Il aura suffi par exemple d’un mauvais paramétrage du stockage Amazon S3 pour qu’un cabinet de recrutement spécialisé divulgue, à son insu, les informations personnelles et le niveau d’habilitation sécurité de milliers de candidats du secteur militaire privé américain.
Un écosystème cloud complexe et en constante évolution
Les entreprises utilisent souvent non pas un mais plusieurs clouds. Elles travaillent en général avec différents fournisseurs, dont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP). Ce fonctionnement conduit à la dispersion des ressources sur plusieurs instances, ce qui complique les tâches d’inventaire et de suivi par rapport à un hébergement sur site. Difficile également de suivre les évolutions rapides des technologies sous-jacentes : rien qu’en mars 2021, les notes de mise à jour GCP ont été quasiment quotidiennes.
Pour pouvoir maîtriser la sécurité de cet écosystème, il est donc nécessaire d’avoir de la visibilité sur tous ces clouds. Il faut aussi être en mesure de suivre l’impact de toutes les applications SaaS utilisées par les différents services de l’entreprise : vérifier le bon paramétrage lors de l’implémentation et à chaque évolution ! C’est pourquoi il est très utile de pouvoir s’appuyer sur un outil unique et unifié comme le CSPM, car selon Gartner, « d’ici 2025, 99 % des failles de sécurité cloud seront liées à une erreur côté client ».
Le CSPM simplifie le pilotage centralisé des clouds
Utilisés en complément des passerelles d’accès cloud sécurisé (CASB) et des plateformes de protection des traitements en mode cloud (CWPP), les outils de gestion de la posture de sécurité cloud (CSPM) vérifient que vos configurations sont conformes aux meilleures pratiques : ils améliorent le respect des standards de cybersécurité comme les CIS Benchmarks™ mais ils concourent également à votre conformité sectorielle (PCI, HIPAA) et réglementaire (RGPD, etc.).
Leur fonctionnement est basé sur le contrôle continu de la conformité des configurations des déploiements dans le cloud. Le CSPM pose des limites aux paramétrages autorisés ou au comportement dans le cloud. On observe donc moins de défauts de configuration et une application uniforme des bonnes pratiques, même dans le cas de systèmes complexes.
Outre la gestion centralisée d’environnements cloud, les outils CSPM ont l’avantage d’intégrer la notion de remédiation. Cette capacité à agir en plus de détecter est comparable à celle de l’EDR (Endpoint Detection & Response). Là où l’antivirus ne faisait que de la détection (partielle) de problèmes sur les terminaux, l’EDR dispose d’une capacité d’analyse et d’action ou de réaction.
Comment mettre en place une solution de CSPM ?
À l’image de l’offre de CWPP analysée ici par Gartner, le marché du CSPM est très riche et actif. La première étape consiste donc à bien sélectionner son partenaire. Ce choix est d’autant plus important que la responsabilité est souvent partagée entre hébergeurs et prestataires. Il convient également de bien vérifier les redondances fonctionnelles au préalable.
Ensuite, il est recommandé d’adopter une approche « projet » bien cadrée qui réunisse les spécialistes sécurité mais aussi et surtout les acteurs du cloud (RSSI et ses équipes, architectes cloud, experts DevOps, etc.). Pour Benjamin Leroux, directeur marketing Advens, « il faut y aller par étape, en commençant par un périmètre pilote : un grand groupe va par exemple tester une combinaison AWS et GCP sur une zone géographique ou une fonction de l’entreprise avant de l’étendre à d’autres marchés ou services. »Des fonctionnalités de sécurité pourront ensuite être ajoutées et le tout pourra être intégré à des solutions existantes. Ainsi, les alertes CSPM remonteront par exemple dans le SOC pour une meilleure supervision.
Le CSPM est donc un exemple de technologie qu’il est bon de laisser gérer par un tiers de confiance. Ce dernier sera en permanence au fait des nouvelles problématiques de sécurité grâce à une veille spécialisée. Il est aussi plus facile pour un prestataire dédié, formé et disponible de traiter la somme d’informations remontées par une telle solution.