Vous l’avez sans doute déjà entendu, le Cloud c’est l’avenir ! Et c’est vrai, cette solution, complètement modulable en fonction des besoins, se répand progressivement. Plus question de vous occuper des ressources, du stockage, de l’entretien, … Qu’en est-il de la sécurité des applications stockées ?
Alors, pourquoi réaliser un audit de sécurité d’une application cloud ? Cela peut sembler inutile, car tout est géré par le fournisseur. Il n’en est rien ! De nombreux axes d’amélioration de la sécurité sont possibles, et nous allons voir ensemble lesquels !
Une nouvelle perspective.
Avec l’arrivée du Cloud, la manière de sécuriser son environnement a complètement changé. Je vous invite à comparer les TOP 10 Cloud / On-Premise de l’OWASP.
TOP 10 OWASP On-Premise | TOP 10 OWASP Cloud |
Injections (SQL / XXE …) | Responsabilités et risques des données |
Violation de gestion d’authentification et de session | Identité fédérée |
Cross-Site Scripting | Conformité légale et règlementaire |
Violation de contrôle d’accès | Continuité du business & Résilience |
Mauvaise configuration de sécurité | Confidentialité & Usage secondaire de la donnée |
Exposition de données sensibles | Service & Intégration de données |
Protection insuffisante contre les attaques | Location Multiple & Sécurité Physique |
Falsification de requête intersites (CSRF) | Analyse d’incident & Forensics |
Utilisation de composants avec des vulnérabilités connues | Sécurité de l’infrastructure |
APIs non-sécurisée | Exposition de l’environnement de non-production |
On peut noter que la sécurité de la donnée détrône la sécurité du système même.
Autrement dit, on se retrouve avec une nouvelle problématique de sécurité, liée aux données. Selon leur importance, il est intéressant de réfléchir à comment les sécuriser, car, qui dit nouvelles problématiques, dit nouvelles solutions. Et les pentesters ne sont pas en manque, bien au contraire. Ils se sont adaptés et on trouvé de nouvelles méthodes afin de tester votre environnement cloud.
De nouveaux moyens
Ces méthodes reposent sur le scan des images utilisées. En la scannant, les auditeurs découvriront des vulnérabilités pouvant être exploitées par un attaquant. Les auditeurs vérifient également vos configurations.
J’entends par là de vérifier la conformité des paramètres. Typiquement, l’IAM, la gestion des accès et des identités, en fait partie. De nombreux outils sont en train d’émerger, et permettent d’établir une vérification de votre environnement.
D’autant plus que ces vulnérabilités impactent potentiellement d’autres personnes. Le cloud fonctionne de cette manière : le fournisseur met à disposition un serveur, sur lequel il va virtualiser différents environnements, qu’il louera. Maintenant, imaginez que votre environnement est compromis. Il y a un risque que la menace se propage sur le serveur de base, et contamine les autres environnements ! En d’autres termes, la responsabilité de la sécurité Cloud est partagée.
En conclusion, même si, à priori, le cloud est une solution plus sécurisée. Il est important de garder en tête que les attaquants s’adapteront également, et trouveront de nouveaux moyens pour exploiter vos systèmes et arriver à leurs fins. La sécurité n’est donc pas à négliger, et auditer votre environnement est un moyen qui vous permettra d’identifier les vulnérabilités et, à terme, de réduire considérablement le risque d’intrusion .
Article rédigé par Igor
