[EXCLUSIF] Penser avoir fait le tour de la question de la sécurité du Cloud est manifestement une erreur. Non seulement le Cloud est toujours le théâtre de menaces en renouvellement constant, mais il est dès lors devenu un modèle économique prisé des cybercriminels qui en font un vecteur et un levier pour leurs attaques. Voilà qui ne laisse pas le choix aux clients légitimes du Cloud, de veiller à leur patrimoine informationnel expatrié dans le Cloud, comme le lait sur le feu, tant organisationnellement que techniquement.
Le Cloud : Un partage des risques à bien peser
Quelle que soit l’option technique choisie, le Cloud, souvent préféré parce qu’il représente une économie substantielle, n’est autre que l’analogie d’aller « chez un autre » pour y déposer un peu ou beaucoup de son patrimoine numérique, et de disposer de plus ou moins d’autonomie sur « son ordinateur ».
Si l’entreprise cliente externalise un service en utilisant des applications permettant par exemple le travail collaboratif (Office 365 ou autre) ou la gestion de la relation client (CRM), ce qu’on appelle le mode SaaS, il lui incombe une moindre maintenance puisque c’est au fournisseur de maintenir l’infrastructure et les ressources associées (mises à jour logicielles par exemple). Si elle externalise jusqu’à son infrastructure matérielle comme les serveurs, une capacité de traitement, une capacité de stockage de données, des composantes réseau, des intergiciels (middleware) – le mode IaaS – c’est à elle qu’il revient de contrôler les systèmes d’exploitation, les bases de données et les applications. Dernier cas, résolument dédié au développement d’applications, le mode PaaS, permet à l’entreprise de développer ses propres applications. L’entreprise ne contrôle pas l’infrastructure, mais il lui revient de configurer et de sécuriser l’hébergement applicatif.
Pour chacun de ces modèles, existent donc des risques compte tenu de l’appétit des cybercriminels pour la masse immense de données expatriées dans le Cloud. Que les entreprises considèrent donc encore la sécurité comme un frein à l’adoption du Cloud n’est donc pas une lubie mais plutôt une réaction saine. S’opposent aussi des niveaux de responsabilités partagées entre fournisseurs et clients, qu’il convient pour les entreprises de bien maîtriser et de budgéter au plus juste, pour ne pas risquer une explosion de coûts inattendus et un risque réputationnel potentiellement important.
Choisir le Cloud, c’est gérer les menaces traditionnelles mais également celles propres aux modèles économiques et techniques du Cloud
Un environnement Cloud est sujet aux mêmes types d’attaques que les systèmes traditionnels, mais à cela se rajoute un effet d’échelle lié à l’architecture utilisée.
Ainsi une attaque en déni de service (DDoS) ne ciblant qu’une application hébergée peut saturer la connexion Internet de l’hébergeur et impacter alors tous les autres services hébergés, non ciblés, si elle est d’une intensité suffisante. Dans le cas d’un Cloud en mode Iaas, les entreprises doivent particulièrement veiller au cloisonnement des réseaux et aux modalités de stockage des données, a fortiori si elles sont sensibles, car l’architecture même du Cloud peut être synonyme de vulnérabilités et de nouvelles techniques d’attaque.
Dans un Cloud, chaque Machine Virtuelle est comme le client d’une chambre d’hôtel. Même si les clients peuvent partager des ressources de l’hôtel comme le restaurant, la piscine ou la salle de gym, chaque client doit pouvoir jouir d’une chambre isolée et privative. Une personne non autorisée ne doit pas pouvoir rentrer.
L’ensemble des machines virtuelles est géré par un logiciel appelé hyperviseur. Celui-ci agit comme le gérant de l’hôtel, qui va répartir les chambres en fonction des besoins des clients. Imaginons ce qu’il se passerait si un criminel disposait d’une clef unique permettant d’entrer dans toutes les chambres…Et bien c’est ce qui se passe dans un Cloud lorsqu’un attaquant utilise les vulnérabilités d’un OS tournant sur une des machines virtuelles pour sortir des limites de la machine virtuelle et entrer dans d’autres machines voisines en passant par l’hyperviseur. C’est ce qu’on appelle le VM ou Guest Escaping.
Le Cloud est par essence un espace partagé où les personnels de l’entreprise cliente s’ajoutent au personnel et aux partenaires du fournisseur Cloud.
C’est ce qui justifie l’impétueuse nécessité d’une politique de sécurité sérieuse et d’application rigoureuse. La tendance risque encore de croître de façon proportionnelle avec les chantiers de transformation digitale, y compris ceux lancés par les PME, qui sont toujours plus nombreuses à emboîter le pas.
Les cybercriminels se développent aussi en mode Cloud
Il faut croire que la cybercriminalité est une activité comme une autre. Elle aussi fait le choix du Cloud.
Certains cybercriminels détournent l’usage des serveurs de Cloud public pour les transformer en infrastructure de Command & Control ou de distribution de malwares, ce qui aide, à l’image d’une mule dans le trafic de drogue, le trafic malicieux à apparaître comme légitime lorsqu’il émane d’un fournisseur de Cloud qui a pignon sur rue.
De par son modèle économique, le Cloud séduit aussi les attaquants qui y voient un moyen de distribuer leurs attaques, en se fondant dans la masse, en bénéficiant d’un rapport « coût / risques / efficacité » redoutable. Les attaquants proposent des offres « as-a-service », Ransomware-as-a-service, Exploit kits as-a-service, malware-as-a-service, rendant leur usage accessible à des hackers d’un moindre niveau d’expertise par l’utilisation de services malveillants clés en main. Viralité et évolutivité des attaques, garanties !
« La sécurité des e-mails, du web ainsi que la gestion des identités et des accès restent les trois priorités des organisations en matière de Cloud », a souligné Ruggero Contu, directeur de recherche chez Gartner. On ne peut qu’espérer que les actuelles labellisations de Cloud en cours à l’ANSSI qui donneront des garanties et des pistes en ce sens pourront rassurer les entreprises, et les enjoindre à plus d’analyses de risques de leur Cloud. Car il ne faudrait pas que cette labellisation soit prétexte à ne tenir responsables que les seuls fournisseurs.
A lire également :
Cybersécurité : l’Anssi dresse le bilan d’une année 2016 de « prise de conscience »
Etude – Tendances cloud 2020 : tensions à venir sur un marché dynamique
Cloud et Sécurité : éviter l’ingérance dans la vie privée des utilisateurs