l’analyse de sécurité des conteneurs stockés dans les référentiels comme DockerHub ou Amazon ECR.
Enfin, les conteneurs doivent être soumis à des tests de sécurité automatisés en environnement d’exécution, car les attaquants exploitent volontiers des conteneurs mal configurés ou défaillants.
4. Supervision automatisée de la conformité
Un défaut de sécurisation des workloads peut entraîner de lourdes conséquences si votre organisation ne respecte pas les lois et normes en matière de cybersécurité, souvent complexes.
L’objectif d’assurer la conformité continue à ces exigences nécessite une approche automatisée et méthodique, adaptée à la nature changeante du cloud.
Un système CWP capable d’identifier automatiquement les violations de conformité, avec des politiques et modèles prêts à l’emploi, peut grandement simplifier le processus.
5. Visibilité et gestion centralisées de la sécurité
Un système CWP doit fournir une vue unifiée, mise à jour en continu et enrichie contextuellement des ressources et risques multi-cloud, de façon agnostique.
Alors que le choix d’un fournisseur de sécurité ayant des priorités conflictuelles peut introduire des risques, le programme de sécurité cloud le plus adapté repose sur l’indépendance, la transparence et des priorités alignées sur les besoins de sécurité.
Plutôt que d’analyser manuellement les résultats d’outils séparés, une interface CWP avec visibilité multi-cloud, gestion de la sécurité et reporting offre une source unique de vérité sur les risques liés aux applications cloud, facilitant la collaboration et la priorisation.
