Contrôler et maîtriser les services Cloud avec ses outils existants

Face à la multiplication des services cloud dans les entreprises, initiés notamment par les directions métiers, le département a la possibilité de jongler avec son parc d’outils de sécurité existants pour instaurer une saine politique de filtrage et de contrôle d’accès.

L’objectif premier de l’IT devrait être d’accompagner l’orientation stratégique de l'entreprise. Dans un monde idéal, les équipes IT collaboreraient avec les différentes directions métiers de l'entreprise pour développer une stratégie claire adaptée à leurs besoins applicatifs. Les directions attendraient ensuite que le budget soit approuvé, l’infrastructure créée et les contrôles de sécurité et de conformité mis en place. Problème: une telle procédure peut prendre des semaines, des mois, voire des années, sans aucune certitude qu'elle réponde aux attentes des directions métiers.

Or, les équipes IT peuvent utiliser les technologies et les systèmes de contrôle de sécurité existants pour les aider à endiguer le flot de services Cloud non sollicités.

Que se passerait-il si chaque direction métier pouvait prendre possession de ces technologies et les utiliser sans que l’IT n’intervienne ? Serait-elle capable d’évaluer précisément les risques encourus en plaçant des informations confidentielles dans le Cloud ? C’est précisément la difficulté à laquelle la sécurité IT doit faire face aujourd’hui. Les services Cloud  qui se targuent de pouvoir répondre à n’importe quel besoin des entreprises en un clic de souris sont déjà légion. Il incombe donc à la sécurité IT d’identifier ces services et de démontrer l’importance de l’identification et de la réduction des risques associés pour l’entreprise, avant que le vol de ses données ne fasse la une des journaux.

Par bonheur, de nombreux produits permettent de réduire les risques associés aux services Cloud, notamment via la mise à disposition de services, la fédération d’identités ou encore l'administration des infrastructures virtuelles. Il existe très peu de produits capables de surveiller ou d’empêcher l’utilisation des services Cloud non autorisés. En revanche, l’IT peut utiliser les technologies et les contrôles de sécurité pour contribuer à endiguer le flot de services Cloud non sollicités.

Pour surveiller les services Cloud, utilisez l’existant

Pour détecter et contrôler les services Cloud utilisés, commencez par faire usage des produits dans lesquels vous avez déjà investi : filtre Web, pare-feu de nouvelle génération (NGFW), outils de prévention des fuites de données (DLP). Ces systèmes sont déjà en place dans votre réseau pour intercepter le trafic susceptible de contenir des informations confidentielles ou détecter l’accès à des sites internet inappropriés. Les systèmes DLP sont particulièrement utiles, car ils agissent aussi sur les connexions cryptées SSL utilisant la technique dite de l’homme du milieu (MITM, Man in the middle). Il se pourrait même que vos systèmes DLP et de filtrage Web soient déjà configurés pour détecter ou bloquer l’accès aux sites de partage de fichiers Cloud tels que Dropbox et Google Drive. Les fichiers de définitions afférents devront être modifiés pour permettre également la détection d’autres services Cloud.

Il existe plusieurs registres de services Cloud qui peuvent être référencés afin de vous aider à élaborer des définitions personnalisées pour les systèmes de filtre Web ou DLP. Mais l’élaboration de ces définitions à l’aide de ces registres demande beaucoup de travail, car le nombre de fournisseurs potentiels de solutions Cloud est vaste. Simplifiez-vous la tâche en commençant par faire la liste des sociétés qui fournissent les services Cloud ayant le plus de chances d’être utilisés par votre entreprise. Les vendeurs de logiciels de sécurité finiront très probablement par ajouter des registres de fournisseurs de solutions Cloud à leurs produits DLP et de filtre web, mais d’ici là, la détection restera une opération manuelle.

Pour les équipes dont le budget est serré et qui n’ont pas accès à ce type d'outils, on trouve également d’excellentes solutions en Open Source. Pour nombre des professionnels concernés, l’outil de prédilection est Snort, un système de détection d’intrusion (IDS) en Open Source qui comprend des règles gratuites capables de transformer n’importe quel vieux PC en machine IDS de première classe. La grande force de Snort est que l’on peut facilement y ajouter des règles personnalisées adaptées à un environnement donné. Celles-ci sont généralement ajoutées au fichier de règles locales par défaut du logiciel.

