L’adoption croissante de la technologie Cloud a transformé la manière avec laquelle les entreprises fonctionnent, se développent et utilisent leurs ressources. Il n’est pas surprenant que tous les regards soient désormais tournés vers la sécurité du Cloud, car la surface d’attaque concernée augmente non seulement en taille mais aussi en complexité.
Les prévisions de Gartner montrent que les dépenses consacrées à la sécurité du Cloud augmenteront de plus de 24% d’une année sur l’autre, en 2024. Cette croissance va de pair avec l’adoption progressive de solutions Cloud pour stocker les données sensibles et la montée en puissance des malwares Cloud natifs.
En plus de ces perspectives de plus en plus menaçantes, il devient de plus en plus difficile de trouver des professionnels compétents en matière de sécurité du Cloud Computing. Par conséquent, obtenir une visibilité complète pour comprendre les évènements ayant lieu dans ces environnements Cloud et surveiller le trafic, l’accès et l’activité, entre autres, est devenu l’une des principales préoccupations des personnes travaillant dans le domaine de la cybersécurité.
Les causes du manque de visibilité dans les environnements Cloud
La visibilité sur l'infrastructure est impactée négativement par différents facteurs. Toutefois, la raison la plus récurrente est la fragmentation des sources de données.
En règle générale, un SIEM et d’autres solutions de gestion de log ingèrent une quantité massive de logs. Cependant, les environnements Cloud se composent d’une multitude de sources de données qui doivent être surveillées, et avec chaque nouvelle application, il devient plus difficile d’observer les évènements qui ont effectivement lieu et même de faire la différence entre des évènements normaux et suspects.
Les alertes ne suffisent pas toujours, car chaque investigation donne accès à des données qui, parfois, ne sont pas facilement accessibles ou ne sont pas fournies par un Cloud avec le niveau de granularité indispensable aux experts en réponse aux incidents. Ne pas connaître la cause profonde constitue en soi un angle mort.
Outre les aspects techniques, certaines raisons sont plus classiques, comme le coût d’une visibilité complète. Pour réduire les coûts, de nombreuses entreprises ingèrent uniquement les logs qu'elles jugent nécessaires, faisant ainsi l’impasse sur plusieurs failles par la même occasion.
Les conséquences du manque de visibilité dans les environnements Cloud
L’agilité offerte par le Cloud s’accompagne d’un certain nombre de vulnérabilités potentielles et d’éventuelles exploitations par des gangs de ransomware. Ce danger devient plus complexe avec le manque de visibilité présent dans les environnements Cloud.
Même si les infrastructures Cloud sont aussi vulnérables que les solutions sur-site (on-prem), l’incapacité de voir et de détecter les évènements ayant lieu affecte la capacité de l’entreprise à répondre aux menaces. Avec l’augmentation des temps moyens de réponse (MTTR), les données sensibles de l’entreprise deviennent plus vulnérables que jamais.
Une autre conséquence de ce manque de visibilité concerne les performances. Comme pour toute autre forme de déploiement, l’utilisation des ressources, la saturation du réseau ou le manque d’intégration entre les applications entraînent des problèmes opérationnels. Néanmoins, les entreprises ont plus de difficultés à détecter les mauvaises performances des applications lorsqu’il existe des angles morts au niveau de leur surveillance.
Une visibilité insuffisante a également un impact sur la souveraineté des données, impactant ainsi la conformité avec les frameworks réglementaires, tels que le RGPD ou l’HIPAA. Sans un contrôle complet et une visibilité totale, les entreprises risquent de se voir infliger des amendes car dans de tels cas parvenir à prouver la conformité pourrait s’avérer compliqué.
Comment le SIEM améliore la visibilité pour une sécurité du Cloud renforcée ?
Le rôle principal des solutions SIEM est d'agréger les données de log pour obtenir une vue globale sur l'ensemble du réseau. De cette manière, les entreprises peuvent remédier au manque de visibilité dans les environnements Cloud en surveillant en permanence les données de log et en améliorant la sécurité du Cloud.
En collectant les données d’événement générées par les systèmes endpoint et les applications au sein de l’infrastructure de l’entreprise et en les analysant par rapport aux modèles connus utilisés par les acteurs malveillants, la solution SIEM peut détecter les activités suspectes. En cas d'accès non autorisé, d'exfiltration de données ou de trafic réseau anormal, elle déclenchera alors des alertes pour que les analystes puissent investiguer.
