Migrer votre sécurité dans le cloud ?

Ces dernières années la sécurité Cloud a été un sujet brûlant. Tous les indicateurs montrent une croissance stable pour les prochaines années, mais les entreprises peuvent-elles vraiment transférer toute leur sécurité dans le cloud ?

Le monde d’aujourd’hui est le monde du cloud. Selon Gartner, la valeur des services de sécurité basés sur le cloud est estimée à 9 milliards de dollars d’ici 2020. Bien qu’il existe certaines entreprises ou divisions pour lesquelles la sécurité basée sur le cloud ne figure pas sur la liste des priorités. La réalité pour la majorité des entreprises, en particulier celles qui connaissent une croissance rapide, est que la sécurité basée sur le cloud est la seule voie qui offre une sécurité rentable.

C’est pourquoi la demande de sécurité cloud ne cesse de croître, en particulier parmi les entreprises de taille moyenne.

Pourquoi les RSSI souhaitent passer au cloud ?

Comme l’a mentionné Gartner, les services de sécurité basés sur le cloud sont estimés à 9 milliards d’ici 2020. De plus en plus d’entreprises se tournent vers des plateformes technologiques intégrées de cybersécurité. Mais bientôt, au lieu d’utiliser diverses solutions de sécurité comme SOAR, SIEM, les plateformes de renseignements sur les menaces de différents fournisseurs, commenceront à utiliser des solutions gérées de manière centralisée. Une vue d’ensemble des différentes technologies permettra aux professionnels de la sécurité de l’information, en particulier aux RSSI, de mieux identifier les menaces. Il auront ainsi les moyens de les arrêter en temps opportun et d’améliorer les réactions telles que les activités de criminalistique.

De plus en plus de RSSI préfèrent les solutions de sécurité cloud car elles sont continuellement mises à jour et corrigées par le fournisseur. Cela allège également le fardeau de la maintenance pour les utilisateurs et leur permet de se concentrer sur les enjeux commerciaux les plus importants. Examinons de plus près les capacités des solutions de sécurité opérationnelles basées sur le cloud.

SIEM (Security Information and Event Management) dans le cloud ?

Les outils de gestion des informations et des événements de sécurité (SIEM) permettent une analyse centralisée et les premières étapes de la réponse aux incidents. Les capacités fondamentales de SIEM comprennent :

● Collecte de logs ;

● Normalisation des logs dans un format standard ;

● Détection des incidents de sécurité ;

● Alertes et Notifications.

Un système de détection d’intrusion (IDS) basé sur l’hôte cet outil surveille les activités suspectes sur un hôte, ce qui implique les registres des fichiers, l’intégrité des fichiers, la détection des rootkits et la surveillance du registre Windows. Ce type d’outils fournit des informations utiles pour un SIEM. Mais le SIEM peut également collecter les registres des services d’infrastructure, y compris FTP, courrier, DNS, base de données, web, pare-feu et solutions IDS basées sur le réseau. Un certain nombre de services de réseau commerciaux et de solutions de sécurité sont également intégrés dans la plupart des SIEM du marché.

Avec le SIEM dans le cloud, vous pouvez obtenir une notification dynamique si un utilisateur se connecte directement à un serveur cloud au lieu de l’atteindre par la voie usuelle. Cela pourrait mettre en évidence que ce compte a été compromis et qu’il est utilisé pour rechercher des données qu’il n’est pas autorisé à consulter. De plus, vous pourriez découvrir qu’un employé a augmenté ses privilèges d’utilisateur unique à administrateur, pendant une heure et a obtenu l’accès à des informations relatives à différentes parties de l’entreprise.

Dans le cas des SIEM sur site, vous devez gérer efficacement votre propre unité. Par exemple, vous devez acheter les outils SIEM que vous prévoyez de déployer. Mais c’est la partie évidente. Aussi, vous devez reconsidérer l’infrastructure pour gérer efficacement une unité SIEM sur site. Ceci est nécessaire car nous parlons d’assembler et de surveiller un périmètre qui peut être vaste, générant des registres à partir de nombreux systèmes. Un autre élément crucial est le personnel. L’intégration, la formation et le maintien d’une équipe de cybersécurité ne sont pas des investissements négligeables. Si vous envisagez de gérer votre SIEM sur site, assurez-vous que vous avez le budget nécessaire.

