Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Réagir aux violations du cloud : journaux d’audit, détection des menaces et réponse aux incidents

Pour discuter de la manière de réagir aux violations de la sécurité du cloud aujourd’hui, il est utile de commencer par une leçon d’histoire.

Si vous êtes féru d’histoire – ou si vous étiez bon élève au lycée – vous connaissez probablement la ligne Maginot, une série de positions défensives que l’armée française a construites entre les deux guerres mondiales. La grande idée du gouvernement français était qu’en construisant des défenses imperméables, il pouvait empêcher une invasion de la France par l’Allemagne comme celle qui avait eu lieu pendant la Première Guerre mondiale.

Malheureusement pour les Français, l’armée allemande a simplement contourné la ligne Maginot en 1940 et a envahi la France par le nord-est, qui n’était pas fortifié. Ayant accordé trop de foi aux mesures défensives, les Français et leurs alliés britanniques n’étaient pas préparés à la guerre éclair qui a éclaté une fois les défenses contournées. En seulement 46 jours, les Français, bien qu’ayant établi une excellente position défensive, ont subi ce qu’un historien a appelé une « étrange défaite ».

Mais quel est le rapport entre la chute de la France et la sécurité dans le cloud ? La réponse est que, tout comme les Français ont appris à leurs dépens en 1940 qu’il est impossible d’empêcher complètement une intrusion militaire, les organisations doivent aujourd’hui reconnaître qu’il est impossible de garantir qu’une intrusion dans le cloud n’aura jamais lieu. Bien qu’il soit important d’investir dans des mesures défensives via le cloud security posture management (CSPM), vous devez également vous préparer à réagir face à une violation du cloud lorsqu’elle se produit – car elle se produira inévitablement.

Il y a trois ingrédients clés pour se préparer à une violation du cloud :

  • la journalisation de l’audit du cloud, qui vous aide à détecter toute activité inhabituelle dans votre environnement cloud qui pourrait refléter une violation ou une tentative de violation.
  • la détection des menaces, qui utilise une variété de sources de données pour identifier les brèches actives.
  • la réponse aux incidents, qui vous permet de réagir de manière efficace et efficiente lorsqu’une violation est détectée.

Dans cet article, nous allons nous intéresser aux mesures à prendre pour nous protéger contre les violations du cloud en examinant le rôle que jouent la journalisation des audits, la détection des menaces et la réponse aux incidents dans le traitement des menaces qui pèsent sur la sécurité du cloud.

L’inévitabilité des violations du cloud

La première étape pour se préparer aux violations du cloud consiste à reconnaître qu’elles se produiront. Vous avez beau perfectionner vos outils et processus CSPM afin de renforcer votre environnement dans le cloud contre les attaques, il existe toujours un risque qu’une configuration non sécurisée se cache dans les profondeurs de votre pile cloud – ou qu’un nouveau type de menace apparaisse pour exploiter une vulnérabilité que personne n’a anticipée.

Après tout, même les entreprises technologiques connaissent régulièrement des failles de sécurité, malgré l’investissement de vastes ressources dans la sécurité du cloud et la collaboration des plus grands talents mondiaux en matière de cybersécurité. Si elles ne peuvent pas empêcher les violations, vous ne le pouvez pas non plus.

Cela ne veut pas dire, bien sûr, qu’il ne vaut pas la peine d’investir dans le CSPM comme moyen de prévention des violations. Il est essentiel de perfectionner autant que possible les défenses de sécurité du cloud en détectant les configurations non sécurisées et en concevant des architectures sécurisées pour réduire le nombre de violations. Cette stratégie permet également de réduire les dommages qu’une violation peut causer.

Néanmoins, il n’est pas réaliste d’espérer une immunité totale contre les violations.

Se préparer aux violations du cloud : audits, détection des menaces et réponse aux incidents

Vous pouvez toutefois anticiper les violations afin de pouvoir les identifier, les évaluer et y répondre aussi rapidement et efficacement que possible. Pour ce faire, il faut investir dans trois domaines clés : la journalisation des audits, la détection des menaces et la réponse aux incidents.

Journalisation de l’audit et le cloud

Les environnements cloud sont complexes, c’est le moins que l’on puisse dire. Il est probable que votre entreprise déploie un éventail de services cloud différents, tels que le stockage d’objets, les machines virtuelles, les containers et les fonctions serverless, pour ne citer que quelques-unes des catégories populaires de services cloud. Vous pouvez également disposer de plusieurs comptes pour chaque cloud, et – si vous êtes comme 93 % des organisations aujourd’hui – vous utilisez plusieurs clouds en même temps.

La journalisation de l’audit est la première étape cruciale pour assurer le suivi des menaces potentielles pour la sécurité dans un environnement cloud tentaculaire et multicouche. Les journaux d’audit enregistrent systématiquement les actions dans un environnement cloud au fur et à mesure qu’elles ont lieu. Ils vous disent qui a fait quoi, quand ça s’est passé, et ce qui a changé.

En d’autres termes, les journaux d’audit vous permettent de contrôler systématiquement quelles nouvelles ressources cloud ont été déployées, quelles politiques IAM ont été modifiées, quels comptes d’utilisateur ont été ajoutés ou supprimés, etc. Et vous pouvez le faire sur l’ensemble de vos environnements et services cloud.