De plus, les solutions SIEM peuvent aider les entreprises à vérifier leur posture en matière de respect des frameworks réglementaires. En détectant les violations d’accès, les fuites de données et l’utilisation abusive de données sensibles avant qu’elles ne se produisent, ces solutions peuvent ainsi empêcher une éventuelle non-conformité réglementaire.
Enfin, le SIEM améliore également la visibilité au niveau des performances car il déclenche des alertes lorsqu'une application ou un système endpoint cesse d'envoyer des logs, détectant ainsi des problèmes opérationnels potentiels ou une éventuelle interruption de service.
Comment Logpoint gère la visibilité au niveau de la sécurité du Cloud ?
Pour gagner en visibilité dans les environnements Cloud, il est essentiel de disposer d'une surveillance centralisée des données grâce à la collecte des logs générés, dans l'environnement Cloud, en un seul et même endroit. C’est précisément la possibilité qui est offerte aux entreprises avec la solution Converged SIEM de Logpoint.
Avec plus de 800 intégrations de sources de log, le SIEM peut collecter les logs des fournisseurs Cloud pour réduire l'opacité et étendre la sécurité du Cloud. La solution Converged SIEM s'intègre aux serveurs réseau et aux applications Cloud pour obtenir une visibilité sur l'environnement Cloud.
Grâce à la visualisation des données et aux alertes en temps réel, les analystes peuvent facilement identifier les comportements suspects et détecter les incidents de sécurité au niveau du Cloud avant qu'ils ne prennent de l’ampleur. À mesure que la plateforme enrichit les logs avec des données propres à l’entreprise et des renseignements sur les menaces (Threat-Intelligence), les experts en réponse aux incidents bénéficient de connaissances contextuelles qui les aident dans leurs investigations.
Le coût d’une plateforme d’opérations de sécurité ne dépend pas tant du prix de la licence que du temps que les analystes consacrent à l’amélioration de la logique de détection, à l’intégration des composants et à l’investigation des incidents. Grâce à une plateforme qui intègre nativement les fonctionnalités TDIR, les équipes SOC gagnent en visibilité et réduisent ainsi les risques et le temps de détection et de réponse.
De plus, la solution Converged SIEM audite l'infrastructure Cloud et détecte les violations d'accès, les fuites de données et l'utilisation abusive de données sensibles pour aider les entreprises à se conformer aux frameworks réglementaires. Enfin, grâce aux rapports de conformité prêts à l’emploi, ils peuvent documenter et prouver la conformité en cas de besoin.
Quel est l'avenir de la sécurité du Cloud ?
Il ne semble pas que cette migration massive vers les services Cloud soit sur le point de s’arrêter. En fait, la transformation du Cloud se produit également dans le domaine de la cybersécurité.
L’équipe Security Research de Logpoint prédit dans son rapport de fin d’année sur les menaces émergentes qu’en 2024, les activités des malwares et groupes APT (Advanced Persistent Threat) cibleront davantage de services Cloud. Leur objectif est d’utiliser leurs ressources à des fins malveillantes, telles que l’exploitation du GPU/GPU Farming (en utilisant des unités de traitement graphique pour le minage de cryptomonnaie), et de lancer d’autres types d’attaque.
Avec une surface d’attaque plus étendue que jamais, les entreprises doivent disposer d’une visibilité plus large sur ces applications Cloud et d’un lieu central pour une surveillance constante. C’est non seulement essentiel pour la sécurité mais aussi pour la conformité.
Comme les données Cloud ne feront que croître, si les fournisseurs de cybersécurité veulent s'adapter et évoluer en phase avec cette tendance, ils doivent s'adapter à ce nouveau contexte. Dans certains cas, ils devront résoudre des problèmes tels que les licences et opter pour des variables plus stables pour fixer leurs tarifs, comme le nombre d'employés plutôt que le volume de données ou d'événements par seconde.
Leur stratégie doit reposer sur le fait que les attaquants trouveront toujours un moyen de lancer une attaque. La visibilité au niveau de la sécurité du Cloud est donc avant tout une question de prévention par la détection, afin de stopper et de remédier aux incidents avant qu'ils ne deviennent incontrôlables. Ainsi, il leur sera plus facile d’atteindre et de maintenir leur compétitivité dans le secteur de la sécurité du Cloud grâce à l’utilisation et la consolidation de différents outils qui, ensemble, assureront une sécurité de bout en bout.