Du fait d’une forte propension des entreprises à migrer en ligne leur informatique (move to Cloud), les équipes réponse à incident se retrouvent face à une explosion de la surface d’attaque et doivent, en conséquence, s’adapter et évoluer dans leur compréhension des environnements tout en disposant d’outils dédiés et de processus spécifiques sur lesquels s’appuyer. Le point sur les bonnes pratiques.
Le Cloud est souvent évoqué comme un phénomène récent, alors que ses débuts remontent déjà à environ vingt ans, si l’on considère l’hébergement de sites web, l’utilisation de webmail et autres services de stockage en ligne. Les avancées technologiques, en particulier la virtualisation, ont cependant accéléré et rendu le Cloud plus polyvalent, permettant ainsi l’arrivée de solutions plus complètes. Nicolas Remark, responsable de la sécurité informatique chez Candriam (services financiers), souligne notamment que “le Cloud est aujourd’hui un véritable moteur d’innovations technologiques et l’une des raisons de la performance de l’intelligence artificielle réside dans sa capacité à mettre facilement à disposition des ressources de calcul importantes”. Tout cela a entraîné de nouveaux paradigmes de gestion, passant d’un modèle en interne (« on prem« ) à un autre où il est nécessaire d’apprendre à déléguer tout ou partie à un tiers.
Cloud native vs On Prem Legacy
“C’est un phénomène nouveau dans l’IT mais qui existe depuis des années dans le monde de l’industrie comme dans l’automobile où une grande partie de la production est outsourcée auprès de tiers à hauteur de 70-80 %, si on prend l’exemple de Porsche”, compare Nicolas Remark. La première vertu de cette délégation étant, in fine, de pouvoir se concentrer sur l’essentiel. Reste qu’aujourd’hui le monde de l’entreprise se divise en deux : celles qui ont construit leur business en intégrant le Cloud computing dès le départ, on parle des Cloud natives, et celles qui font la bascule depuis une informatique on prem. Si la problématique est la même, les Cloud natives ne rencontreront pas les problèmes de transposition notamment organisationnelles, voire culturelles. “Leur centre de gravité est centré sur des datacenters où elles ont le contrôle et certaines ont encore du mal à faire confiance au Cloud”, confirme Nicolas Remark. Des entreprises comme Doctolib, par exemple, sont arrivées directement avec le paradigme du Cloud dans la conception de leur projet.”
Des investigations beaucoup plus complexes
Le Cloud computing apporte un changement majeur, principalement grâce à son modèle de service. Les infrastructures, les architectures et les différents niveaux (IaaS, PaaS, CaaS, FaaS, etc.) jouent tous un rôle crucial et présentent leurs propres spécificités. Les entreprises qui opèrent à ces différents niveaux sont contraintes de faire appel à des experts compétents dans chaque domaine. Selon Fabrice Delhoste, CTO de Mindflow (automatisation et orchestration des opérations de cybersécurité), “cette guirlande de as a Service est essentielle pour comprendre les différentes approches et a un impact sur la structure organisationnelle et les compétences recherchées au sein des équipes”. Cela rend la tâche de mener des investigations et de trouver l’origine des incidents plus complexe. La virtualisation des réseaux, les approches serverless, les microservices, l’élasticité, le recyclage des machines virtuelles, les volumes de données, les outils spécialisés, voire les journaux spécialisés, ainsi que la question cruciale de la confidentialité des données, sont autant de facteurs à prendre en compte et à maîtriser.
« Des entreprises comme Doctolib, par exemple, sont arrivées directement avec le paradigme du Cloud dans la conception de leur projet. »,
Nicolas Remark, Candriam
Appréhender l’hétérogénéité du Cloud
“De plus, ces environnements sont souvent accessibles directement, contrairement à l’on-premise. Et donc une exposition accrue”, ajoute Fabrice Delhoste. Tout cela met en tension les talents, les technologies et les processus, dont celui de la gestion des incidents. Se pose alors la question de la formation des équipes. “Mais c’est encore pire que ça ! intervient Fabrice Delhoste. Nous ne sommes plus à l’ère des serveurs d’applications tels que JavaEE qui se voulait universel… mais qui ne l’était pas en réalité ! Chaque Cloud est hétérogène avec ses propres services, son approche spécifique… AWS, GCP, Azure, OVH et tant d’autres réunis, ce sont des centaines de services et des dizaines de milliers d’opérations et de configurations différentes.” Sans oublier que les fournisseurs en question sont en constante évolution. Contrairement à l’on-premise, les mises à jour sont en effet journalières. A la question, “la gestion des incidents est-elle différente ?”, Fabrice Delhoste répond : “La vérité est souvent dans la nuance. Bien qu’il existe des architectures portables comme l’écosystème Docker et Kubernetes, cela n’est qu’une petite partie de l’écosystème d’un acteur Cloud. Et, même s’il existe des processus mutualisables et des technologies comparables, elles sont rarement interopérables et, la vérité, est qu’il faut une large montée en compétence sur chaque Cloud, chaque service.”
