Cloud Security Posture Management (CSPM) : de quoi s’agit-il ?
La sécurité du cloud dépend en partie de votre capacité à réagir aux menaces après leur apparition. Mais comme l’a dit un célèbre Américain, une once de prévention vaut une livre de remède. Idéalement, vous éviterez que la plupart des risques de sécurité se concrétisent en premier lieu grâce à la gestion de la posture de sécurité cloud.
C’est pourquoi la gestion de la posture de sécurité cloud, ou CSPM, doit faire partie de votre stratégie de sécurité du cloud. Dans cet article, nous verrons ce qu’est l’approche CSPM, pourquoi elle est importante et comment l’appliquer à votre environnement cloud.
Qu’est-ce que l’approche CSPM ?
Cloud Security Posture Management (CSPM) consiste à utiliser des outils d’automatisation qui aident les entreprises à se positionner de manière à être aussi protégées que possible par défaut contre les différentes menaces susceptibles d’affecter les environnements cloud. En ajoutant de la rapidité et de l’efficacité à la sécurité du cloud et en permettant une stratégie de sécurité flexible qui peut être adaptée à tout type de workload dans le cloud, l’approche CSPM est la pierre angulaire de toute stratégie de sécurité du cloud.
L’approche CSPM peut aider à faire face à pratiquement tout type de menace pour la sécurité du cloud. Par exemple, elle peut aider les entreprises à trouver des configurations non sécurisées, comme une politique IAM qui accorde un accès public à des données sensibles. Les outils CSPM peuvent également identifier les configurations de réseaux cloud qui n’isolent pas correctement les workloads cloud les uns des autres.
La métaphore de la « posture cloud »
L’expression « gestion de la posture de sécurité cloud » peut sembler un peu obscure au premier abord. Après tout, la « gestion de la posture » est peut-être un sujet que vous attendez de votre chiropraticien, pas de votre équipe de cybersécurité.
Mais en fait, l’idée au cœur de l’approche CSPM est qu’en établissant une « posture » solide au sein de votre environnement cloud par le biais de configurations sécurisées par défaut, vous rendez aussi difficile que possible pour les attaquants de « renverser » vos défenses et d’entrer illégalement dans votre environnement.
En ce sens, le CSPM équivaut à adopter une posture défensive dans des sports comme la lutte ou les arts martiaux : elle constitue le fondement de votre capacité opérationnelle globale. Tout comme vous n’aurez pas beaucoup de succès au Taekwondo si vous vous tenez d’une manière qui permet à vos adversaires de vous faire tomber en vous poussant, il est peu probable que vous excelliez dans la sécurité du cloud si vous n’avez pas de configurations sécurisées dans votre environnement.
Cloud Security Posture Management : en quoi est-ce important ?
Dans le cadre d’une stratégie plus large de sécurité du cloud, l’approche CSPM offre plusieurs avantages clés.
Automatisation et efficacité de la sécurité
Tout d’abord, le CSPM permet d’automatiser les workflows en matière de sécurité. Plutôt que d’effectuer des évaluations manuelles des configurations du cloud, puis d’examiner et de remédier à chaque risque à la main, les équipes peuvent utiliser des outils CSPM pour analyser toutes leurs configurations du cloud de manière automatique et continue. À leur tour, ils peuvent détecter les risques dès qu’ils se présentent, avec un minimum de temps ou d’efforts déployés par les ingénieurs humains.
Dans certains cas, les outils CSPM peuvent même automatiser la remédiation, par exemple en mettant à jour une règle de contrôle d’accès défectueuse pour la rendre plus sûre ou en désactivant un compte utilisateur obsolète.
Visibilité centralisée de la sécurité
Comme les outils de l’approche CSPM peuvent analyser les configurations de pratiquement tous les types de workloads cloud et même fonctionner sur plusieurs cloud, ils contribuent à centraliser la visibilité de la sécurité. Avec une plateforme CSPM, vous pouvez identifier, évaluer et gérer les risques de toutes vos ressources cloud à partir d’un seul endroit. Il n’est pas nécessaire d’effectuer des évaluations séparées pour chaque cloud ou ressource de votre parc informatique.
Hiérarchisation des risques
Les outils CSPM avancés ne se contentent pas d’identifier les risques de sécurité, mais les classent également en fonction de leur gravité.
Par exemple, une plateforme CSPM pourrait classer un compartiment S3 exposé à l’accès public sur Internet comme une priorité élevée car il pourrait entraîner une fuite de données importante. En revanche, un compartiment S3 auquel peuvent accéder plusieurs utilisateurs, mais qui n’est pas exposé à l’accès public via Internet, serait probablement classé comme ayant une priorité moindre. Il s’agit d’un risque que l’équipe devrait tout de même étudier, car il pourrait s’agir d’une situation où le moindre privilège n’est pas appliqué, mais ce n’est pas aussi grave qu’un risque qui pourrait exposer des données à n’importe qui sur Internet.
