Qu’est-ce que le CSPM (Cloud Security Posture Management) ?

L’intégration d’une infrastructure de cloud public n’est pas rare pour les entreprises, mais les erreurs de configuration sont courantes et entraînent de graves violations des données.

L’approche CSPM (Cloud Security Posture Management) permet de surveiller les ressources du cloud pour alerter les administrateurs des mauvaises configurations et des éventuelles vulnérabilités qui pourraient être exploitées par des attaquants. Les plates-formes cloud sont généralement très sûres, mais les administrateurs qui sous-estiment les menaces et ignorent les configurations appropriées sont à l’origine des violations de données du cloud les plus importantes.

CSPM désigne l’utilisation de stratégies et de logiciels pour garantir que les ressources cloud sont auditées, organisées, correctement configurées, maintenues, sécurisées et respectent les normes de conformité.

Les entreprises qui doivent se conformer à des normes réglementaires doivent choisir un hébergeur cloud qui respecte ces directives ou alors accepter de s’exposer à de lourdes amendes en cas de fuite de données.

Cela peut souvent être un casse-tête pour les administrateurs qui ne sont pas familiers avec le mode de fonctionnement des prestataires cloud. Il est possible de se mettre en conformité tout en transférant des ressources informatiques vers une infrastructure cloud, à condition de disposer d’une configuration adéquate et des bons outils pour contrôler la gestion des identités, la sécurité des données stockées, l’audit et la surveillance.

La gestion des identités est au cœur même de la conformité et de la sécurité des données, ce qui offre la possibilité de configurer les contrôles d’accès pour permettre aux utilisateurs de récupérer des données. En plus de donner des autorisations aux utilisateurs, l’entreprise doit auditer et surveiller les demandes d’accès.

Cette exigence fait souvent partie des normes de conformité, et la plupart des fournisseurs de solutions cloud disposent de ces solutions qui peuvent être intégrées directement à la gestion interne des identités.

Les contrôles d’audit identifient les personnes qui ont demandé l’accès, mais la surveillance fait également partie de la conformité. Les solutions de surveillance identifient les demandes d’accès suspectes qui pourraient indiquer que le réseau est compromis. Elles peuvent également signaler aux administrateurs la mauvaise configuration des contrôles d’accès.

La plupart des hébergeurs de cloud indiquent que leur infrastructure respecte les règles de conformité. Il incombe à l’entreprise de trouver un fournisseur de cloud conforme avant de transférer des données.

Bon nombre des exigences informatiques définies par les réglementations de conformité impliquent des stratégies CSPM qui protègent les données et surveillent les risques de compromission.

Un réseau interne sur site doit disposer d’un système de surveillance et d’analyse, mais les infrastructures de cloud public présentent un angle d’attaque plus important et les risques de mauvaise configuration sont beaucoup plus élevés. Il faut donc accorder plus d’attention aux outils de surveillance et d’analyse qui aident les administrateurs à mieux comprendre la façon dont l’infrastructure est utilisée et comment les demandes d’accès sont effectuées auprès de chaque ressource.

Tous les grands hébergeurs cloud connus disposent d’outils de surveillance avancés, incluant l’intelligence artificielle, pour détecter les types de trafic suspects. Si un administrateur configure mal l’accès à une ressource numérique spécifique, les outils de surveillance peuvent révéler le problème. Par exemple, supposons qu’une ressource ne soit accessible qu’à quelques utilisateurs. Si de multiples demandes d’accès se produisent pendant les heures creuses, les outils de surveillance détecteront un comportement inhabituel et alerteront les administrateurs.

La surveillance et l’analyse fonctionnent ensemble pour informer les administrateurs sur la façon dont les ressources du cloud sont utilisées. Les rapports analytiques affichent les heures de pointe, l’utilisation de la bande passante, les ressources utilisées ou non et celles qui coûtent le plus cher à l’entreprise pour continuer à être utilisées.

Les réseaux des grandes entreprises peuvent compter des milliers d’appareils répartis sur plusieurs localisations géographiques. La gestion de l’inventaire permet aux entreprises de connaître l’infrastructure du réseau et de savoir si les appareils sont mis à jour et approuvés. L’audit de l’inventaire et la classification de l’infrastructure permettent aux administrateurs d’avoir une vue d’ensemble des périphériques réseaux connectés et de leur importance.

La classification des éléments est essentielle, car elle permet au personnel informatique d’identifier leur importance, ce qui permet de savoir comment hiérarchiser les fonctionnalités de cybersécurité et la récupération en cas de défaillance de l’un d’entre eux. Le serveur contenant la base de données principale en production est, par exemple, probablement le plus critique et doit pouvoir être récupéré plus rapidement qu’un serveur de sauvegarde après un sinistre.