Réagir efficacement à une menace de sécurité exige une analyse constante et méticuleuse des événements continus et des alertes associées. Un SIEM basé sur le cloud aidera l’entreprise à mieux filtrer, à détecter plus rapidement et à examiner plus en profondeur toutes les données liées à une attaque. En effet, le cloud offre un mécanisme efficace pour assurer la surveillance de la sécurité des entreprises, en particulier lorsque celles-ci ont commencé à passer dans le cloud pour différents cas d’utilisation.

TIP (Threat Intelligence platforms) dans le cloud ?

Les plateformes de renseignement sur les menaces basées sur le cloud nécessitent un effort d’intégration minimal pour l’importation de la collecte de diverses sources et l’analyse des données. L’utilisation de sources externes peut aider à découvrir des cybermenaces génériques qui pourraient affecter plusieurs entreprises. Aussi, l’intégration parfaite de ces multiples collectes externes peut être utilisée pour identifier un ensemble limité mais très précis d’éléments précieux. Ces derniers pourraient être importés dans le système du client à des fins de détection ou de traque.

Par exemple, un honeypot dans le cloud imitant les actifs des clients pourrait être une source intéressante. Chaque action effectuée sur celui-ci deviendra une information précieuse pour la plateforme de renseignements sur les menaces et le lien de cloud à cloud rendra l’intégration parfaite. En appliquant cet exemple, l’équipe de sécurité peut découvrir les éventuels attaquants, leurs dispositifs, leurs méthodes et leurs systèmes, et comment ils essaieraient de contourner les véritables restrictions de sécurité de l’entreprise. Il s’agit d’une technique dynamique de collecte de renseignements de sécurité. Les solutions de renseignement sur les menaces basées sur le cloud offrent les avantages suivants :

• Intégration parfaite avec les sources sur les menaces et attaquant actuels et émergents.
• Évaluation rapide des outils de renseignement maison qui interagissent avec d’autres solutions basées sur le cloud.
• De nombreuses intégrations ou connecteurs pré configurés avec d’autres solutions basées sur le cloud fonctionnant également dans le cloud. Ces connecteurs permettent d’affiner les informations en fonction du processus client. Certains d’entre eux nécessiteront une clé API pour obtenir les autorisations requises.
• Priorisation des événements de sécurité en tenant compte de toutes les différentes sources et intégrations externes qui ont contribué à l’évaluation des données.

Comme mentionné par TechTarget, le renseignement sur les menaces consiste à utiliser les diverses cyberattaques et les données sur les menaces qui se sont produites précédemment. Il permet de donner un aperçu des assauts au fur et à mesure qu’elles se produisent et même parfois avant qu’elles ne se produisent. Les plateformes de renseignement donnent un avantage supplémentaire aux experts en sécurité. Ils peuvent rapidement suivre les tendances concernant des menaces spécifiques ou des impacts particuliers qui présentent un intérêt pour leur entreprise. Lorsqu’ils sont déplacés dans le cloud, l’observation des signaux contribuant à cette surveillance est bien entendu facilitée par l’intégration naturelle avec différentes sources.

SOAR (Security Orchestration, Automation and Response) dans le cloud ?

Les solutions SOAR permettent de répondre automatiquement aux événements de sécurité. Elles remplacent les sourdes interférences manuelles des pratiques de sécurité traditionnelles par des décisions intelligentes de construction et de réponse. Au cœur des solutions SOAR se trouve l’automatisation de diverses méthodes dans un pipeline de cybersécurité. Par exemple, chaque analyste gère les alertes séparément, ce qui permet de détecter les failles et les écarts de résultats. Avec SOAR, nous pouvons réduire cette incohérence car il y a un itinéraire d’examen pour chaque alerte, ce qui permet de maintenir la compatibilité entre les analystes.

