La CSA identifie les 11 principaux obstacles à la sécurité du cloud

Cloud Security Alliance a publié une liste de 11 menaces majeures liées à la sécurité du cloud, suite à une enquête menée auprès de 700 experts du secteur.

Le rapport Top Threats to Cloud Computing: The Pandemic {3} identifie les menaces principales suivantes :

1. Gestion insuffisante des identités, des identifiants, des accès et des clés
2. Interfaces et API (interfaces de programmation d'application) non sécurisées
3. Mauvaises configurations et contrôle des modifications non adapté
4. Lacunes en matière de stratégie et d'architecture de sécurité cloud
5. Développement logiciel non sécurisé
6. Ressources tierces non sécurisées
7. Vulnérabilités au niveau des systèmes
8. Divulgation accidentelle des données dans le cloud
9. Mauvaises configurations, et exploitation de workloads sans serveur et de conteneurs
11. Crime organisé/pirates/menaces persistantes avancées
11. Exfiltration des données de stockage cloud

Au vu de toutes ces menaces, il est évident que la sécurité cloud constitue un problème majeur. Et pourtant, le nombre de workloads déplacés vers le cloud ne cesse de s'accélérer. L'importance et la portée des failles de sécurité cloud vont s'étendre de manière exponentielle : ce n'est qu'une question de temps.

Cependant, à l'examen des 11 menaces liées à la sécurité cloud, il devient également apparent qu'il ne s'agit pas seulement du manque de protection des plateformes, mais aussi de la manière dont elles sont utilisées. Les entreprises autorisent encore trop souvent des développeurs ne possédant que peu ou pas d'expertise en matière de cybersécurité à provisionner directement les infrastructures cloud sans aucune mesure de protection en place. La probabilité qu'un développeur commette une erreur est extrêmement élevée.

En vérité, les gains hypothétiques en matière de productivité ne sont pas suffisamment significatifs pour prendre le risque de laisser les développeurs utiliser des outils comme Terraform pour configurer des services cloud sans aucune vérification de sécurité. Les entreprises qui autorisent les développeurs à provisionner les applications et l'infrastructure cloud sans vérification de sécurité s'engagent sur une voie dangereuse : si un tribunal s'en mêlait, il pourrait observer une négligence inconsidérée des intérêts de leurs clients. Comme le savent bien les avocats, ce n'est que lorsque le terme « dangereux » apparaît que les pénalités commencent à grimper jusqu'à atteindre des millions.

Il existe toujours deux versions de chaque controverse. Pour toute action, il existe une réaction égale et opposée. Lorsque les développeurs ont commencé à promouvoir le cloud, nombre de professionnels de la cybersécurité ont jugé que le risque était trop élevé. Plutôt que de collaborer avec les développeurs pour définir les processus adaptés à la sécurisation de ces plateformes, de nombreux professionnels de la cybersécurité, dans un accès d'orgueil démesuré, ont décidé qu'il était plus facile de dire non. Beaucoup ont vite déchanté en découvrant qu'ils ne disposait pas des politiques adaptées pour maintenir cette position. Les portes de l'enfer se sont ouvertes, et sans surprise, le chaos a envahi la cybersécurité.

Aujourd'hui, c'est le moment de rendre des comptes et de sécuriser le cloud. Les entreprises de toute taille sont en train de vérifier leurs chaînes logistiques logicielles suite à un décret publié par l'administration du Président Biden déclarant clairement qu'il existe des problèmes fondamentaux qui ne peuvent plus être ignorés. Les développeurs et les professionnels de la sécurité doivent à présent trouver un terrain d'entente concernant les pratiques en matière de DevSecOps les mieux adaptées pour créer des applications sécurisées sans ralentir ladite création. Avec le recul, cela aurait dû être l'objectif dès le départ : le défi de la sécurité cloud et l'opportunité d'une chance de tout recommencer en collaborant pour mettre en place une sécurité cloud efficace avant une catastrophe autrement inévitable.