L'absence de pouvoir entraîne une plus grande responsabilité

Par Rodman Ramezanian - Conseiller en sécurité de l'informatique en nuage pour les entreprises, Skyhigh Security

19 mai 2022 6 Lecture minute

Vous avez certainement déjà entendu l'expression "un grand pouvoir implique de grandes responsabilités". Appelée aussi "principe de Peter Parker", cette phrase est devenue célèbre dans la culture populaire, principalement grâce aux bandes dessinées et aux films de Spider-Man, dont Peter Parker est le protagoniste. La phrase est tellement connue aujourd'hui qu'elle a son propre article dans Wikipedia. L'essentiel de cette phrase est que si vous avez le pouvoir de changer les choses pour le mieux, vous avez l'obligation morale de le faire.

 

Cependant, ce que j'ai remarqué en discutant avec des clients de la sécurité dans les nuages, en particulier de la sécurité de l'infrastructure en tant que service (IaaS), c'est un phénomène que j'appelle le "principe de John McClane" - le nom a été modifié pour protéger les innocents.

Le principe John McClane s'applique lorsque quelqu'un est chargé de réparer quelque chose, mais qu'il n'est pas habilité à effectuer les changements nécessaires. À première vue, ce scénario peut sembler absurde, mais je parie que de nombreuses équipes InfoSec peuvent sympathiser avec le problème. La conversation se déroule à peu près comme suit :

• Le PDG à l'InfoSec: Vous devez vous assurer que nous sommes en sécurité dans le nuage. Je ne veux pas être le prochain [insérer la dernière violation ici].
• InfoSec to CEO: Oui, j'ai examiné la façon dont nous utilisons le nuage et la grande majorité de nos problèmes sont dus à un manque de processus et de connaissances. Nous avons une tonne d'équipes qui font leurs propres choses dans le nuage, et je n'ai pas une visibilité totale sur ce qu'elles font.
• Le PDG à l'InfoSec: Très bien, réparez le problème.
• InfoSec au PDG: Le problème, c'est que je n'ai aucun droit de regard sur ces équipes. Elles peuvent faire ce qu'elles veulent. Pour résoudre le problème, elles vont devoir changer leur façon d'utiliser le nuage. Nous devons obtenir l'adhésion des responsables, mais ces derniers m'ont dit qu'ils n'étaient pas intéressés par un changement parce que cela ralentirait les choses.
• du PDG à l'InfoSec: Je suis sûr que vous trouverez la solution. Bonne chance, et nous avons intérêt à ce qu'il n'y ait pas de violation.

C'est à ce moment-là que l'expression "sans pouvoir, on a plus de responsabilités" prend tout son sens.

Et pourquoi cela ? La raison en est que l'Infrastructure-as-a-Service (IaaS) a fondamentalement changé la façon dont nous consommons l'informatique, et par la même occasion, la façon dont nous dimensionnons la sécurité. Il n'est plus nécessaire de soumettre des demandes d'achat et de passer par des processus longs et fastidieux pour mettre en service des ressources d'infrastructure. Désormais, toute personne disposant d'une carte de crédit peut mettre en service l'équivalent d'un centre de données en quelques minutes à travers le monde.

L'agilité a toutefois introduit des changements involontaires dans l'InfoSec et, pour évoluer, la sécurité de l'informatique dématérialisée ne peut pas être la seule responsabilité d'une équipe. Au contraire, elle doit être intégrée dans les processus et dépend de la collaboration entre le développement, les architectes et les opérations. Ces équipes ont désormais un rôle plus important à jouer dans la sécurité de l'informatique dématérialisée et, dans de nombreux cas, elles sont les seules à pouvoir mettre en œuvre des changements afin de renforcer la sécurité. Les services de sécurité informatique jouent désormais le rôle de sherpas plutôt que de gardiens pour s'assurer que toutes les équipes avancent au même rythme, en toute sécurité.

Toutefois, comme John McClane peut vous le dire, plus vous avez d'équipes chargées de la sécurité des nuages, plus vous disposez d'une meilleure solution. En fait, le fait de devoir coordonner plusieurs équipes ayant des priorités différentes peut rendre la sécurité encore plus complexe et vous ralentir. D'où la nécessité d'une solution de sécurité rationalisée qui facilite la collaboration entre les développeurs, les architectes et l'InfoSec, tout en fournissant des garde-fous pour que rien ne passe à travers les mailles du filet.

Notre service de sécurité en nuage a été conçu spécialement pour les clients qui déplacent et développent des applications en nuage. Nous l'appelons Skyhigh Cloud-Native Application Protection Platform - ou simplement Skyhigh CNAPP, car tout service mérite un acronyme.

Qu'est-ce que Skyhigh CNAPP ? Skyhigh CNAPP combine les solutions de Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP), et Application Protection en une seule solution. Nous avons créé CNAPP pour offrir aux équipes InfoSec une large visibilité sur leurs applications natives du cloud. Pour nous, l'objectif n'était pas de ralentir les choses pour s'assurer que tout est sécurisé, mais plutôt de permettre aux équipes InfoSec d'avoir la visibilité et le contexte dont elles ont besoin pour la sécurité du cloud tout en permettant aux équipes de développement d'avancer rapidement.

Permettez-moi de vous décrire brièvement les caractéristiques de Skyhigh CNAPP et de vous énumérer celles qui sont les plus appréciées par nos clients.

Gestion de la sécurité des services en nuage (CSPM)

La grande majorité des brèches dans l'IaaS aujourd'hui sont dues à des mauvaises configurations de service. Gartner a déclaré en 2016 que "95 % des défaillances de sécurité dans le cloud seront imputables au client". En 2019, Gartner a mis à jour cette citation pour dire que "99 % des défaillances de la sécurité du cloud seront la faute des clients". J'attends le jour où Gartner dira "105% seront la faute du client".

