Mieux vaut prévenir que guérir est une phrase bien connue, attribuée au philosophe néerlandais Desiderius Erasmus il y a environ 500 ans, et qui est devenue le principe fondamental des soins de santé modernes. Nous avons tous vu et expérimenté récemment comment des événements inattendus peuvent causer d'immenses dégâts et nous devons utiliser toutes nos ressources, à grands frais, pour limiter ces dégâts et tenter de guérir l'infection. Ce n'est que plus tard que nous pouvons nous concentrer sur les causes sous-jacentes pour éviter que cela ne se reproduise.
Nous pouvons voir des parallèles dans la sécurité du cloud. Il y a eu une migration en masse vers le cloud pour ses multiples avantages, qui s'est accélérée avec les nouvelles conditions de travail et la nécessité de travailler à distance et/ou à domicile suite aux événements mentionnés ci-dessus. Cependant, la sécurité a souvent été négligée dans cette précipitation, ce qui a entraîné des erreurs de configuration et des vulnérabilités susceptibles d'être exposées à des menaces de sécurité toujours plus sophistiquées. Le coût moyen d'une violation de la sécurité se chiffrant en millions de dollars, de nombreuses entreprises se sont tournées vers les plateformes de sécurité du cloud qui peuvent leur fournir les informations et la visibilité nécessaires pour sécuriser leur infrastructure cloud et prévenir les dommages avant qu'ils ne soient causés.
Mais aujourd'hui, dans le domaine de la sécurité du nuage, nous devons faire un pas en arrière, ou plus exactement, vers la gauche.
L'infrastructure en tant que code (IaC) est très largement adoptée par les entreprises pour gérer et fournir facilement leurs infrastructures sur le cloud et automatiser leur processus de déploiement. En tant que nouvelle technologie, elle évolue rapidement, ce qui n'a d'égal que le rythme auquel elle est adoptée par les entreprises : jusqu'à 90% des entreprises utilisent l'IaC sous une forme ou une autre.
La facilité et la rapidité avec lesquelles IaC fournit des infrastructures sont impressionnantes et constituent l'une des principales raisons de sa popularité, mais elles peuvent être une arme à double tranchant. Cette même rapidité et cette même facilité accentuent la possibilité de faire des erreurs. L'adage "Plus de hâte, moins de vitesse" vient à l'esprit, mais le cloud est un environnement qui évolue rapidement et avec les changements constants que présente l'IaC, les professionnels de la sécurité ont du mal à faire face.
Ces défis signifient que l'IaC peut contenir de nombreuses erreurs, vulnérabilités et mauvaises configurations qui peuvent être une invitation ouverte aux menaces de sécurité complexes d'aujourd'hui pour exposer l'environnement en nuage d'une organisation. Par exemple, une analyse récente des modèles IaC a permis d'identifier 200 000 fichiers contenant des options de configuration non sécurisées, 43% des entrepôts de données n'étaient pas chiffrés et 65% des services de stockage en nuage n'avaient pas activé la journalisation.
Il est désormais urgent de prévenir les erreurs de configuration de l'infrastructure au niveau de l'IaC. Les organisations doivent donner la priorité à la sécurité de type shift-left - pour trouver les vulnérabilités de sécurité et de conformité au plus tôt dans le processus de construction et sécuriser les modèles IaC avant le déploiement.
Leur principale exigence est la nécessité d'une évaluation et d'un contrôle continus de la sécurité afin d'éviter que de mauvaises infrastructures ne soient créées en premier lieu. Mais elle doit également inclure des domaines tels que le maintien des normes de codage et la garantie que la conformité est évaluée et respectée, pour n'en citer que quelques-uns.
Par ailleurs, les administrateurs de la sécurité de la plupart des entreprises sont confrontés au nombre d'alertes de sécurité, dont plus de 25 000 sont générées par le cloud. Certaines de ces alertes constituent un risque, tandis que d'autres sont des bonnes pratiques de conformité au cloud et, à mesure qu'une entreprise étend son empreinte dans le cloud (plus de comptes cloud, multi-cloud, etc.), le nombre d'alertes de sécurité augmente. La hiérarchisation des risques peut aider à identifier les alertes à haut risque, mais qui veut vraiment traiter plus de 25 000 alertes ouvertes, voire plus chaque jour ?
La meilleure façon de résoudre ce problème est de prendre le même ensemble de contrôles que ceux qui sont appliqués à l'infrastructure en nuage et de les appliquer aux modèles IaC. Ce seul processus réduira considérablement le nombre d'alertes de sécurité qui parviennent à un environnement de production ou à un environnement en nuage réel.
On pourrait donc dire que les outils et processus de sécurité traditionnels disponibles n'ont pas les compétences nécessaires pour s'attaquer à la tâche complexe à accomplir dans le domaine de l'IaC. Pour réussir à sécuriser l'IaC, les outils de sécurité doivent informer, guider et simplifier. Toute solution doit rechercher la cause des problèmes et fournir aux développeurs des recommandations sur la manière de réparer leurs vulnérabilités IaC, sans pour autant entraver leur travail, mais en agissant comme le garde-fou dont chaque équipe de sécurité a besoin.
Grâce à une solution de sécurité IaC efficace qui suit ces principes, capable de détecter les problèmes de sécurité et de conformité dès le début du processus de construction et d'empêcher la création d'une infrastructure défectueuse, votre infrastructure en nuage sera en pleine forme au moment du déploiement et n'aura pas besoin d'être soignée à ses débuts.