Le Cloud plus sûr ou plus vulnérable ?
Les éditeurs de solutions de cybersécurité s’emploient à détecter et à traiter les nouvelles menaces, notamment avec de l’intelligence artificielle et des outils de type CASB. Mais le vrai risque aujourd’hui est celui de la manipulation et du détournement de l’information. Confiance et vérité ne sont plus des valeurs absolues !
Pendant que se tenaient les Assises de la Sécurité à Monaco, plusieurs acteurs américains du marché de la cybersécurité organisaient leur conférence utilisateurs aux États- Unis : Mcafee à Las Vegas et Fireeye à Washington entre autres. Loin de la Côte d’azur et de son incontournable rendez- vous, ces conférences ont montré que les problèmes auxquels les entreprises sont confrontées, la nature et l’origine des attaques, les moyens de se protéger et de riposter sont à peu près les mêmes sur tous les continents. À l’heure où 9 entreprises sur 10 ont franchi le pas du Cloud, de façon exploratoire ou en migrant franchement, la question de savoir comment sécuriser ses données, ses réseaux et ses applications dans le Cloud se pose à toutes les organisations, publiques et privées, quelle que soit leur taille.
Le Cloud plus sûr pour les PME
Pour beaucoup, grâce à la centralisation, le Cloud est mieux sécurisé que nombre d’infrastructures on premise. Cet argument est particulièrement vrai pour les PME qui n’ont pas toujours les moyens humains et financiers d’assurer elles- mêmes la sécurité de leurs infrastructures. Dans le Cloud, elles bénéficient de ressources à l’efficacité éprouvée et qu’elles n’ont pas à maintenir. Le nuage n’est pas pour autant une solution sans risques. Lors du Cyber Defense Summit 2019, Grady Summers, vice- président en charge des produits chez Fireeye, affirmait que « l’adoption rapide du Cloud s’accompagne de nouvelles menaces. Plus de la moitié des failles et des tentatives d’intrusion que nous détectons concerne à présent des infrastructures cloud » . La société Proofpoint est plus alarmiste. Dans une récente étude portant sur plus de 20 millions de comptes dans le Cloud, elle estimait à 85 % le nombre d’organisations et d’entreprises qui avaient subi au moins une cyberattaque via le Cloud au premier semestre 2019. Au cours de cette même période, ce sont plus de 15 millions de tentatives de connexions non autorisées qui ont été observées, dont plus de 400 000 ont abouti.
Sécuriser le Cloud depuis le Cloud
S’il apporte des avantages appréciables, le Cloud comporte également des aspects négatifs. « Le cloud ne change rien du point de vue des traitements et de l’analyse des données. Mais il présente plusieurs risques en ce qui concerne les données qu’il faut trouver, charger, transférer, suivre… Dans le Cloud, il est beaucoup plus difficile de garantir leur intégrité, d’éviter le risque de compromission » , constate Celeste Fralick, Chief data scientist de Mcafee. Son équipe, Advanced Analytics Team ( AAT), et celle dirigée par Steve Povolny, Advanced Threat Research ( ATR), travaillent ensemble au développement de modèles utilisant différentes techniques d’intelligence artificielle ( Adversial Machine Learning, Generative Adversial Networks…) afin de détecter des modifications apportées aux données, images, vidéos et d’identifier ainsi s’il s’agit de fake. Le problème du Cloud est que si les entreprises y sont, les attaquants y sont aussi ! C’est pourquoi Chris Young, CEO de Mcafee, affirme que « si on veut sécuriser le Cloud, on doit le faire depuis le cloud ! » Et c’est pour cela que Mcafee a racheté Skyhigh Networks, éditeur d’une solution CASB ( Cloud Access Security Broker), alias une passerelle d’accès cloud sécurisé. Conscientes des risques nouveaux, plusieurs sociétés ont fait de même au cours des dernières années : Proofpoint a racheté Meta Networks, Microsoft a jeté son dévolu sur Adallom, Oracle s’est emparé de Palerra, etc. Le principe du CASB est d’assurer la sécurité des accès aux services, applications et données dans le Cloud, de vérifier que ces accès sont conformes aux politiques de sécurité définies par l’entreprise. « Le CASB intervient entre l’utilisateur et l’application. Il voit quels documents ou quelles données entrent et sortent, il vérifie l’identité de l’utilisateur, ses droits d’accès, etc » , précise Vittorio Viarengo, vice- président Marketing de la Cloud Business Unit de Mcafee et ex- directeur marketing de Skyhigh Networks.
