En utilisant le Cloud AWS, les entreprises obtiennent le contrôle et la confiance nécessaires pour gérer leur entreprise en toute sécurité grâce à l’environnement cloud le plus flexible et le plus sûr disponible aujourd’hui. Les organisations bénéficient des centres de données AWS et d’un réseau conçu pour protéger leurs informations, leurs identités, leurs applications et leurs appareils. Grâce à une offre complète de services et de fonctionnalités, elles peuvent améliorer leur capacité à répondre aux exigences fondamentales de sécurité et de conformité, telles que la localisation, la protection et la confidentialité des données.

Voici comment les entreprises peuvent optimiser leur stratégie et leur posture de sécurité :

1. Centraliser la sécurité des environnement cloud. Centraliser la gestion de la sécurité permet de l’automatiser et aux environnements d’évoluer plus vite. Des solutions de contrôle peuvent par exemple être utilisées pour empêcher la suppression ou la modification des règles IAM (Identity and Access Management) qui régissent l’ensemble des processus mis en œuvre par une entité pour la gestion des accès et des droits des utilisateurs à un système d’information ou à des applications. D’autres solutions permettent d’éviter la falsification de certains outils ou contrôler les accès à certaines fonctionnalités. Les clients remplacent ainsi les contrôles réactifs par des contrôles préventifs et proactifs. Cela permet aux clients de définir des configurations générales, des mécanismes de sécurité, des exigences d’audit et le partage des ressources pour améliorer la sécurité au sein du système.

2. Comprendre comment le cloud est utilisé. La surveillance ne doit pas être uniquement destinée aux situations problématiques, il est nécessaire d’anticiper les choses qui peuvent être améliorées. Il est impossible d’améliorer ce qui n’a pas été mesuré en amont. Lorsqu’un client connait son score en matière de sécurité, c’est à dire un pourcentage qui indique dans quelle mesure l’entreprise respecte les recommandations de meilleures pratiques en termes de sécurité, il peut alors définir comment améliorer ce score.
AWS propose un certain nombre d’outils (AWS IAM Access Analyzer, AWS Config, et AWS Security Hub) qui permettent aux organisations de mettre en œuvre un ensemble de normes telles que les PCI DSS (Payment Card Industry Data Security Standards - normes applicables à l’industrie des cartes de paiement), de générer un score de sécurité et d’identifier les comptes et les ressources spécifiques qui nécessitent une attention particulière.
La mesure de la facturation AWS, qui est mise à jour plusieurs fois par jour, doit être également considéré comme une fonctionnalité de sécurité très importante, car il est facile de créer des alertes ou même des réponses automatiques en cas de variation soudaine ou inattendue des besoins en cloud au sein de l’entreprise.

3. Utiliser des services de chiffrement. Le chiffrement est un élément essentiel de la stratégie de sécurité. Cet outil fournit un niveau de protection fondamental en cas d’accès frauduleux aux données stockées. Quand bien même les autres niveaux de protection échoueraient, les informations sont toujours protégées car l’accès aux clés de déchiffrement se fait via un portail séparé avec des droits distincts.
AWS rend le chiffrement à grande échelle facile et quasiment gratuit et propose une gamme d’options pour le traitement des données au repos et en transit. Les organisations gardent le contrôle et la visibilité sur la clé de chiffrement, autorisent l’accès uniquement aux utilisateurs définis et ont une visibilité sur les accès au fil du temps. Les services AWS concernés incluent AWS Key Management Service (KMS), AWS CloudHSM, CloudTrail, GuardDuty et AWS Certificate Manager (ACM) ; et le kit de développement logiciel AWS Encryption qui peut être utilisé n’importe où, à l’intérieur ou à l’extérieur du cloud.

