Lorsqu’on évoque le cloud public, on pense immédiatement à Amazon Web Service. Le géant américain est en effet le leader incontesté avec à 39 % de parts de marché au troisième trimestre 2019. Cette prédominance attire les pirates. Et dans de nombreux cas, ils mettent la main sur de nombreuses données mal sécurisées. Différentes mesures doivent être instaurées pour réduire ces risques.
Plus les entreprises intègrent le cloud dans le système d’information, plus celui-ci devient un vecteur d’attaques privilégié. « D’ici 2022, 95 % des failles de sécurité dans le cloud seront imputables aux clients », prévient le cabinet Gartner.
Les problématique liés à la sécurité de l’hébergement
La problématique de la sécurité dans le cloud repose sur deux constats. Premièrement, une pénurie de talents. On observe une migration des workloads vers le cloud. Mais la difficulté reste la même : les entreprises peinent à recruter des profils qualifiés pour leurs SOC (Security Operations Centers), la réponse à incident et les analyses forensiques. Que votre environnement IT soit sur site ou dans le cloud, c’est la même chose : il y a un véritable déficit de compétences.
Suite logique de ce premier constat : les organisations sécurisent mal les données dans le cloud. Or, pour de nombreuses entreprises, la sécurité dans le cloud public est synonyme de protection des données dans les compartiments (bucket S3) de stockage Amazon Web Service, leader incontesté.
Afin d’améliorer la confidentialité des données hébergées dans ses datacenters, Amazon Web Service publie de nombreux guides et sessions de formation. Mais manifestement, tout le monde n’en profite pas pour améliorer son expertise. Leurs raisons sont certainement justifiées, mais force est de constater que la sécurité des S3 est encore trop souvent prise à la légère.
Réglages de sécurité
La preuve, en 2018, des chercheurs italiens en cybersécurité avaient repéré quelque 240 000 buckets S3. Le bilan était peu flatteur pour les entreprises : environ 14 % (environ 34 000) indiquaient publiquement leur contenu ! Depuis cette date, Amazon a augmenté le nombre de réglages de sécurité par défaut, ce qui a probablement réduit de manière significative l’exposition involontaire du contenu des buckets S3.
Mais cela ne suffit pas. Il est recommandé d’appliquer quelques règles de base et d’éviter des erreurs de configuration. Au sein d’AWS, l’une des principales causes est en effet la mauvaise configuration des buckets S3. En général, cela est dû au fait que les permissions de la corbeille sont fixées par erreur à un niveau trop bas, ce qui permet, dans le pire des cas, d’exposer accidentellement le contenu d’une corbeille à des parties non autorisées ou à l’ensemble de l’internet.
La première règle est de développer un état d’esprit holistique qui intègre l’évaluation non seulement des autorisations pour les buckets S3, mais aussi de leurs politiques de sécurité des données en général.
Configurer les accès
Par défaut, lorsque vous configurez un bucket S3, il est privé. Des autorisations doivent être créées pour permettre explicitement l’accès. La meilleure pratique consiste à ne pas modifier le bucket, à moins de vouloir en créer un qui soit public. Dans ce cas, sachez que même si vous limitez les autorisations publiques en lecture seule, vous exposez les données de votre organisation à un risque plus important que nécessaire.
Si vous devez fournir un accès à votre corbeille, utilisez vos listes de contrôle d’accès pour accorder des autorisations à des groupes ou à des utilisateurs individuels (via leur ID) au niveau de la corbeille ou de l’objet. Il s’agit ni plus ni moins que d’appliquer le principe du moindre privilège et d’assurer un parfait cloisonnement.
Chiffrer et encore chiffrer
Le « chiffrement par défaut » sera automatiquement appliqué si un fichier téléchargé ne spécifie explicitement aucun cryptage. Un bucket peut également être configuré de façon à bloquer le transfert ou le téléchargement de fichiers non chiffrés. Sachez qu’il existe trois types de chiffrement côté serveur pour les « S3 objects ». Parmi ceux-ci, SSE-KMS est la méthode recommandée, les clés Amazon Key Management Service (KMS) appliquent une couche supplémentaire de sécurité.
Automatiser la surveillance
Souvent en sous-effectif, les équipes de sécurité des entreprises ne peuvent pas surveiller un périmètre informatique qui ne cesse de croitre avec le développement du télétravail et du cloud. Il est donc indispensable de s’appuyer sur des solutions capables de surveiller et détecter automatiquement les moindres failles dans le cloud et en particulier les buckets S3.
Amazon met à disposition son CloudWatch qui peut déceler des comportements anormaux dans vos environnements. Il existe d’autres solutions qui peuvent compléter ce service. Encore une fois, l’automation n’a pas pour but d’encourager les équipes de sécurité à adopter une approche non interventionniste de la cybersécurité. Elle leur permet entre autres de se concentrer sur la gestion des incidents et l’analyse des signaux faibles.
De façon générale, appliquer le modèle « zéro trust » au cloud plusieurs bonnes pratiques doivent être instaurées. Utiliser une passerelle d’accès cloud sécurisé est aussi fortement recommandée. Appelées Cloud Access Security Broker (CASB), ces passerelles sécurisent efficacement toutes les données résidant en dehors du périmètre d’une entreprise. Et gèrent les mouvements de données sensibles, sans compromettre l’expérience utilisateur.