Par exemple, les courriels de phishing potentiels sont des problèmes régulièrement rencontrés par les entreprises et certaines des plus récentes violations de données sont survenues d’e-mails de phishing méticuleusement conçus. Une solution SOAR sera placée là où elle pourra traiter les e-mails, extraire certaines informations, permettre l’analyse automatique des artefacts associés, envoyer des fichiers joints pour analyse, obtenir un score de réputation sur les urls associées…

La position de la composante SOAR est importante car elle peut être considérée comme le cerveau d’une organisation de sécurité, recevant des informations, les traitant et donnant des ordres à d’autres composants. Plus l’entreprise aura commencé à transférer ses technologies de l’information dans le cloud (et souscrit à différentes solutions SaaS pour apporter une valeur ajoutée à ses activités commerciales), plus il sera logique d’utiliser SOAR dans le cloud pour interagir sans problème avec d’autres capteurs et acteurs.

L’association SIEM-SOAR fait sens dans le cloud. Si la compilation des données est particulièrement importante, les solutions SIEM génèrent souvent plus d’alertes que les unités SecOps ne peuvent envisager de répondre. Dans ce contexte, des workflows SOAR spécifiques seront créés pour permettre à l’équipe de sécurité de réduire le volume d’alertes qu’elle doit gérer et d’automatiser les actions les plus pénibles.

Le SOC (Security Operation Center) dans le cloud ?

Les centres d’opérations de sécurité contrôlent et analysent l’activité des réseaux, serveurs, terminaux, bases de données, applications, sites web et autres systèmes, à la recherche d’activités inhabituelles qui pourraient suggérer un incident ou une compromission de la sécurité. Le SOC est chargé de veiller à ce que les incidents de sécurité potentiels soient correctement identifiés, analysés, défendus, étudiés et signalés.

Mais comme une horloge, un SOC sur site nécessite un personnel de maintenance permanent pour observer les alertes, un autre pour personnaliser les outils SIEM,et encore un maintenir la sécurité face à l’évolution des menaces. Cette complexité signifie que le SOC sur site peut ne pas être la meilleure solution lorsque l’entreprise n’est pas assez grande pour supporter cette complexité RH.

D’autre part, un SOC externalisé simplifie réellement les règles de gestion. Pour la gestion, il réduit la complexité de la gestion du personnel, de la planification et du travail 24/7. Pour le département RH, ils n’ont pas à s’inquiéter de l’embauche d’un analyste SOC rare.

Fondamentalement, un SOC externalisé résout les défis suivants :

● Pas besoin de créer un planning de travail spécifique en dehors des heures de bureau ;

● Pas besoin d’avoir tous les niveaux d’expertise SOC chez soi ;

● Pas besoin de se concentrer sur l’expertise des outils avec de multiples formations et une maintenance dédiée ;

● Une meilleure proximité entre la technologie de détection (SIEM) et le service de détection (SOC) lorsque le SOC est géré par la même entreprise ;

Un « SOC dans le cloud » a une capacité de détection et de réponse gérée et externalisée fournissant une sécurité immédiate, actionnable et abordable au marché intermédiaire et aux entreprises en quête d’agilité. Il allie souvent un SIEM avec les personnes et les processus adaptés, pour une détection et une réponse efficaces aux menaces. Lorsque le SIEM utilise une infrastructure cloud et une architecture scalable et optimisée pour la sécurité afin de permettre un déploiement instantané, le SOC l’utilise intensivement pour rompre le compromis entre portée, le champs et la vitesse de la sécurité. Il fournit une expertise clé en main en matière de sécurité dont le personnel informatique des entreprises de taille moyenne (et parfois aussi des plus grands groupes). Cela permet d’identifier les menaces avancées qui peuvent avoir un impact sur leur activité.

Toutes les opérations de sécurité dans le cloud ?

Par défaut, les environnements cloud sont hors du périmètre de l’entreprise. Pour certains, ils semblent plus sensibles aux accès non autorisés, à l’exposition des données, aux cyberattaques et à d’autres menaces. Pourtant, les mêmes pratiques utilisées pour sécuriser les environnements sur site peuvent être appliquées au cloud avec succès. Il faut également considérer qu’un fournisseur de cloud pur est engagé à 100 % dans sa sécurité (par extension, la sécurité de ses clients) car son activité en dépend.