4. Fédérer ses identifiants sur le cloud. La fédération des identités permet de ne pas avoir à recréer ses identifiants dans le cloud. Les identifiants existants sont utilisés directement dans le cloud via des protocoles sécurisés tels que SAML (Security Assertion Markup Language) et SCIM (System for Cross-domain Identity Management) disponibles sur AWS. Ces systèmes permettent de conserver une gestion centrale des identités et des droits d’accès, et de définir finement les droits des administrateurs dans le cloud.

5. Bloquer tous les accès publics au stockage (S3). Grâce aux solutions cloud, les problèmes liés au stockage sont simplifiés, permettant aux entreprises de verrouiller par défaut un ou plusieurs comptes, indépendamment de ce qu’un administrateur détenant les droits peut définir ultérieurement. La diffusion d’un contenu public par exemple doit se faire à partir d’un des comptes spécifiquement gérés et prévus à cet effet – pendant que le reste de l’environnement cloud est protégé.

6. Adopter une protection Edge contre les menaces externes. Edge (ou périphérie) est un autre terme pour désigner les technologies et les applications en lien avec Internet au sein de l’architecture d’une entreprise (auquel on associe souvent l’Internet des Objets (IoT) à la protection Edge). Néanmoins, des services de sécurité efficaces existent pour répondre aux besoins liés à la protection contre les menaces externes : CDN (Content Delivery Network – contre les dénis de services répartis) ou AWS WAF (Web Application Firewall – contre les attaques applicatives) pour n’en citer que quelques-uns.

7. Faire les mises à jour et surveiller l’état des correctifs. Automatiser les correctifs est la clé pour permettre aux équipes de développement et d’infrastructure de savoir ce qu’elles doivent corriger et comment le faire. Pour cela, les entreprises peuvent par exemple s’appuyer sur AWS Systems Manager, qui dispose du sous-service Patch Manager. Surveiller et appliquer des correctifs n’est jamais une partie de plaisir, c’est pourtant une étape essentielle pour une stratégie de sécurité efficace.

8. Ne pas se fier uniquement au périmètre réseau. Le « périmètre » désigne à la fois le réseau et la gestion des identités et des accès. Les clients doivent mettre en œuvre des moyens de défense multicouche et Zero Trust. L’isolation du réseau et les contrôles périmétriques sont et resteront pour longtemps des concepts importants mais cela ne signifie pas qu’une personne malintentionnée ne pourra pas pénétrer les réseaux d’une entreprise. Au sein du réseau, d’autres contrôles basés sur l’identité, l’accès et le chiffrement doivent donc être paramétrés pour fournir une protection satisfaisante en profondeur.

9. Un leadership engagé dans la sécurité. La notion de responsabilité est indispensable dans une culture d’entreprise qui prône la sécurité. Lorsqu’un problème survient, il est important de pouvoir prendre une décision et planifier comment s’améliorer à l’échelle de l’entreprise et pas seulement de l’équipe impactée. Développer l’optimisme et la responsabilité au sein de l’organisation est crucial. Résoudre le problème dans l’immédiat ne suffit pas toujours et peut ne pas avoir le résultat escompté sur le long terme. Il est préférable de déterminer d’où vient le problème, en comprendre les causes profondes et travailler pour les améliorer.

10. Diversifier le recrutement et la formation. Le recrutement d’un large éventail de profils constitue un avantage pour l’industrie. Les entreprises doivent s’efforcer de refléter au mieux les communautés qu’elles servent et souvent une pensée nouvelle et créative émane d’autres horizons. Les organisations ont tout intérêt à investir pour améliorer les compétences de leurs collaborateurs par la formation et un plan de carrière, tout en leur proposant de s’orienter dans la sécurité. Cela permet aux ingénieurs de sécurité d’être formés en interne. Le secteur est actuellement confronté à une pénurie de compétences et il n’y a pas assez de personnes étudiant la sécurité pour combler l’écart. En parallèle, il faudra continuer à généraliser l’automatisation de toutes les tâches répétitives des ingénieurs en sécurité.