Si la visibilité est un prérequis à une bonne protection des systèmes d’information, celle-ci semble se réduire au fur et à mesure que les applications métiers migrent vers le Cloud public. Il est alors nécessaire de faire évoluer les stratégies de visibilité pour s’adapter, notamment vis-à-vis de la messagerie et de l’annuaire.
La bataille du Cloud semble gagnée : parmi les clients de Microsoft, une majorité de grandes organisations a désormais fait le choix de migrer sa messagerie vers Office 365. Et elles sont désormais de plus en plus nombreuses à déployer également leur infrastructure de gestion des identités vers Azure, en s’appuyant notamment sur Azure AD en complément des contrôleurs de domaine internes.
Toutefois, et comme toute période de transition, cela introduit de nouveaux risques, car ces entreprises découvrent bien souvent cet environnement radicalement différent qu’est le Cloud public tout en continuant à s’appuyer sur des outils et des processus conçus initialement pour leurs environnements locaux.
Et l’une des premières victimes de la migration vers le Cloud est la visibilité ! Or, sans visibilité, il est impossible d’espérer contrôler son environnement.
Ainsi, la configuration de l’accès aux ressources Cloud publiques pose un problème récurrent. De nombreuses fuites de données ont trouvé pour origine une mauvaise configuration des politiques d’accès… tout simplement parce que les ressources concernées n’avaient pas (ou mal) été répertoriées, ou étaient accidentellement configurées pour offrir l’accès à tous ! Et les attaquants ne s’y trompent pas : en 2018, le nombre d’attaques contre des applications métiers dans le Cloud aurait augmenté de 237 % (dont une bonne partie contre les plateformes de courrier électronique)
Le défi est donc avant tout celui de la prise de conscience. Car les principaux fournisseurs d’infrastructures Cloud publiques fournissent à minima un premier niveau d’outils permettant d’auditer les permissions sur les actifs gérés dans le nuage, et il serait dommage de s’en priver.
Mais, bien entendu, cela ne sera pas suffisant : pour vraiment regagner de la visibilité sur sa présence Cloud, il faudra aller bien plus loin.
Avec la messagerie Office 365, par exemple : la forte intégration entre la messagerie et les dépôts de fichiers dans le Cloud (OneDrive ou Sharepoint Online) et les serveurs de fichiers internes brouille la notion de périmètre. Les utilisateurs peuvent par exemple aisément partager des fichiers ou des dossiers internes avec des correspondants externes via un simple lien OneDrive. Et cela sans même de parler des utilisateurs malveillants qui pourront quant à eux créer un compte Office 365 personnel pour tenter de tromper les règles de filtrage des contenus vers l’externe !
Retrouver de la visibilité dans une telle situation exigera d’avoir une vue de haut niveau sur tous les fichiers partagés avec l’extérieur, à l’échelle de l’entreprise, ainsi que des droits d’utilisation trop lâches.
Et lorsqu’un problème sera détecté, il faudra alors être en mesure de consulter des journaux unifiés capables de retracer le parcours d’un utilisateur suspect entre les environnements Cloud et sur site, afin de ne pas offrir de zones d’ombre entre les environnements locaux et Cloud.
L’annuaire migre lui aussi
Puisque l’on parle d’utilisateurs, le second point d’une bonne stratégie de reconquête de la visibilité concerne bien sûr Active Directory. Il s’agit certes du saint des saints (souvent l’un des premiers objectifs de l’attaquant), mais ce n’est pas une raison pour le priver des avantages du Cloud ! L’analyste Gartner prévoit d’ailleurs que d’ici à 2020, 90 % des entreprises mettront en œuvre des infrastructures hybrides. Et pour beaucoup d’entre elles cela signifiera déployer un annuaire Azure AD, ne serait-ce que pour contrôler l’accès aux ressources dans le nuage.
Comment alors garder de la visibilité sur l’utilisation qui est faite des annuaires lorsque ceux-ci sont répartis entre Azure et des contrôleurs de domaine locaux ?
Dans l’absolu, rien ne change : tous les événements devraient être consignés de manière transverse, et en particulier les accès, la création ou la modification d’utilisateurs existants (changement de groupe, d’unité organisationnelle, de rôle…). Mais malgré l’aide fournie par Azure Active Directory Connect (qui permet d’associer des annuaires locaux et dans le Cloud), garder une visibilité globale sur tous ces environnements n’est pas une mince affaire ! Les interfaces et les journaux sont souvent dispersés, et l’audit des droits devient fastidieux (sans parle de la réponse aux incidents !). Une visibilité adéquate devrait permettre, au contraire, de disposer d’une source unique de journaux d’événements ou d’audit des droits, indépendamment du choix d’architecture.
En définitive, ce n’est pas parce que les environnements changent que les fondamentaux de la sécurité changent eux aussi. Et la visibilité est probablement le premier d’entre eux !
La difficulté pour les entreprises qui migrent aujourd’hui progressivement dans le Cloud est donc de se doter des bonnes pratiques et des outils nécessaires pour conserver une visibilité sur leurs actifs Cloud similaire à celle qu’elles ont localement.
À défaut, la progression du Cloud public dans l’entreprise s’accompagnera d’une cécité croissante… et probablement définitive à terme !