Une nouvelle répartition des responsabilités entre clients et fournisseurs…
Sans oublier que, le modèle de responsabilité de tout as a Service est dit “partagé” ce qui veut dire que, dans le Cloud, les services, dont l’élasticité, la haute disponibilité, la régionalisation, l’observabilité sont totalement gérés par le fournisseur Cloud. Ça veut donc dire que la gestion des incidents est donc également partagée. Le fournisseur propose d’ailleurs des contrôles automatisés. Tout cela a pour conséquence de générer une dépendance accrue au fournisseur en termes de sécurité, de disponibilité et également de conformité. “Néanmoins, la configuration des applications et de leurs données restent à la charge de l’entreprise !, précise Fabrice Delhoste. Donc, bien que les objectifs de la réponse à incident soient similaires aux environnements « on premise » (mitigation, récupération, préservation des preuves), il y a des différences notables en termes de moyens et de processus.” La gestion des incidents dans le Cloud demande, en conséquence, des outils et des compétences spécifiques et, bien souvent, pour chaque fournisseur et pour chaque brique technologique. “En revanche, les processus se ressemblent et certaines mutualisations existent. On change les couleurs mais la tapisserie se ressemble !”, illustre Fabrice Delhoste.
« L’IA jouera un rôle clé en tant qu’auxiliaire pour réduire les délais de traitement et contribuera clairement dans les années à venir à la réponse aux incidents dans le Cloud»,
Fabrice Delhoste, Mindflow
… mais aussi entre DSI et RSSI !
Le DSI et le RSSI sont, aujourd’hui, les deux piliers du système d’information. Ils doivent travailler ensemble, évidemment, mais en étroite collaboration. « J’ai souvent constaté une fracture entre les équipes Cloud et les équipes traditionnelles, également appelées legacy, ce qui peut nuire à notre organisation et même à la relation entre les équipes. Il est donc essentiel de prêter une attention particulière à la formation des équipes afin de les équilibrer. Plus concrètement, avec l’essor du Cloud« , explique Fabrice Delhoste. De plus, nous avons assisté à l’émergence de spécialisations telles que DevOps et DevSecOps, où certains se sont approprié la partie sécurité de ces nouvelles infrastructures, ce qui a posé un défi pour d’autres organisations qui géraient traditionnellement la sécurité sur site. Il est donc nécessaire pour les grandes entreprises de relever ce défi en impliquant tout le monde, y compris le RSSI qui intervenait précédemment sur les infrastructures classiques. Cela nécessite également la formation et la spécialisation des équipes.
L’IA pour automatiser et réduire les latences de traitement
Enfin, même si les fournisseurs mettent en place des bonnes pratiques, les conséquences en termes d’impact restent bien plus importantes dans une architecture Cloud versus on premise. « Il arrive souvent que des fuites d’informations se produisent en raison d’une mauvaise configuration au niveau du Cloud, même si cela reste rare. Le Cloud est plus exposé étant donné qu’il est nativement connecté à Internet. Par exemple, dans le Cloud public, on entend régulièrement parler d’incidents causés par des développeurs qui exposent directement des ressources sur Internet« , explique le CEO de Mindflow. Pour se protéger, les fournisseurs proposent une palette d’outils assez conséquente. Il s’agit généralement de consoles de pilotage ou de détection d’incidents comme AWS Security Hub, GuardDuty et CloudTrail pour AWS, Azure Security Center, Sentinel et Log Analytics pour Microsoft Azure, et Google Cloud Security Command Center et Cloud Logging pour GCP. Des outils qu’on ne peut pas, en revanche, mettre entre toutes les mains ! « Il existe des certifications Cloud que je recommande de faire passer aux équipes, mais il ne faut pas oublier une chose importante : une certification reste un document, la pratique ne peut pas remplacer les certifications. Lorsque nous gérons des incidents dans le Cloud, il est nécessaire de mettre les mains dans le cambouis, d’examiner les journaux qui sont centralisés, mais cela nécessite des compétences techniques avancées. Dire que mes équipes sont conscientes et certifiées ne suffit pas« , précise Fabrice Delhoste. Heureusement, la tendance est à l’automatisation, et des outils tels que CSPM (Cloud Security Posture Management), CASB (Cloud Access Security Broker) ou SOAR (Security Orchestration, Automation, and Response) permettront d’automatiser rapidement avec des contrôles et des approbations humaines. « L’IA jouera un rôle clé en tant qu’auxiliaire pour réduire les délais de traitement et contribuera clairement dans les années à venir à la réponse aux incidents dans le Cloud« , conclut Fabrice Delhoste.
