Côté sécurité, n’attendez pas tout de votre fournisseur de services cloud. Chacun a sa part de responsabilité, insiste Geert De Ron, Cloud Security Architect, Check Point. Lui comme vous !

Les avantages du cloud sont connus. La sécurité en est. Ou, du moins, c’est ce qu’on nous laisse croire, constate Geert De Ron, Cloud Security Architect, Check Point. En réalité, les Amazon, Google ou Microsoft appliquent un modèle de responsabilité partagée.

Concrètement, le prestataire est responsable de la sécurité physique de ses centres de données : l’infrastructure, le fonctionnement correct des serveurs, le refroidissement, la sécurisation du système d’exploitation de ses PaaS services. Mais vous, utilisateur du cloud, êtes supposé vous occuper de la configuration correcte desdits services PaaS, du cryptage des données et de la non-divulgation de celles réservées à vous-même ou à l’usage interne. En d’autres termes, vous êtes chargé de la protection du contenu et des applications qui sont vôtres, tandis que les hébergeurs doivent assumer la sécurité de leur plate-forme proprement dite.

Cela étant, comme les hébergeurs prennent à leur charge la plus grande partie de la sécurité, la situation semble à votre avantage. Qui plus est, ils ont plus d’expérience. Et tout le personnel nécessaire pour sécuriser leur plate-forme. « Vos données paraissent donc en de bonnes mains, observe Geert De Ron. C’est d’ailleurs l’un des principaux arguments pour convaincre les clients d’opter pour le cloud. Un raisonnement qui ne tombe pas dans l’oreille d’un sourd, tant les clients aspirent à se décharger des tracas de la sécurité… »

Une cible de choix pour les cybercriminels

En 2021, la sécurité des plates-formes de cloud a été mise à rude épreuve. Cela a commencé par les recherches d’experts en sécurité. Considérant la popularité croissante du cloud, ils ont voulu analyser en détail ces plates-formes qui faisaient miroiter à leurs clients la promesse d’une sécurité absolue. Leurs rapports ont révélé des « vulnerabilities » présentes depuis longtemps… que personne n’avait encore observées. Depuis, ces plates-formes font l’objet d’examens et de comptes rendus systématiques. Et, par chance, les hébergeurs en résolvent rapidement les faiblesses.

« La popularité des plates-formes de cloud s’est muée en menace, estime Geert de Ron. En n’exploitant qu’une seule des failles du système, les cybercriminels sont désormais en mesure de prendre dans leurs filets des milliers de victimes. Une fois détectées et publiées, ces vulnérabilités sont heureusement toujours neutralisées assez vite. En effet, les gros hébergeurs de cloud ont la capacité de les colmater rapidement et à grande échelle. Mais cela prouve que les clients et utilisateurs doivent rester sur leurs gardes. Ce qui signifie prendre des mesures afin de sécuriser leur environnement. Car plus celui-ci est sûr, plus est ténu l’impact d’une vulnérabilité de la plate-forme de cloud sur leur propre environnement. »

La métaphore de la porte

Dès lors, quelles mesures un client du cloud peut-il prendre afin de minimiser les risques ? « En fermant la porte, penserez-vous. Sécuriser l’espace web de votre entreprise doit être aussi naturel et systématique que verrouiller la porte des bureaux et activer l’alarme quand le personnel les quitte. Si c’est la base de la sécurité, il en va différemment dans le monde numérique actuel… »

En fait, cette protection matérielle ne suffit pas. De nos jours, l’accès physique à l’entreprise n’est plus la préoccupation principale. Désormais, les vecteurs de menace se manifestent en ligne, par des connexions Internet omniprésentes et non gérées. Elles s’étendent sur le cloud que vous utilisez pour de nombreuses applications, le stockage et la gestion des données ainsi que des opérations. « Sur le cloud… ou, plutôt, les clouds, nuance Geert De Ron. Car chaque cloud emploie une ou plusieurs portes, c’est-à-dire des entrées et des sorties. Lorsque votre entreprise héberge des données sur un cloud, elle y installe un nombre bien supérieur de portes par lesquelles peuvent s’introduire les cybercriminels. » Et le problème s’accroît sans cesse : d’après un récent rapport consacré à la sécurité sur le cloud, trois quarts des répondants déclarent utiliser au moins deux services de cloud différents, alors qu’ils n’étaient encore que 62 % à en faire autant en 2021.

