Démystifier la sécurité du cloud : Les fondamentaux

Le 23 avril 2020, nous avons organisé notre webinaire "Démystifier la sécurité du cloud : The Fundamentals", au cours duquel notre directeur technique Ralph Moonen et notre spécialiste de la sécurité Tom Tervoort ont abordé les principes de base de la sécurité dans les nuages. Les participants ont posé de bonnes questions, que nous avons résumées ci-dessous sous forme de questions-réponses. Si vous avez encore des questions, veuillez contacter cybersecurity@bureauveritas.com.

Curieux de découvrir nos autres webinaires ? Visitez : https://cybersecurity.bureauveritas.com/webinars

QUESTIONS ET RÉPONSES

Nous vous remercions pour toutes les questions que vous nous avez posées pendant le webinaire. Celles qui n'ont pas trouvé de réponse dans le webinaire sont traitées ci-dessous.

Si vous avez d'autres questions, veuillez contacter cybersecurity@bureauveritas.com.

N'est-il pas vrai que pour de nombreuses organisations, les solutions en nuage sont plus sûres que les entreprises qui le font elles-mêmes ? (en particulier en ce qui concerne l'infrastructure)

Dans de nombreux cas, c'est vrai pour les parties d'une infrastructure dont le fournisseur de services en nuage est entièrement responsable, étant donné que les grands fournisseurs disposent d'une grande expertise en matière de sécurité et d'équipes importantes pour protéger cette infrastructure, probablement plus que la plupart des organisations ne le font elles-mêmes. Bien sûr, il y a des formations lorsque les entreprises ont des exigences très spécifiques en matière de sécurité (ou de droit, de confidentialité ou de disponibilité) qui ne sont pas satisfaites même par des parties comme Google ou Microsoft. En outre, dans les cas où la configuration sécurisée relève de la responsabilité de l'entreprise elle-même, l'informatique dématérialisée est une arme à double tranchant : d'une part, les services dématérialisés peuvent faciliter la prise de mesures de sécurité adéquates ou en réduire le coût, mais d'autre part, une mauvaise configuration peut avoir un impact plus important en raison d'un niveau plus élevé d'exposition à l'internet.

Azure, Google ou AWS sont-ils plus ou moins sûrs ? Et de même pour SaaS/Paas/IaaS ?

Il n'y a pas de bonne réponse à cette question. En ce qui concerne les pratiques générales de sécurité, les trois ont un très bon profil, et il n'y a pas de gagnant clair. Mais il peut être plus intéressant de savoir quels sont les services du fournisseur qui sont les plus sujets à des erreurs de configuration, qui disposent d'une meilleure documentation sur la sécurité ou qui ont de meilleures valeurs par défaut. Il s'agit toutefois d'une question hautement subjective, et je n'ose pas affirmer que l'un est meilleur que l'autre.

En ce qui concerne les SaaS/PaaS/IaaS en général, on peut dire que le type de service qui nécessite le moins de configuration ou de maintenance a le moins de chances d'être vulnérable. Il est donc souvent plus facile de sécuriser le SaaS que le PaaS, et le Paas que l'IaaS.

Responsabilité partagée : qui est responsable des utilisateurs/administrateurs privilégiés ?

Les grands fournisseurs de services cloud ne prennent aucune responsabilité dans la protection des identifiants des utilisateurs, et dans la configuration des rôles et privilèges des utilisateurs. L'organisation de ces tâches relève donc de l'entière responsabilité de l'entreprise qui utilise le service en nuage. Les fournisseurs proposent toutefois une documentation sur les meilleures pratiques en matière de gestion des identités et des accès, mais vous laissent le soin de les mettre en œuvre.

Y a-t-il des aspects juridiques spécifiques à connaître ?

Lorsque vous effectuez un security testing dans un environnement cloud, le fournisseur de services cloud est toujours une partie impliquée dont il faut tenir compte. Heureusement, les grands fournisseurs comme AWS et Azure proposent des conditions générales claires concernant le pentesting, et il n'est pas nécessaire qu'un représentant d'AWS/Microsoft donne son accord explicite pour chaque test. Toutefois, il convient d'être conscient de ce qui est ou n'est pas couvert par ces termes et conditions, et du fait que ceux-ci peuvent être différents pour d'autres fournisseurs de cloud.

Cette question concerne les security testing. Si un environnement est externalisé (y compris les composants d'infrastructure) auprès d'un fournisseur de services en nuage et que ce dernier dispose d'une certification ISO27001 et d'une TPM ISAE3402, recommandez-vous toujours d'effectuer des tests de sécurité sur les composants individuels de l'environnement ?

En général, je ne recommanderais pas de tester les composants d'infrastructure certifiés, tant que ces composants ne nécessitent pas de configuration ou de personnalisation spécifique à l'utilisateur de l'environnement. Dans la pratique, il y a généralement de la place pour la configuration et, en raison du modèle de responsabilité partagée de la plupart des fournisseurs, ces configurations ne sont pas couvertes par la certification et il est donc probablement utile de les faire tester.

Si l'on considère les régulateurs tels que le DNB dans le domaine financier, serait-il considéré comme obligatoire de réaliser un pentesting du cloud dans le cadre d'une évaluation des risques liés au cloud ?

Je ne suis pas un expert en matière de réglementation financière, je ne pourrai donc malheureusement pas répondre à la question de savoir quelles techniques de test sont obligatoires. Je pense toutefois que, de manière générale, le pentesting est un complément précieux à l'assessment des risques, que cela concerne un environnement cloud ou non.

Si vous avez d'autres questions, n'hésitez pas à nous Contactez-nous à l'adresse cybersecurity@bureauveritas.com.