Équilibre du cloud computing : Sommes-nous dans un moment de champignon atomique ?
Les innovations révolutionnaires, celles qui façonnent l’histoire, introduisent souvent des opportunités incommensurables ainsi que de profonds risques. La récente sortie du film Oppenheimer souligne cette vérité. Le film est centré sur le physicien J. Robert Oppenheimer, qui, en 1945, a dirigé son équipe pour réaliser la détonation de la première arme nucléaire au monde. Dans ce qui est connu sous le nom de test Trinity du projet Manhattan, un nuage distinct en forme de champignon a explosé au-dessus du désert du Nouveau-Mexique à près de 40 000 pieds dans l’atmosphère, inaugurant l’ère nucléaire.
Depuis lors, l’énergie nucléaire a fait progresser la production d’électricité, la médecine et divers domaines scientifiques, mais l’humanité a également subi ses effets catastrophiques. Connu par la suite comme le père de la bombe atomique, Oppenheimer s’est confronté aux complexités de son innovation, citant une écriture hindoue célèbre en disant : « Je suis devenu la mort, le destructeur des mondes ».
Le champignon atomique est devenu un symbole du potentiel des progrès technologiques, à la fois prometteurs et très périlleux.
Le concept de course à l’innovation pour exploiter la puissance évoque une autre technologie transformatrice : le cloud computing. Alors qu’Internet commençait à remodeler radicalement le fonctionnement et l’évolution des entreprises, nous avons créé une nouvelle réalité technologique, celle d’une consommation, d’un accès et d’un stockage rapides des données.
Le cloud computing a permis la transformation des entreprises et a marqué le début d’une croissance économique massive. Il a révolutionné des cadres informatiques entiers, mais non sans élargir de façon exponentielle la surface d’attaque et redéfinir les lignes de front des menaces existantes et émergentes.
À bien des égards, le cloud est la version cyber du champignon atomique Trinity. Une attaque cloud peut fracturer les infrastructures numériques, compromettre les informations sensibles et perturber les opérations commerciales. Les conséquences vont au-delà de la perte de données ; cela peut avoir des conséquences considérables sur les utilisateurs et les clients, érodant ainsi la confiance. Le cloud est une arme de notre propre création que nous nous efforçons de comprendre.
L’énigme du cloud
Les organisations privilégient souvent la croissance plutôt que la sécurité. Et véritablement, nous avons bénéficié de la capacité du cloud pour faire évoluer nos activités. Mais sans former notre personnel, mettre en œuvre des contrôles suffisants ou allouer les ressources nécessaires, nous laissons nos environnements cloud vulnérables aux intrus. Nous sommes en concurrence avec des adversaires ingénieux et motivés qui mènent systématiquement des activités telles que des attaques basées sur l’identité et l’exploitation de la confiance dans les applications d’entreprise.
C’est là le combat injuste auquel nous sommes confrontés : même si les capacités de sécurité du cloud se sont améliorées et que les meilleures pratiques ont été définies, il incombe toujours aux organisations d’activer les paramètres garantissant la sécurité, paramètres parfois ignorés au nom de l’efficacité. Le choix d’accepter ce risque est souvent fait par ceux qui sont chargés de générer des revenus plutôt que par ceux qui connaissent bien la sécurité du cloud. Qui plus est, ces derniers sont rares.
Près de 80 ans après le test Trinity, une nouvelle forme de guerre est apparue : la cyberguerre. Nous l’avons récemment vu avec les attaques contre les infrastructures critiques de l’Ukraine. Mais d’une manière plus générale, nous, en tant que défenseurs, sommes également engagés dans une bataille permanente. Assiste-t-on à l’explosion de l’innovation technique comme l’a fait Oppenheimer, sans une reconnaissance stratégique du risque ?
Des cadres pour un horizon sécurisé
Les tactiques et techniques d’attaque dans le cloud continueront de progresser. Mais les attaquants n’ont pas besoin de travailler aussi dur dans des environnements avec une mauvaise hygiène du cloud, les techniques d’attaque de base persistent.
Les lignes directrices et les normes telles que la Cloud Controls Matrix (CCM) de la Cloud Security Alliances (CSA), l’architecture de référence de sécurité du cloud computing du National Institute of Standards and Technology (NIST) et le Center for Internet Securitys CIS Controls Cloud Computing Guide fournissent aux organisations un approche systématique pour aligner leurs pratiques cloud sur les exigences réglementaires et les meilleures pratiques de sécurité. En offrant des voies claires pour évaluer, mettre en œuvre et surveiller les mesures de sécurité, ces cadres peuvent jouer un rôle important en aidant les organisations à naviguer dans le paysage du cloud.
Tout comme Oppenheimer s’est penché sur l’impact profond de l’énergie nucléaire, nous sommes à la croisée des chemins avec le cloud computing. Le cloud, tout comme le test Trinity, symbolise à la fois un grand potentiel et un risque substantiel. Il s’agit d’une nouvelle frontière à fixer pour les praticiens de la sécurité, qui nous obligent à élever le niveau de sécurité du cloud à tous les niveaux. En tirant parti de ce que nous savons déjà et en faisant progresser notre compréhension collective de ce que nous ignorons, nous pouvons reprendre le cloud et réaliser plus pleinement ses promesses.
MacKenzie Brun est vice-président de la sécurité chez Cyberpoint noirun fournisseur de services de cybersécurité et de réponse réelle aux MSP, PME et grandes entreprises.