Les solutions cloud permettront divers avantages par rapport aux installations usuelles sur site :

Réduction des délais: Lorsque vous activez une solution cloud, vous créez une instance d’une solution qui s’exécute déjà pour d’autres. Cela signifie que le logiciel sera préconfiguré et que l’équipe d’assistance sera formée à la solution. Les étapes de configuration et le processus d’intégration qui pourraient prendre des mois avec un déploiement interne peuvent être réduits à quelques jours ou semaines avec une solution Software as a Service.

● Coûts réduits: dans le cas d’une solution « cloud », vous n’avez pas à vous soucier de l’investissement en infrastructure. Votre fournisseur vous apporte tous les serveurs, le stockage et les autres éléments nécessaires pour faire fonctionner la solution efficacement sans avoir à installer du matériel coûteux sur votre système ou à concevoir une architecture complexe.

● Personnalisation plus facile : l’exécution d’une solution sur site signifie que vous pouvez personnaliser chaque aspect de votre système si vous le souhaitez. Mais, votre équipe devra y consacrer beaucoup de temps et d’énergie, et des formations continues seront nécessaires. En revanche, une solution cloud fonctionne pour votre entreprise et propose des approches personnalisées incluent dans sa plateforme ou solution de services continue. En outre, l’étalonnage de la solution sera effectué sur la base de commentaires avérés provenant d’autres clients, d’une manière ou d’une autre, similaire à la vôtre. Le client obtiendra quasi instantanément des tableaux de bord personnalisés une fois que le service sera prêt. Cette capacité à configurer la solution se fait sans investissement important en main-d’œuvre.

● Meilleure scalabilité: Par défaut, le SIEM dans le cloud est conçu pour être scalable, afin de pouvoir répondre aux exigences de conformité d’une entreprise. Il offre également la possibilité de commencer avec un prix peu élevé pour une activité de petite entreprise et de payer plus, au fur et à mesure que l’entreprise se développe.

Les RSSI devraient-ils finalement adopter la sécurité cloud ?

« Le cloud computing est-il sécurisé ? » est généralement la principale question posée à un RSSI qui introduit des solutions de sécurité cloud. Et en appliquant différentes couches de défense, un examen de l’architecture cloud, un accord contractuel rigoureux, le RSSI peut assurément répondre : « Oui, il est suffisamment sécurisé pour répondre à nos attentes ».

Nous entendons fréquemment parler de l’importance de l’automatisation. Mais il n’en demeure pas moins qu’en matière de sécurité, l’automatisation n’est pas encore la règle en toutes circonstances. En raison de la complexité de l’évaluation et de la réponse aux menaces de sécurité, certaines équipes adoptent encore une approche essentiellement manuelle de la sécurité. Pourtant à l’ère du cloud computing, la réalité est que la sécurité manuelle ne fonctionne pas bien. Cela est dû au fait que les environnements évoluent rapidement, que les configurations changent trop vite et que des fonctionnalités sont publiées quotidiennement. Il est donc difficile pour vos ingénieurs de s’adapter et de réagir à temps.

Aujourd’hui, il faut des outils de sécurité capables de générer pour vous des décisions éclairées, basées sur des données concernant les menaces et, de prendre des contre-mesures pour les arrêter avant qu’elles ne causent des dommages. Il est donc crucial que les RSSI prennent en compte ces évolutions et se préparent à adopter des solutions de sécurité cloud. La médiatisation et les big bangs ne sont pas une bonne approche, alors peut-être que l’action devrait être menée progressivement, bloc après bloc.

Gartner a prédit que d’ici 2022, 50% de tous les SOC passeront à des SOC modernes avec des capacités intégrées de réponse aux incidents, de renseignement sur les menaces et de traque des menaces. N’est-ce pas cette combinaison et cette tendance qui accélérera le passage à la solution « cloud » pour la sécurité ?

Dans le cas de la sécurité cloud, le but du RSSI est de reconnaître et de traiter les risques. Mais que se passerait-il si le plus grand danger était de ne pas du tout adopter le cloud, mais de nier tous les avantages qu’il apporte ?

Prêt à essayer notre plateforme unifiée de cyberdéfense ? Essayez SEKOIA.IO gratuitement !

À lire également sur le blog :

• La Threat Intelligence n’est pas (seulement) sur un spectre
• SOC augmenté  — Comment repenser votre centre de sécurité ?
• XDR n’est pas un EDR++
• Un aperçu détaillé des opérations de Conti – Première partie.