Pour les grandes entreprises, l’utilisation des ressources peut devenir incontrôlable si elle n’est pas organisée. Si le service informatique retire un serveur, celui-ci peut être supprimé du cloud, ce qui permet à l’entreprise d’économiser sur les ressources informatiques. Si une entreprise ne dispose que de quelques actifs, il est plus facile de suivre l’affectation des fonds budgétaires. Lorsqu’il s’agit de centaines de ressources du cloud provenant de différents départements, les actifs sont oubliés et coûtent à l’entreprise des milliers de dollars en infrastructure gaspillée.

Souvent, les ressources sont non seulement oubliées, mais aussi mal ou pas entretenues, ce qui est une erreur cruciale en matière de cybersécurité.

Cela peut conduire à des vulnérabilités imprévues au niveau de la cybersécurité à cause de systèmes non corrigés et à des logiciels obsolètes. Ces ressources non entretenues doivent être organisées de manière à éviter qu’elles ne deviennent des sources de vulnérabilité.

Le CSPM s’efforce d’organiser au mieux les ressources afin qu’aucune infrastructure ne reste sans correctif, qu’il s’agisse du firmware d’un routeur ou d’une mise à jour du système d’exploitation d’un serveur critique. Cela peut prendre la forme d’outils qui assurent la gestion du suivi des actifs ou de stratégies qui aident le personnel informatique à auditer les ressources. Les hébergeurs de cloud disposent de fonctions de reporting qui facilitent le suivi des actifs afin qu’ils ne soient pas oubliés et non entretenus.

La détection des erreurs de configuration est probablement la composante la plus importante du CSPM. Gartner estime que 90 % des entreprises qui ne configurent pas correctement leurs ressources du cloud exposeront des données sensibles au public, et que 99 % des violations de données seront imputables au client du cloud en raison d’une mauvaise configuration. Depuis que le cloud computing est devenue une option populaire pour les entreprises, certaines des plus grandes violations de données sont causées par des erreurs de configuration du stockage sur le cloud sur Amazon Web Services (AWS).

Le personnel informatique qui met en place les ressources du cloud a également besoin d’une stratégie pour la manière dont ces ressources sont maintenues, configurées et approvisionnées. Le CSPM fournit des directives sur la manière dont les ressources doivent être sécurisées et surveillées. Les normes de conformité donnent également aux administrateurs des directives pour sécuriser les données du cloud, mais le CSPM offre des services de surveillance qui détectent la mauvaise configuration de ressources qui pourraient divulguer des données sensibles avant que les attaquants ne les trouvent.

Bien que ces catégories soient essentielles dans une solution CSPM, il peut être difficile pour une entreprise de trouver l’application qui lui permettra de prendre pleinement en charge ses ressources. La plupart des entreprises ont besoin d’une solution capable d’évoluer au fur et à mesure de l’ajout de données supplémentaires dans le cloud, même si l’entreprise est petite lorsqu’elle configure pour la première fois son compte auprès d’un fournisseur de cloud.

La liste suivante peut aider les organisations à trouver la bonne solution :

• Les stratégies et les solutions doivent être faciles à mettre en place et à intégrer aux ressources existantes du cloud. Les solutions et stratégies doivent être suffisamment flexibles pour s’adapter aux ressources existantes sans sacrifier les performances ou la sécurité, y compris les ressources futures qui seront ajoutées.
• Les applications peuvent être mises à jour sur tous les actifs du cloud. Il incombe au client du fournisseur de cloud de s’assurer que les applications sont régulièrement mises à jour. Le fournisseur de cloud assure la maintenance du matériel, mais tout logiciel installé par le client doit être mis à jour. Certaines organisations choisissent de travailler avec un Managed Service Provider (MSP) pour suivre les mises à jour et les correctifs.
• L’extensibilité est essentielle pour les entreprises en pleine croissance. Si une solution CSPM est personnalisée pour quelques ressources sans possibilité d’extension à l’ensemble de l’infrastructure, cela peut entraîner une désorganisation et une perte d’actifs. Les fournisseurs de cloud segmentent les ressources en fonction de la géolocalisation, de sorte que les solutions soient également extensibles à travers le monde.
• Comprenez que la sécurité du cloud doit prendre en charge les ressources sur Internet et diffère de la prise en charge d’un support local sur site. Sur un réseau local, les ressources internes sont généralement coupées de l’Internet public. Avec les ressources en cloud, elles sont intrinsèquement disponibles pour l’Internet public, sauf configuration spécifique. Les ressources du cloud doivent être surveillées en permanence afin d’éviter les erreurs de configuration.

Les configurations relèvent de la responsabilité des administrateurs de l’entreprise. Les administrateurs doivent comprendre qu’une configuration correcte ne relève pas de la responsabilité du fournisseur de cloud. Un MSP peut aider à configurer correctement toutes les ressources du cloud, y compris les applications de surveillance afin d’aider les administrateurs à détecter les problèmes.