Pourquoi ce pourcentage est-il si élevé ? Les raisons sont multiples, mais nos clients nous disent souvent qu'il y a un énorme manque de connaissances sur la façon de sécuriser les nouveaux services. Chaque fournisseur d'informatique dématérialisée propose de nouveaux services et de nouvelles fonctionnalités à un rythme effréné, sans aucun obstacle à l'adoption. Malheureusement, l'industrie n'a pas réussi à se doter d'une main-d'œuvre qui connaît et comprend la meilleure façon de configurer ces nouveaux services et capacités. Skyhigh CNAPP permet aux clients d'auditer immédiatement tous les services cloud et de les comparer aux meilleures pratiques de sécurité et aux normes industrielles telles que CIS Foundations, PCI, HIPPA et NIST.

Dans le cadre de cet audit (que nous appelons un incident de sécurité), Skyhigh CNAPP fournit des informations détaillées sur la façon de reconfigurer les services pour améliorer la sécurité, mais le service offre également la possibilité d'attribuer l'incident de sécurité aux équipes de développement avec des accords de niveau de service (SLA) afin qu'il n'y ait pas d'ambiguïté sur qui possède quoi et ce qui doit être changé. Tous ces flux de travail peuvent être automatisés, de sorte que plusieurs équipes sont habilitées à trouver et à résoudre les problèmes en temps quasi réel.

En outre, Skyhigh CNAPP dispose d'une fonction de politique personnalisée qui permet aux clients de créer des politiques d'identification des mauvaises configurations à risque propres à leurs environnements, ainsi que des intégrations avec des outils de développement tels que Jenkins, Bitbucket et GitHub qui fournissent un retour d'information sur les déploiements qui ne respectent pas les normes de sécurité.

Plate-forme de protection de la charge de travail en nuage

Les plateformes IaaS sont devenues des catalyseurs pour les logiciels libres (OSS) comme Linux (OS), Docker (conteneur) et Kubernetes (orchestration). Le défi lié à l'utilisation de ces outils est le risque inhérent aux vulnérabilités et expositions communes (CVE) trouvées dans les bibliothèques logicielles et les mauvaises configurations lors du déploiement de nouveaux services. Une autre citation célèbre de Gartner est que "70 % des attaques contre les conteneurs proviendront de vulnérabilités connues et de configurations erronées qui auraient pu être corrigées". Mais comment l'équipe InfoSec peut-elle repérer rapidement ces vulnérabilités et ces erreurs de configuration, en particulier dans les environnements éphémères où de nombreuses équipes de développeurs introduisent des versions fréquentes dans les pipelines CI/CD ?

Skyhigh CNAPP fournit une protection complète de la charge de travail en identifiant toutes les instances de calcul, les conteneurs et les services de conteneurs fonctionnant dans l'IaaS tout en identifiant les CVE critiques, les mauvaises configurations dans les services de conteneurs de dépôt et de production, et en introduisant de nouvelles fonctionnalités de protection. Ces fonctions comprennent la liste des applications autorisées, le renforcement du système d'exploitation et la surveillance de l'intégrité des fichiers. Il est prévu d'introduire prochainement la nano-segmentation et la prise en charge sur site.

Les favoris des clients

• Analyses DLP dans le locataire: nombre de nos clients ont des cas d'utilisation légitimes de services de stockage en nuage exposés publiquement (parfois appelés "buckets"), mais ils doivent en même temps s'assurer que ces buckets ne contiennent pas de données sensibles. Le problème de l'utilisation de la DLP pour ces services est que de nombreuses solutions disponibles sur le marché copient les données dans l'environnement du fournisseur. Cela augmente les coûts du client avec les frais de sortie et introduit également des problèmes de sécurité avec le transit des données. CNAPP permet aux clients d'effectuer des analyses DLP à l'intérieur du locataire où les données ne quittent jamais l'environnement IaaS, ce qui rend le processus plus sûr et moins coûteux.
• MITRE ATT&CK Framework for Cloud: le langage des centres d'opérations de sécurité (SOC) est MITRE, mais il y a beaucoup de nuances dans la façon dont les incidents de sécurité dans l'informatique en nuage s'intègrent dans ce cadre. Avec Skyhigh CNAPP, nous avons mis en place un processus de bout en bout qui relie tous les incidents de sécurité CSPM et CWPP à MITRE. Désormais, les équipes InfoSec et les développeurs peuvent travailler plus efficacement ensemble en classant automatiquement chaque incident de sécurité dans le nuage selon MITRE, ce qui facilite des réponses plus rapides et une meilleure collaboration.
• Sécurité unifiée des applications: CNAPP est construit sur la même plateforme que notre service MVISION Cloud, un leader Gartner Magic Quadrant pour Cloud Access Security Broker (CASB). Les clients sont désormais en mesure d'obtenir une visibilité détaillée et un contrôle de la sécurité de leurs applications SaaS ainsi que des applications qu'ils développent dans IaaS avec la même solution. Nos clients apprécient de disposer d'une console unique qui leur offre une vision globale des risques applicatifs au sein de toutes les équipes - SaaS pour les consommateurs et IaaS pour les développeurs.

Il y a beaucoup d'autres fonctionnalités que j'aimerais souligner, mais je vous invite plutôt à découvrir la solution par vous-même. Visitez https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html pour plus d'informations sur notre version ou demandez une démonstration à https://www.skyhighsecurity.com/forms/demo-request-form.html. Nous serions ravis de recevoir vos commentaires et de savoir comment Skyhigh CNAPP peut vous aider à devenir plus autonome et responsable dans le cloud.

Retour à Blogs