Grâce à ces informations, vous pouvez obtenir une visibilité précoce des menaces potentielles pour la sécurité, même dans les cas où une menace ne s’est pas encore transformée en une véritable violation. Par exemple, les journaux d’audit peuvent vous alerter sur la création d’une VM non autorisée ou d’un nouveau rôle IAM, ce qui pourrait être l’une des premières mesures prises par les cybercriminels pour établir un cheval de Troie dans votre environnement cloud.

Utilisation des journaux d’audit du cloud

Tous les principaux fournisseurs de clouds publics proposent des services natifs pour permettre la journalisation des audits et vous aider à suivre les journaux. Cependant, comme ces services ne fonctionnent généralement qu’avec des comptes et des clouds individuels, vous devez regrouper les journaux d’audit des clouds de vos différents environnements clouds afin de pouvoir les analyser de manière centralisée, en utilisant des outils d’audit tiers capables de détecter des modèles suspects dans les données d’audit de n’importe quel environnement cloud public.

Vous devez également veiller à configurer efficacement l’audit du cloud. La clé d’un bon journal d’audit est de trouver le juste équilibre entre l’enregistrement de trop d’informations et de trop peu. Vous n’avez généralement pas besoin d’être informé de chaque modification mineure apportée à votre environnement cloud, et si vous enregistrez trop de données, votre équipe risque de se lasser des alertes. Mais vous souhaitez être informé des événements majeurs liés à la sécurité, tels que les modifications des configurations IAM, les mises à jour des paramètres réseau, le déploiement de nouveaux workloads ou les modifications des comptes utilisateurs.

Détection des menaces cloud

Si la journalisation de l’audit est la première étape de la détection des violations potentielles, la détection des menaces va plus loin. La détection des menaces passe par l’utilisation de diverses sources de données – telles que les journaux d’audit, les journaux réseau et les métriques du cloud – pour détecter les menaces actives et évaluer leur impact potentiel.

En d’autres termes, la détection des menaces vous aide non seulement à identifier les violations, mais aussi à comprendre la nature de chacune d’entre elles et l’ampleur des dommages qu’elle pourrait potentiellement causer. À son tour, la détection des menaces vous aide à formuler un plan pour répondre de la manière la plus efficace aux diverses menaces auxquelles vos environnements cloud sont confrontés.

Certaines menaces sont plus graves que d’autres. Une menace qui touche un environnement de développement ou de test, par exemple, ne sera probablement pas aussi dangereuse qu’une violation de type « zero-day » qui touche un workload de production critique. La détection des menaces vous aide à déterminer les types de menaces à prioriser.

De même, la détection des menaces utilise les données de renseignement sur les menaces pour fournir un contexte sur les différents types de menaces. Les renseignements sur les menaces aident votre équipe à comprendre d’où provient une menace, quels types de vulnérabilités elle exploite et comment y remédier efficacement.

Réponse aux incidents du cloud

L’étape finale de la réponse aux violations du cloud est la réponse aux incidents. La réponse aux incidents est constituée des outils et des procédures qu’une équipe utilise pour isoler, atténuer et éliminer définitivement une menace active.

Bien que chaque menace soit différente et qu’il soit impossible de prévoir exactement les étapes à suivre pour répondre à un incident, vous pouvez élaborer des guides pour différents types d’incidents et les utiliser comme guide lors de la réponse aux incidents. Par exemple, vous pouvez créer un playbook pour traiter un incident de sécurité impliquant un accès non autorisé aux données, un autre pour les violations de l’environnement d’exécution d’un container, et un autre pour les menaces qui concernent les machines virtuelles basées sur le cloud.

Vos playbooks de réponse aux incidents liés au cloud doivent détailler non seulement la manière dont votre équipe répondra à chaque type de menace, mais aussi quels membres de l’équipe joueront quels rôles dans la manière d’y répondre. Vous devez également réfléchir à l’avance aux ressources dont votre équipe aura besoin pour exécuter sa réponse.

Gardez également à l’esprit que, même si l’élimination définitive de la menace doit être l’objectif ultime de la réponse aux incidents, il est souvent judicieux d’isoler d’abord une menace afin d’empêcher son escalade jusqu’à ce que vous puissiez l’éliminer complètement. À cette fin, vos playbooks devraient inclure des étapes pour désactiver les comptes compromis ou isoler les workloads cloud compromis au niveau du réseau, par exemple.

Préparation aux brèches de sécurité du cloud

Bien que vous deviez vous efforcer de prévenir les atteintes à la sécurité du cloud, ne perdez pas espoir quand une faille se produit. Reconnaissez plutôt que les brèches sont inévitables, même si votre équipe excelle en CSPM.

Ce qui fait la différence entre la défaite et la victoire, c’est votre capacité à réagir efficacement aux violations du cloud lorsqu’elles se produisent. En investissant dans la journalisation des audits, la détection des menaces et la réponse aux incidents, vous mettrez votre entreprise en position de gérer avec succès les brèches dans le cloud en atténuant leur impact et en y remédiant le plus rapidement possible.