Comment se protéger de façon optimale ? « Reprenons l’analogie de la porte, propose Geert De Ron. Elle se compose de plusieurs pièces : le panneau même de la porte, les charnières, les poignées, la serrure, les clés… Il suffit qu’un seul de ces éléments manque pour que la porte ne soit plus entièrement verrouillable. L’ensemble est plus grand que la somme des parties. Il en va de même de la sécurité sur le cloud ! »

Des paramétrages de sécurité adaptés à votre environnement

Le spécialiste de Check Point conseille de s’adresser à l’hébergeur de cloud et au fournisseur de services de sécurité. « Ils peuvent vous indiquer quel type de protection convient à votre environnement. Ils peuvent donc vous aider à y adapter les paramétrages de sécurité. Sachez également que votre configuration peut changer. Et que les paramètres initiaux doivent être réactualisés de temps en temps. »

Cette réactualisation est importante. En août 2021, des recherches d’experts en sécurité sur le cloud ont révélé des vulnérabilités critiques sur Azure Cosmos DB, le plus important service de base de données NoSQL de la plate-forme Microsoft Azure. Par cette faille déjà introduite en 2019, sous le nom très pertinent de ChaosDB, des clients Microsoft Azure -et même des pirates informatiques- ayant un compte Azure corrompu ont eu accès pendant deux ans à l’environnement soi-disant protégé d’autres clients Azure, et donc aux données de leurs entreprises et autres données confidentielles. « Ce fut une catastrophe pour tous les utilisateurs d’Azure Cosmos DB qui n’avaient pas suffisamment relevé le niveau de protection ordinaire de ce service, en limitant trop peu l’accès Internet à ladite base de données. Autant dire que c’est ce que conseillent toujours les fournisseurs de sécurité et de services sur le cloud. Pour chaque application et chaque base de données, ne donner accès qu’aux personnes pour qui c’est strictement requis. »

Un suivi continu nécessaire

Les gestionnaires de PME doivent également se rendre compte à quel point un suivi permanent est nécessaire. Pour optimaliser des machines Azure Linux, Microsoft a par exemple installé en catimini des « secret agents », c’est-à-dire de petits programmes de gestion travaillant en arrière-plan et dont la plupart des clients ignorent même jusqu’à l’existence. Mais lorsqu’un de ces agents détecte une vulnérabilité, tous les autres doivent être mis à jour. Très bien, sauf lorsque ce sont les clients eux-mêmes qui sont sollicités pour exécuter cet upgrade  ! Et la notification qui les en informe ressemble à tant d’autres, dont ils sont chaque jour submergés. La probabilité de ne pas y prêter suffisamment attention est grande. Autrement dit, la vulnérabilité risque de ne pas être neutralisée.

Attention, Microsoft Azure n’est pas le seul service à connaître des vulnérabilités. Amazon AWS et Google Cloud ont à leur tour régulièrement besoin de correctifs et mises à jour. Pour se forger une idée plus précise de toutes les failles déjà recensées pour chaque plate-forme active sur le cloud, il suffit de consulter la page https://www.cloudvulndb.org. La liste est longue et l’accroissement semble même s’accélérer. Ironie du sort : elle révèle que même Microsoft avait stocké sur le cloud des documents sans protection. Les bulletins d’hébergeurs tels Microsoft (https://msrc.microsoft.com/update-guide/vulnerability), AWS (https://aws.amazon.com/security/security-bulletins) et Google (https://cloud.google.com/support/bulletins) sont d’autres sources permettant de bien se documenter sur la situation.

« Si vous préférez dormir sur vos deux oreilles et confier la cybersécurité à un tiers, tournez-vous vers un partenaire en sécurité disposant de solutions spécifiques pour la détection de failles sur votre environnement de cloud, et capable, en cas de problème, de vous soumettre, voire d’exécuter une réaction appropriée… »