Rechercher

Cloud : détecter et répondre aux menaces

Source de souplesse et de réduction des coûts, le cloud est largement adopté par les entreprises du monde entier. Néanmoins, comme toute technologie, il est aussi vecteur de risques.

Pour identifier et contrer les attaques liées au cloud, les fournisseurs de cybersécurité font donc évoluer leurs processus et technologies. Décryptage de Yann Carte, architecte sécurité chez Orange Cyberdefense.

En quoi la migration vers le cloud modifie-t-elle notre approche de la détection des menaces ?

Les migrations vers le cloud sont sources de nouveaux risques ; les données sont désormais exposées de manière directe à Internet. En outre, une partie de la sécurité demeure assurée par un tiers, le cloud service provider (CSP). La ségrégation entre l’espace privé et l’espace public est ainsi plus poreuse qu’elle ne l’a jamais été.

Ainsi, nous faisons face à de nouveaux challenges techniques. Le premier est lié à la constante évolution des environnements cloud et de leurs interfaces, notamment en termes de fonctions de sécurité intégrées. Nous devons aussi jongler avec une certaine opacité des CSP sur la nature et l’exhaustivité des pistes d’audits collectées – il s’agit ici des logs. La mise à disposition de l’intégralité des logs à un tiers, qu’il s’agisse du client ou de son Managed Security Service Provider (MSSP) demeure encore complexe à ce jour.

En outre, la collecte des évènements de sécurité doit passer par Internet, via un réseau public, ce qui demande une approche contradictoire aux outils de SIEM, qui reposent sur des architectures sécurisées, notamment sur les questions d’intégrité et confidentialité des données collectées.

Enfin, la dimension multi-clouds complexifie un peu plus la collecte et la normalisation des évènements de sécurité.

Quel est l’impact du cloud sur les scénarios de détection ?

Nous avons dû en définir de nouveaux. Une partie des use-cases existants étaient à transformer car les informations collectées sont désormais hétérogènes voire incomplètes par rapport à la situation antérieure. En parallèle, de nouvelles méthodes d’attaques, liées directement aux risques du cloud, nous ont obligées à compléter nos catalogues de use-cases.

En outre, nous faisons face à un nouveau RACI[1]. Les responsabilités de chaque partie prenante sont à établir pour chaque cas client et impliquent parfois les CSP eux-mêmes, qui ont des obligations de moyens et/ou de résultats différents selon les situations. Pour les analystes, et notamment ceux du niveau N3, des compétences spécifiques et pointues ont dû être acquises.

Comment adapter nos ressources aux enjeux du cloud ?

Nous devons passer aux SIEM[2] et SOC[3] de troisième génération. Pour les SOC, les actions et décisions de niveau 1 doivent être automatisées au maximum. Il s’agit ici de la prise en charge des incidents, de leur qualification et de l’orientation vers les équipes d’analystes de niveau supérieur.

Notre vocation est aussi d’automatiser l’orchestration des incidents de sécurité dans un écosystème peuplé de “micro-SIEM”, parfois appelés “SIEM de SIEM”. Nous travaillerions ainsi à partir d’alertes et non de logs.

Par ailleurs, tous les CSP fournissent aujourd’hui des briques de SOC ou de SIEM comme Azure Sentinel de Microsoft par exemple. Cela oblige nos experts à appréhender de nouveaux outils, adapter leurs processus d’analyse pour exploiter des consoles mises à disposition par les CSP.

On constate ainsi que la détection basée sur des règles de détection statiques rencontre ses limites dans le cloud : il nous faut envisager des moyens de détection plus dynamiques basés sur l’exploitation des moteurs d’IA et du machine learning.

Notes

[1]Responsible, Accountable, Consulted et Informed

[2]Security information and event management

[3]Security Operations Center

[4]Cloud Access Security Broker