La hiérarchisation des risques est importante car elle aide les équipes à gérer les volumes élevés d’alertes sur les risques de sécurité tout en leur permettant d’utiliser leur temps le plus efficacement possible en remédiant aux risques les plus graves.
Le processus de base en quatre étapes de l’approche CSPM
Les spécificités de la gestion de la posture de sécurité cloud varient en fonction des outils CSPM que vous utilisez et de la ou des plateformes cloud auxquelles vous les appliquez. En général, cependant, le processus comporte quatre étapes fondamentales.
- Définir les exigences de l’approche CSPM
Tout d’abord, les équipes définissent les risques de sécurité qu’elles souhaitent identifier et gérer. La plupart des plates-formes CSPM offrent une variété de règles préconfigurées pour détecter les erreurs de sécurité courantes, mais vous voudrez peut-être ajouter des définitions personnalisées adaptées à vos workloads et/ou aux règles de sécurité que vous devez respecter à des fins de conformité.
- Analyser en continu les environnements cloud
Sur la base des règles définies par les administrateurs, les outils CSPM analysent en permanence les environnements cloud et les configurations pour détecter les risques de sécurité. Chaque fois qu’un nouveau fichier de configuration est introduit ou qu’un fichier existant est modifié, il sera analysé pour détecter les risques.
- Évaluer la gravité du risque
Lorsqu’un risque est détecté, les outils CSPM peuvent en évaluer la gravité et lui attribuer un niveau de priorité, ce qui aide les équipes à comprendre quels risques doivent être traités en priorité.
- Corriger les risques
La dernière étape du processus CSPM consiste à remédier aux risques en mettant à jour la configuration qui les déclenche. En général, les ingénieurs informatiques ou les administrateurs se chargent de cette tâche, mais les outils CSPM peuvent être en mesure de corriger automatiquement certains risques.
CSPM : ce qu’elle fait et ce qu’elle ne fait pas
Si le CSPM est un ingrédient essentiel de la sécurité du cloud, il est important de reconnaître que cette approche ne répond pas à tous les types de menaces de sécurité du cloud.
L’objectif principal de l’approche CSPM est d’identifier les risques de sécurité dans les configurations qui définissent les workloads cloud. En d’autres termes, le CSPM peut aider les entreprises à identifier les configurations involontaires qui pourraient permettre aux cybercriminels de pénétrer plus facilement dans leurs environnements ou d’accéder à des données sensibles.
Reste que le CSPM n’est pas conçu pour aider à détecter les attaques actives une fois qu’elles sont en cours. Le CSPM n’est pas une solution pour analyser les journaux du cloud, les pistes d’audit ou d’autres sources de données dans le but d’identifier une violation réelle. Vous utiliserez à cette fin des outils tels qu’un système de gestion des informations et des événements (SIEM) ou une plateforme d’automatisation, d’orchestration et de réponse en matière de sécurité (SOAR).
Le CSPM ne traite pas non plus les risques de sécurité au niveau des applications. Il n’analysera pas votre code source ou vos images de containers pour détecter les vulnérabilités, par exemple. C’est là que l’analyse du code source, les analyseurs d’images et les outils similaires entrent en jeu.
CSPM et responsabilité partagée
Afin de développer une stratégie CSPM efficace, vous devez comprendre le concept de responsabilité partagée au sein du cloud.
La responsabilité partagée fait référence à la manière dont les fournisseurs cloud publics partagent la responsabilité de la sécurisation des environnements cloud avec leurs clients. Les fournisseurs de services cloud assument des responsabilités telles que la sécurisation de l’accès physique à l’infrastructure cloud ainsi que la sécurisation des serveurs bare-metal qui hébergent les workloads cloud.
Toutefois, les fournisseurs laissent à leurs clients le soin de s’assurer que les workloads qu’ils déploient dans le cloud sont correctement sécurisés. Les clouds publics offrent des outils pour faciliter ce processus, tels que des frameworks IAM et des configurations de réseaux virtuels. Mais c’est aux clients d’utiliser correctement ces outils pour sécuriser leurs environnements cloud.
Le CSPM joue un rôle central pour aider les clients à y parvenir. En analysant automatiquement les configurations pour détecter les risques de sécurité, le CSPM permet de s’assurer que les paramètres que les utilisateurs finaux du cloud déploient sont conformes aux meilleures pratiques et aux règles de conformité.
Le CSPM, un prérequis pour un cloud sécurisé
En bref, vous ne pouvez pas espérer construire un environnement cloud sécurisé, quelle que soit sa taille, sans tirer parti du CSPM. S’il est possible de contrôler manuellement les configurations d’environnements cloud de très petite taille, vous aurez besoin de l’automatisation du CSPM pour vous assurer que les environnements cloud complexes et de grande taille sont aussi sécurisés que possible par défaut contre toutes les menaces susceptibles d’apparaître.