Sécurité dans le cloud : ne pas se perdre dans les nuages
ABC du chiffrement Culture tech.
Cloud : pourquoi il faut tout chiffrer, tout le temps
Ces dernières années, suite à l’émergence du cloud, les châteaux forts de la cybersécurité ont volé en éclats. La posture de sécurité des entreprises a dû changer de manière radicale, mais une constante a fait son apparition : le chiffrement comme un moyen indispensable de protéger une donnée convoitée par des attaquants.
La croissance exponentielle du cloud
L’essor du cloud a totalement changé la donne en ce qui concerne la stratégie data des entreprises.
Les avantages du cloud public sont aujourd’hui bien connus : par opposition au cloud privé qui s’appuie sur les infrastructures techniques appartenant à l’entreprise, dans le cloud public, les capacités de stockage sont virtuellement infinies. Il offre également la capacité d’ouvrir des accès très larges au sein des organisations et à destination de leurs partenaires.
Nombreuses sont celles à avoir créé dans le cloud des data lake (architecture de stockage de type Big Data) centralisant toutes leurs données clients. Les services de Digital Workplace « as a Service » (postes de travail 100% numériques) ont définitivement remplacé les solutions de collaboration déployées sur les serveurs des entreprises.
La règle numéro 1 : ne pas faire confiance à son fournisseur cloud !
Si tous les opérateurs de services cloud affichent les plus hautes certifications en matière de cybersécurité, et que leurs datacenters disposent de systèmes de protection physique de pointe, les responsables sécurité et consultants cyber se sont toujours montrés extrêmement prudents vis-à-vis de ces annonces. En outre, l’existence de réglementations extraterritoriales dans certains pays, comme les Patriot Act et Cloud Act américains, pose une réelle question quant à la confidentialité réelle des données stockées chez des acteurs qui sont soumis à ces réglementations.
Le proverbe « prudence est mère de sûreté » s’applique particulièrement bien au monde de la cyber. Le scandale PRISM qui a éclaté en 2013 l’a clairement démontré. Le Washington Post révélait que la NSA avait placé des moyens d’écoutes chez 9 des plus gros acteurs d’Internet de l’époque… La conclusion d’une telle affaire est simple : toute donnée envoyée et stockée chez un acteur du cloud doit être protégée tant vis-à-vis des accès externes que du personnel interne et des serveurs du prestataire.
Il faut appliquer le principe fondamental de la cybersécurité moderne :
Ne faire confiance à rien ni personne, le « Zero Trust ».
Des solutions de sécurité spécifiques au cloud à déployer d’urgence
Protéger les serveurs de fichiers et les bases de données derrière un WAF (Web Application Firewall) écartera un certain nombre de menaces venues d’Internet et déployer une solution de type CASB (Cloud Access Security Broker) permettra de stopper des tentatives d’exfiltration de données. Ces mesures de sécurité sont indispensables, mais pas suffisantes.
En effet, rien n’empêche l’administrateur d’un fournisseur cloud mal intentionné de lire les disques où sont stockées les données des entreprises pour exfiltrer celles qu’il juge intéressantes.
L’attaque sur l’éditeur Okta par le groupe Lapsus$ en 2022 a montré que les comptes administrateurs sont tout particulièrement visés par les pirates. Captures d’écran à l’appui, le célèbre groupe a démontré qu’il est parvenu à s’emparer des identifiants des super-utilisateurs de la plateforme, ce qui leur permettait de réinitialiser les mots de passe des clients de l’éditeur. De fait, Lapsus$ pouvait potentiellement s’emparer des comptes utilisateur de tous les clients d’Okta et tenter de leur extorquer une rançon. Heureusement, seul un faible nombre de clients ont été visés.
Il existe des solutions de type PAM (Privileged Access Management) pour surveiller les comptes administrateur qui disposent de privilèges très élevés, mais votre fournisseur cloud en dispose-t-il ? Il est souvent difficile d’avoir des détails précis sur les mesures mises en œuvre par son prestataire.
