Pourquoi faire un audit de sécurité dans le cloud ?

Pourquoi faire un audit de sécurité dans le cloud ?

Vous l’avez sans doute déjà entendu, le Cloud c’est l’avenir ! Et c’est vrai, cette solution, complètement modulable en fonction des besoins, se répand progressivement. Plus question de vous occuper des ressources, du stockage, de l’entretien, … Qu’en est-il de la sécurité des applications stockées ? 

Alors, pourquoi réaliser un audit de sécurité d’une application cloud ? Cela peut sembler inutile, car tout est géré par le fournisseur. Il n’en est rien ! De nombreux axes d’amélioration de la sécurité sont possibles, et nous allons voir ensemble lesquels !

Une nouvelle perspective.

Avec l’arrivée du Cloud, la manière de sécuriser son environnement a complètement changé. Je vous invite à comparer les TOP 10 Cloud / On-Premise de l’OWASP

 
TOP 10 OWASP On-Premise
TOP 10 OWASP Cloud 
Injections (SQL / XXE …) 
Responsabilités et risques des données
Violation de gestion d’authentification et de session
Identité fédérée 
Cross-Site Scripting
Conformité légale et règlementaire
Violation de contrôle d’accès
Continuité du business & Résilience
Mauvaise configuration de sécurité
Confidentialité & Usage secondaire de la donnée
Exposition de données sensibles
Service & Intégration de données
Protection insuffisante contre les attaques
Location Multiple & Sécurité Physique 
Falsification de requête intersites (CSRF)
Analyse d’incident & Forensics 
Utilisation de composants avec des vulnérabilités connues
Sécurité de l’infrastructure
APIs non-sécurisée
Exposition de l’environnement de non-production
 

On peut noter que la sécurité de la donnée détrône la sécurité du système même. 

Autrement dit, on se retrouve avec une nouvelle problématique de sécurité, liée aux données. Selon leur importance, il est intéressant de réfléchir à comment les sécuriser, car, qui dit nouvelles problématiques, dit nouvelles solutions. Et les pentesters ne sont pas en manque, bien au contraire. Ils se sont adaptés et on trouvé de nouvelles méthodes afin de tester votre environnement cloud.

De nouveaux moyens

Ces méthodes reposent sur le scan des images utilisées. En la scannant, les auditeurs découvriront des vulnérabilités pouvant être exploitées par un attaquant. Les auditeurs vérifient également vos configurations. 

J’entends par là de vérifier la conformité des paramètres. Typiquement, l’IAM, la gestion des accès et des identités, en fait partie. De nombreux outils sont en train d’émerger, et permettent d’établir une vérification de votre environnement. 

D’autant plus que ces vulnérabilités impactent potentiellement d’autres personnes. Le cloud fonctionne de cette manière : le fournisseur met à disposition un serveur, sur lequel il va virtualiser différents environnements, qu’il louera. Maintenant, imaginez que votre environnement est compromis. Il y a un risque que la menace se propage sur le serveur de base, et contamine les autres environnements ! En d’autres termes, la responsabilité de la sécurité Cloud est partagée.

Conclusion

Même si, à priori, le cloud est une solution plus sécurisée. Il est important de garder en tête que les attaquants s’adapteront également, et trouveront de nouveaux moyens pour exploiter vos systèmes et arriver à leurs fins. La sécurité n’est donc pas à négliger, et auditer votre environnement est un moyen qui vous permettra d’identifier les vulnérabilités et, à terme, de réduire considérablement le risque d’intrusion .

Article rédigé par Igor