L’automatisation du cloud, une source de vulnérabilités pour l’entreprise ?

Selon le cabinet IDC, le marché des services cloud devrait atteindre 195 milliards de dollars en 2020. Dans son dernier rapport, Worldwide Workload Scheduling and Automation Software Forecast Update, 2015-2019, prédit que le marché des logiciels d’automatisation devrait s’élever à 5,7 milliards de dollars en 2019.

Tandis que l’automatisation du cloud peut aider les organisations à être beaucoup plus agiles et à améliorer leur sécurité, elle peut également étendre leur surface d’attaque, en créant notamment de nouveaux risques et brèches dans un environnement de plus en plus dynamique et complexe. Il est donc important de comprendre ces vulnérabilités spécifiques et d’y répondre de manière adéquate. Les organisations choisissent de migrer vers le cloud pour des raisons variées. Alors que certaines suivent une politique de big bang qui consiste à tout migrer en une seule fois, la plupart des entreprises transfèrent leurs données progressivement ; elles commencent par les activités métier et les applications, selon les besoins. L’automatisation varie en fonction de la stratégie et des motivations principales de l’entreprise. 

Moteurs communs à l’adoption du cloud

Trois raisons principales justifient le passage au cloud : la réduction et l’efficacité des coûts, l’accès aux données informatiques à la demande et la recherche d’une meilleure agilité.

Afin de réduire les coûts, certaines entreprises adoptent une approche « transpalette » qui consiste à déplacer simplement leurs applications vers le cloud à partir de leurs Datacenters sur site, qu’ils fermeront ensuite. Dans ce scénario, l’entreprise ne tire pas pleinement profit des capacités dynamiques offertes par le cloud, et par conséquent, cela demande un niveau d’automatisation minimale. Pour plus d’efficacité, les organisations doivent revoir l’architecture des applications et remplacer ces dernières, plutôt que de seulement les déplacer. Cette agilité nécessite un haut niveau d’automatisation décrit dans le troisième scénario ci-dessous.

Les entreprises veulent recourir de plus en plus à l’informatique à la demande qui leur apporte un accès rapide aux principales capacités informatiques telles que le big data et l’analytique. Pour ce faire, les instances applicatives sont créées immédiatement pour répondre aux besoins business. Tout cela est rendu possible par l’automatisation, en attribuant et en sécurisant les identifiants de connexion et les privilèges nécessaires à la création de chaque nouvelle instance.

Le troisième scenario repose sur l’agilité qui permet à l’entreprise de développer et de déployer des applications plus rapidement afin de mieux supporter les clients et les besoins en constante évolution du marché. Avec l’adoption de méthodes telles que les pipelines Continuous Integration, Continuous Delivery (CI/CD) et les DevOps, les développeurs s’appuient également sur les outils d’orchestration et d’automatisation pour accélérer le développement et le déploiement du logiciel. Les entreprises ayant des pipelines CI et CD robustes, sont à même de faire des déploiements de codes multiples – voire d’en créer des dizaines quotidiennement – via des processus et outils automatisés. Le rôle de l’automatisation est donc essentiel dans ce scénario.

Les vulnérabilités potentielles se développent avec l’automatisation

Chacun de ces scénarios met en avant une augmentation du niveau d’automatisation. Cette croissance rend nécessaire la compréhension de certains risques et vulnérabilités engendrés et qui doivent être adressés pour protéger l’environnement cloud d’une organisation.

Outre les raisons initiales qui conduisent vers l’adoption du cloud ou l’automatisation des systèmes, chaque organisation a besoin de protéger ses comptes administrateurs – ou comptes à privilèges –, ses identifiants de connexion ainsi que ses droits d’accès à ses consoles de gestion du cloud. Ces dernières, très puissantes, sont utilisées à la fois par des humains et des scripts automatiques. Elles sont, par conséquent, vulnérables aux attaques par phishing, ce qui en fait un point d’accès classique pour les pirates informatiques. De plus, toutes les organisations auront besoin de sécuriser les identifiants à privilèges utilisés pour gérer leurs infrastructures dans le cloud, ce qui inclue également les systèmes d’exploitation (OS), les bases de données et autres ressources.

L’informatique à la demande génère de nouvelles vulnérabilités qu’il est indispensable de prévenir et protéger. Parmi elles on retrouve par exemple n’importe quel identifiant d’application dynamique, les clés utilisées par les API, ou encore les secrets. Sont concernés également les identifiants de connexion aux comptes à privilèges qui sont établis lorsque de nouvelles instances applicatives sont créés par passage à l’échelle automatique ou « auto-scaling », ou encore via d’autres outils d’orchestration. Ainsi, chaque nouvelle instance créée par auto-scaling aura besoin de privilèges pour accéder aux autres applications et ressources. C’est cet accès spécifique qui doit être sécurisé automatiquement.

Dans le scénario dit de « market agility » – le troisième énoncé ci-dessus –, les risques et vulnérabilités décrits plus hauts doivent être protégés, mais il en est de même pour les identifiants à privilèges, les secrets associés à la pipeline CI/CD, incluant toutes les consoles administratives pour l’orchestration ainsi que les autres outils. Les relations de confiance doivent également être complètement automatisées en sauvegardant, collectant et gérant les secrets et identifiants de manière automatisée à travers le réseau.

Enfin, l’augmentation du niveau d’automatisation conduit à l’augmentation des vulnérabilités et de la surface d’attaque. C’est pourquoi il est important que les organisations aient conscience des vulnérabilités générées par l’automatisation et s’en prémunissent.

Jean-Christophe Vitu, Pre-Sales Director – West & South Europe chez CyberArk

Go to Source