Une certification de type SecNumCloud de l’ANSSI vise ces mesures obligatoires, mais elle reste pour l’instant limitée à quelques fournisseurs français et n’a pas encore d’équivalents dans le monde.
Le chiffrement, la seule protection possible dans le cloud
Appliquer cette stratégie de ne faire confiance à personne ne laisse pas un grand choix de solution pour se protéger : il faut chiffrer la donnée en permanence. Dès lors, même si un administrateur ou un attaquant qui se fait passer pour un administrateur arrive à accéder à une donnée protégée, il ne pourra pas l’exploiter.
L’attaquant va concentrer ses efforts sur le maillon faible de la sécurité. C’est la raison pour laquelle il est capital que la donnée soit sécurisée de bout en bout (End-to-End Data Encryption ou E2EE), c’est-à-dire depuis le serveur jusqu’à l’utilisateur qui la consulte et vice versa. C’est notamment le rôle du VPN qui chiffre la donnée de bout en bout, depuis son émetteur jusqu’à celui qui la consulte.
De même, toutes les données stockées doivent être chiffrées. Ce chiffrement va garantir que la donnée restera protégée même si le pirate s’introduit physiquement dans le datacenter afin de démonter le disque et l’analyser. Il est conseillé d’appliquer cette technique de chiffrement de type « on-rest » tant sur les fichiers que sur les bases de données.
Enfin, pour les données les plus critiques, il est possible de maintenir les données chiffrées jusqu’à l’intérieur même du microprocesseur. Les puces AMD et Intel les plus modernes disposent d’enclaves ultra sécurisées dédiées à cet usage.
Cette nouvelle approche fait partie de ce que l’on appelle l’informatique confidentielle (Confidential Computing), une discipline qui englobe aussi les algorithmes homomorphiques qui permettent de traiter les données sans devoir les déchiffrer, ou encore les plateformes de calcul multipartite sécurisées (Secure Multiparty Computing).
Cette nouvelle approche laisse entrevoir un futur où la donnée restera chiffrée tout au long de son cycle de vie sur le cloud. De facto, ces techniques de protection innovantes vont certainement se généraliser chez les fournisseurs cloud dans les prochaines années.
Bien protéger ses clés est indispensable
S’il est acquis que sur le cloud le chiffrement est obligatoire, attention où vous stockez vos clés de chiffrement. S’appuyer sur la solution de stockage des clés du fournisseur cloud, c’est s’exposer au risque que celles-ci soient exploitées par un utilisateur interne malveillant.
Il faut donc continuer à appliquer le principe du « Zero Trust » vis-à-vis du personnel de l’hébergeur cloud. La clé d’accès aux données chiffrées doit rester dans les mains de l’utilisateur et ne doit pas être accessible aux administrateurs de l’hébergeur. Le principe du chiffrement de bout en bout doit absolument s’appliquer, tout particulièrement dans le cloud.
Plusieurs options s’offrent à l’entreprise pour protéger ses clés.
- Les fournisseurs cloud proposent des solutions de type HSM (Hardware Security Module). Il s’agit d’une enceinte matérielle blindée qui abrite la puce où l’entreprise va venir stocker ses clés. S’appuyer sur un HSM hébergé permet de rester dans une approche 100 % cloud tout en assurant une meilleure protection des clés.
- Les entreprises les plus suspicieuses préfèreront héberger le HSM dans leurs propres installations. Le fournisseur cloud doit alors s’interfacer avec cet équipement pour effectuer le chiffrement sur ses propres serveurs. Il lui est alors impossible d’accéder aux données sans que l’entreprise ne le sache.
Stocker et traiter des données dans le cloud présente des risques nouveaux qui doivent être traités par de nouvelles mesures de sécurité. En parallèle, il est nécessaire de changer de posture en matière de protection des données : il ne faut absolument pas faire confiance à son prestataire. Enfin, comme aucune solution de sécurité n’est inviolable, le chiffrement de tout et à tout moment est une bonne pratique indispensable dans le cloud public.