Le Cloud Business évolue-t-il trop vite pour la sécurité du Cloud?

Le Cloud Business évolue-t-il trop vite pour la sécurité du Cloud?

Alors que de plus en plus d’entreprises migrent vers le cloud et développent leurs environnements cloud, la sécurité est devenue un défi de taille. Nombre de problèmes découlent du fait que la vitesse de migration vers le cloud dépasse de loin la capacité de la sécurité à suivre le rythme. Quel est le problème en matière de sécurité? Bien qu’il n’y ait pas de réponse unique à cette question compliquée, de nombreux obstacles bloquent apparemment la voie vers la sécurité du cloud.

Dans son rapport inaugural intitulé «Etat de la sécurité du cloud hybride», FireMon affirmait que non seulement le commerce et la sécurité dans le cloud étaient mal alignés, mais que les outils de sécurité existants ne pouvaient pas gérer l’ampleur de l’adoption du cloud ou la complexité des environnements cloud. Un manque de budget de sécurité et de ressources aggrave ces préoccupations.

Quels sont les risques de l’adoption rapide du Cloud ?

Sur les 400 professionnels de la sécurité de l’information qui ont participé à l’enquête, 60% étaient d’accord ou fortement d’accord pour dire que les initiatives commerciales basées sur le cloud vont plus vite que la capacité de l’organisme de sécurité de les sécuriser. Un communiqué de presse associé au rapport révèle également que 44% des personnes interrogées ont déclaré que les personnes extérieures à l’organisation de la sécurité sont responsables de la sécurisation du cloud. Cela signifie que les équipes informatiques et cloud, les propriétaires d’applications et les autres équipes sont chargés de la sécurisation des environnements cloud.

C’est peut-être une coïncidence, mais 44,5% des personnes interrogées ont également déclaré que leurs trois principaux défis en matière de sécurisation des environnements de cloud public étaient le manque de visibilité, le manque de formation et le manque de contrôle.

“Parce que le cloud est un modèle de sécurité partagé, les approches traditionnelles en matière de sécurité ne fonctionnent pas de manière fiable”, a déclaré Carolyn Crandall, responsable  chez Attivo Networks. “Une visibilité limitée entraîne des lacunes majeures dans la détection: un attaquant peut détourner des ressources du cloud ou voler des informations critiques.”

L’émergence du cloud a permis un accès à tout moment et en tout lieu aux ressources informatiques à un coût économique pour les entreprises, mais le cloud computing élargit également la surface d’attaque du réseau, créant de nouveaux points d’entrée pour les adversaires.

La misère de la mauvaise configuration

Alors que les entreprises en Cloud continuent de créer rapidement de nouveaux environnements, des problèmes de configuration ont entraîné des cauchemars en matière de sécurité, en particulier au cours des derniers mois. Selon Infosecurity Magazine, une mauvaise configuration chez un fournisseur de communications basé en Californie a laissé 26 millions de SMS exposés en novembre 2018, et en décembre 2018, une mauvaise configuration informatique a révélé les données de plus de 120 millions de Brésiliens.

D’Amazon Web Services (AWS) à des erreurs de configuration de seau en passant par des erreurs Elasticsearch ou MongoDB, les entreprises de tous les secteurs ont vu leurs noms figurer dans les titres, non pas à cause d’une violation de données, mais à cause d’une erreur humaine, souvent sans mot de passe. Obtenir la sécurité du cloud à la vitesse

Comme c’est le cas le plus souvent, la capacité à améliorer la sécurité du cloud dépend de la disponibilité des ressources: 57,5% des personnes interrogées dans le sondage FireMon ont déclaré que moins de 25% du budget de la sécurité est consacré à la sécurité du cloud.

Il est également temps de dépasser l’idée fausse selon laquelle les fournisseurs de cloud fournissent la sécurité dans le cloud.

«Les nouvelles organisations dans le cloud penseront généralement que le fournisseur de cloud gère la sécurité pour elles, elles sont donc déjà couvertes. Ce n’est pas vrai; Le modèle de sécurité partagée AWS indique qu’AwS gère la sécurité du cloud, mais que le client reste responsable de la gestion de la sécurité dans le cloud. La politique d’Azure est similaire », a déclaré Nitzan Miron, vice-président de la gestion des produits, services de sécurité des applications chez Barracuda.

En bref, la sécurisation de toutes les applications et bases de données s’exécutant dans des environnements de cloud computing est la responsabilité de l’entreprise. C’est la raison pour laquelle les entreprises doivent réfléchir différemment à leurs infrastructures de sécurité et à la conception de contrôles qui sécurisent un environnement complexe et sans frontières. Dans ce cadre de sécurité en évolution, les entreprises ont non seulement besoin de stratégies de détection évolutive des menaces dans des environnements cloud, mais les ordinateurs d’extrémité qui accèdent à ces environnements doivent également être en mesure de détecter les menaces.

«Pour réduire les risques, il faudra ajouter des fonctionnalités permettant de surveiller l’activité des utilisateurs dans le cloud, les accès non autorisés, ainsi que toute infiltration de logiciels malveillants. Ils devront également ajouter des contrôles d’évaluation continus pour remédier aux violations de politique, aux configurations incorrectes ou aux comportements incorrects de leurs fournisseurs et sous-traitants », a déclaré Crandall.

DevSecOps à la rescousse?

Une autre raison du retard pris par la sécurité du cloud repose sur la division très problématique des équipes. Selon Miron, les équipes de sécurité sont souvent séparées des équipes Ops / DevOps, ce qui ralentit considérablement la sécurité.

Lorsque l’équipe DevOps décide de passer au cloud, il peut s’écouler des mois avant que l’équipe de sécurité ne soit impliquée dans l’audit de ce qu’elle fait.

«La solution à long terme à cela est DevSecOps», a déclaré Miron.

Que personne ne perde la supériorité de «Sec» entre «Dev» et «Ops». En matière de développement, la sécurité n’est pas une chose à laquelle on peut s’attaquer à la fin. Cela doit être au centre du processus de DevOps.

De l’exposition de la base de données aux vulnérabilités des applications, la sécurité dans le cloud est compliquée. et la complexité s’aggrave lorsque les équipes ne disposent pas de ressources suffisantes. Les entreprises qui souhaitent faire progresser la sécurité du cloud à grande échelle doivent investir dans les ressources humaines et dans la technologie permettant de réduire les risques.