Le point de vue de la rédaction sur la sécurité réseau avec le Cloud

Ce qu’il faut prendre en compte quand on met en place un système de détection d’intrusion dans le Cloud.

Examinez les options de pare-feu du Cloud d’Amazon, y compris le pare-feu AWS.

Voici un exemple simple de règle Snort personnalisée qui pourrait être utilisée pour détecter les accès à Rackspace :

Alert tcp any any -> 67.192.1.7 any

Cette règle permettrait de détecter tout accès TCP à un port depuis n'importe quel autre port de l'adresse 67.192.1.7. L’adresse IP renvoie vers le portail de gestion des services Rackspace manage.rackspacecloud.com. En configurant Snort de cette manière, la sécurité IT est alertée dès qu’un employé accède au portail Rackspace pour gérer des services Cloud à partir de l’intérieur du réseau.

Toujours travailler avec les utilisateurs

Les pare-feux de nouvelle génération (NGFW), les filtres Web, les systèmes de prévention contre la perte de données (DLP) et les systèmes de détection d’intrusion (IDS) sont autant d’aides précieuses pour surveiller l'accès aux services Cloud. Ils n’en restent pas moins des outils en ligne pour lesquels on part du principe que l’utilisateur accède au Cloud à partir d’une connexion Internet de l’entreprise. S’ils accèdent à des services Cloud non autorisés à partir de leurs appareils mobiles disposant de leur propre connectivité Internet, l’IT devra utiliser une méthode différente, moins technique, mais qui peut être assez efficace pour détecter ces connexions.

La sécurité IT doit travailler en partenariat avec les utilisateurs, pour les sensibiliser aux risques que présente l’utilisation de services Cloud non autorisés. Elle doit également mettre en place des règles strictes pour régir ces accès et leur administration. La question du coût ne doit pas être sous-estimée. Les services Cloud pourraient devenir rapidement la première dépense de l’entreprise, il convient donc de mettre en place un contrôle financier. Cette dernière solution est la plus facile à mettre en œuvre, car elle est plus simple et plus facile à expliquer aux utilisateurs que des scénarios de risques potentiels. Ces contrôles incluront des règles qui devront être validées par l’IT, le département financier et le département juridique avant toute mise en application. Un tel partenariat contribuera peut-être à refonder la collaboration vacillante entre IT et utilisateur autour d'une stratégie commune ; or, c’est cette perte de confiance qui a amené les différentes directions métiers de l’entreprise à aller faire leurs emplettes sur la toile sans consulter l’IT.

Des solutions existent

Puisque le problème des utilisateurs accédant aux services Cloud non autorisés dans l’entreprise va probablement prendre de l’ampleur, au fur et à mesure que les applications Cloud baissent en prix et se démocratisent auprès d’un public toujours plus large, les équipes de sécurité IT ont tout intérêt à faire usage des outils qui sont déjà présents dans la plupart des organisations matures. Un budget complémentaire, limité, sera nécessaire à cette nouvelle technologie. Apporter les réponses les plus pertinentes à ce problème est un effort utile – notamment pour rétablir des relations de confiance entre IT et utilisateurs –, car cela portera des fruits qui iront au-delà de ce simple objectif. Une chose est sûre : les équipes de sécurité IT doivent prendre le problème à bras le corps, pour ne pas se retrouver un jour avec une fuite de données, et donc une crise majeure.

L’auteur
Joseph Granneman, CISSP, a plus de 20 ans d’expérience en technologies de l’information dans les domaines de la santé et des services financiers. Il a fait partie de la Commission sur la sécurité et la confidentialité des informations de santé (Health Information Security and Privacy Working Group) de l’université de l’Illinois ainsi que de la Commission de certification sur la sécurité en technologies de l'information dans le domaine de la santé (Certification Commission for Health Information Technology Security Working Group). Il est un membre actif d’InfraGar.

Pour approfondir sur Cloud