Ne pas brider la créativité
Des clients ont présenté leur utilisation du CASB. L’éditeur de jeux vidéo Electronic Arts s’en sert pour protéger les jeux en cours de développement et ses données hébergées dans le Cloud. « L’enjeu pour notre activité
est de concilier la sécurité des plus de 7 000 applications que nous utilisons et le travail des développeurs. Il s’agit de ne pas brider leur créativité, leur imagination par des solutions trop rigides » , explique Kima Hayuk, directeur de la propriété intellectuelle de l’éditeur. Lors de son Cyber Security Summit, Mcafee a présenté son offre Unified Cloud Edge Vision, qui intègre le CASB à ses solutions de DLP ( Data Leak ou Loss Prevention, prévention des fuites de données) et de SWG ( Secured Web Gateway, passerelle sécurisée d’accès au Web). Les solutions sont accessibles via une plate- forme baptisée Mvision epolicy Orchestrator ( EPO). Pour Mcafee, l’intégration des solutions améliore la productivité des entreprises et surtout réduit les risques auxquels sont confrontés les collaborateurs en charge de la sécurité des systèmes d’information. L’éditeur affirme protéger désormais l’ensemble de l’environnement IT, « du device au Cloud » , de façon homogène, sans couture et sans friction. Il a profité de son événement pour annoncer qu’il était le premier éditeur dont le CASB était certifié sur AWS.
À chaque éditeur sa solution. Plutôt que le CASB, Fireeye préfère utiliser des web services. « Le CASB ne protège pas de tout, ce n’est pas toujours la meilleure solution. Des attaquants peuvent, par exemple, utiliser les techniques de e- discovery pour lire des mots de passe. Le CASB ne protège pas de ça ou du phishing, qui reste le premier type d’attaque » , affirme Martin Holste, Chief Technology Officer ( CTO) Cloud Security de Fireeye. La société étend la sécurisation des données sur les réseaux avec un accord de partenariat conclu avec la société iboss. La solution sécurise ainsi les accès au Cloud faits depuis n’importe quel terminal y compris un smartphone tout en vérifiant que ces accès respectent les règles définies par l’entreprise.
Un avantage supplémentaire aux attaquants
Quelles que soient les options prises par leurs concepteurs, les solutions de cybersécurité ne parviennent pas à contrer le premier facteur de risque : l’humain ! Et le Cloud ne change rien à cela. Dans son dernier rapport annuel sur le facteur humain, Proofpoint affirme que « plus de 99 % des cyberattaques nécessitent une action humaine pour s’exécuter : activer une macro, ouvrir une pièce jointe, cliquer sur un lien, etc… » Ces actions permettent aux attaquants d’installer un malware ou d’enrichir leur ingénierie sociale. Puis souvent ils patientent avant de frapper ou de voler les données ou identifiants qui les intéressent. Les principales victimes de ces moyens d’attaque sont les employés des métiers en relation avec l’extérieur, clients, fournisseurs, partenaires, ceux dont il est difficile d’ignorer les pièces jointes aux e- mails… « Le Cloud donne un avantage supplémentaire aux attaquants. Ceux- ci ont moins besoin d’attendre pour connaître et comprendre l’environnement de leurs victimes. Il leur suffit de répliquer la configuration qu’ils veulent attaquer sur des machines virtuelles dans le Cloud pour tester et affiner leur attaque jusqu’à ce qu’elle fonctionne bien. Ce qu’ils ne pouvaient pas faire avec des environnements on premise… » , souligne Martin Holste.
Quelles normes pour l’information ?
Au- delà des attaques et des intrusions, ce que beaucoup d’entreprises mais surtout d’institutions et d’organisations publiques craignent à présent sont les détournements d’informations ou de vidéo, les fameux fake. « Il est de plus en plus difficile de vérifier l’authenticité d’un fichier, qu’il soit vidéo ou audio, de savoir en quoi avoir confiance. Cela m’inquiète, il y aura certainement des conflits liés à des tromperies, à des fakes » , anticipe Kevin Mandia, CEO de Fireeye. Les États- Unis craignent tout particulièrement les manipulations sur les réseaux sociaux qui visent la campagne électorale pour les élections présidentielles de 2020. Laissons le mot de la fin à Madeleine Albright, secrétaire d’état de 1997 à 2001, qui était invitée avec le général Colin Powell, également ex- secrétaire d’état ( 2001- 2005), pour une “causerie au coin du feu ” avec Chris Young, CEO de Mcafee. Interrogée sur l’arsenalisation, la militarisation de l’information et du numérique, elle n’a pas hésité un instant : « Nous voyons bien avec les fake, la manipulation des informations sur les élections, que le numérique est une arme à double tranchant. Nous devons nous interroger sur les normes de l’information aujourd’hui. Prenez Twitter, cela permet à beaucoup de personnes d’échanger… Enfin, tout dépend de qui l’utilise ! » La salle a applaudi, consciente que les questions de cybersécurité ne relevaient pas seulement de la technologie. ✖