<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Cloud security - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/tag/cloud-security/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/tag/cloud-security/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Wed, 08 Jul 2026 07:54:49 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>Cloud security - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/tag/cloud-security/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Sécurité CI/CD : attaque de chaîne d’approvisionnement depuis un développeur compromis</title>
		<link>https://www.riskinsight-wavestone.com/2026/07/securite-ci-cd-attaque-de-chaine-dapprovisionnement-depuis-un-developpeur-compromis/</link>
					<comments>https://www.riskinsight-wavestone.com/2026/07/securite-ci-cd-attaque-de-chaine-dapprovisionnement-depuis-un-developpeur-compromis/#respond</comments>
		
		<dc:creator><![CDATA[Meriem Abidi]]></dc:creator>
		<pubDate>Wed, 08 Jul 2026 07:54:48 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[artefacts]]></category>
		<category><![CDATA[artifactory]]></category>
		<category><![CDATA[CI/CD]]></category>
		<category><![CDATA[CI/CD attacks]]></category>
		<category><![CDATA[CI/CD security]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[cybersecurity]]></category>
		<category><![CDATA[DevSecOps]]></category>
		<category><![CDATA[pipeline]]></category>
		<category><![CDATA[Remediation]]></category>
		<category><![CDATA[runners]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=30370</guid>

					<description><![CDATA[<p>Dans les environnements DevOps modernes, les pipelines CI/CD automatisent le développement, les tests et le déploiement du code, permettant une livraison rapide et scalable tout en élargissant significativement la surface d’attaque. Les audits CI/CD réalisés en 2025 et 2026 ont...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/07/securite-ci-cd-attaque-de-chaine-dapprovisionnement-depuis-un-developpeur-compromis/">Sécurité CI/CD : attaque de chaîne d’approvisionnement depuis un développeur compromis</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;">Dans les <strong>environnements DevOps modernes</strong>, les <em>pipelines</em> CI/CD automatisent le développement, les tests et le déploiement du code, permettant une livraison rapide et scalable tout en élargissant significativement la surface d’attaque.</p>
<p style="text-align: justify;">Les audits CI/CD réalisés en 2025 et 2026 ont révélé que des <strong>identifiants exposés </strong>dans des <strong>dépôts</strong>, des <strong><em>runners</em> mal configurés</strong>, des <strong>stockages d’artefacts non sécurisés </strong>et des <strong>rôles cloud trop permissifs </strong>constituent autant de vecteurs d&rsquo;attaque que des acteurs malveillants peuvent exploiter afin d&rsquo;obtenir un accès persistant et fortement privilégié à l&rsquo;ensemble de l&rsquo;infrastructure.</p>
<p style="text-align: justify;">Une vue d’ensemble des outils DevOps est illustrée ci-dessous :</p>
<figure id="attachment_30332" aria-describedby="caption-attachment-30332" style="width: 911px" class="wp-caption aligncenter"><img fetchpriority="high" decoding="async" class="size-full wp-image-30332" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/1-Outils-aux-usages-et-fonctions-multiples-pour-le-DevOps.png" alt="Outils aux usages et fonctions multiples pour le DevOps" width="911" height="422" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/1-Outils-aux-usages-et-fonctions-multiples-pour-le-DevOps.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/1-Outils-aux-usages-et-fonctions-multiples-pour-le-DevOps-412x191.png 412w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/1-Outils-aux-usages-et-fonctions-multiples-pour-le-DevOps-71x33.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/1-Outils-aux-usages-et-fonctions-multiples-pour-le-DevOps-768x356.png 768w" sizes="(max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30332" class="wp-caption-text">Outils aux usages et fonctions multiples pour le DevOps</figcaption></figure>
<p style="text-align: justify;">Une compromission à n’importe quelle étape du <em>pipeline</em> peut ouvrir une voie vers des systèmes plus sensibles.</p>
<figure id="attachment_30358" aria-describedby="caption-attachment-30358" style="width: 911px" class="wp-caption aligncenter"><img decoding="async" class="size-full wp-image-30358" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/2-Outils-DevOps-pouvant-constituer-un-moyen-rapide-pour-les-attaquants-dobtenir-un-acces-a-privileges-eleves-sur-le-systeme-dinformation.png" alt="Outils DevOps pouvant constituer un moyen rapide pour les attaquants d’obtenir un accès à privilèges élevés sur le système d’information" width="911" height="380" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/2-Outils-DevOps-pouvant-constituer-un-moyen-rapide-pour-les-attaquants-dobtenir-un-acces-a-privileges-eleves-sur-le-systeme-dinformation.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/2-Outils-DevOps-pouvant-constituer-un-moyen-rapide-pour-les-attaquants-dobtenir-un-acces-a-privileges-eleves-sur-le-systeme-dinformation-437x182.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/2-Outils-DevOps-pouvant-constituer-un-moyen-rapide-pour-les-attaquants-dobtenir-un-acces-a-privileges-eleves-sur-le-systeme-dinformation-71x30.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/2-Outils-DevOps-pouvant-constituer-un-moyen-rapide-pour-les-attaquants-dobtenir-un-acces-a-privileges-eleves-sur-le-systeme-dinformation-768x320.png 768w" sizes="(max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30358" class="wp-caption-text">Outils DevOps pouvant constituer un moyen rapide pour les attaquants d’obtenir un accès à privilèges élevés sur le système d’information</figcaption></figure>
<p style="text-align: justify;">Cet article décrit <strong>une chaîne d’attaque CI/CD représentative visant un environnement CI/CD, </strong>fondée sur des scénarios observés en conditions réelles. Il met en évidence les vecteurs d&rsquo;attaque les plus couramment exploités ainsi que les principales mesures de durcissement permettant de réduire la surface d&rsquo;attaque à chaque étape du pipeline, depuis le code source jusqu&rsquo;au déploiement en production.</p>
<p> </p>
<h2>La chaîne d’attaque: de la reconnaissance à la persistance</h2>
<h3>Reconnaissance et accès initial</h3>
<p style="text-align: justify;">La chaîne d’attaque débute généralement par <strong>une attaque de phishing ciblant les développeurs</strong> afin de <strong>voler des identifiants et des codes MFA</strong>, bien que le MFA puisse lui-même être contourné via le vol de <strong>jetons d’accès</strong> ou de <strong>détournement de sessions.</strong></p>
<figure id="attachment_30334" aria-describedby="caption-attachment-30334" style="width: 911px" class="wp-caption aligncenter"><img decoding="async" class="size-full wp-image-30334" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/3-Attaque-de-Phishing-reussie.png" alt="Attaque de Phishing réussie" width="911" height="479" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/3-Attaque-de-Phishing-reussie.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/3-Attaque-de-Phishing-reussie-363x191.png 363w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/3-Attaque-de-Phishing-reussie-71x37.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/3-Attaque-de-Phishing-reussie-768x404.png 768w" sizes="(max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30334" class="wp-caption-text">Attaque de Phishing réussie</figcaption></figure>
<p style="text-align: justify;">Il convient de noter que la <strong>compromission d’identifiants seule </strong>n’est <strong>pas toujours suffisante</strong> pour accéder directement à des portails administratifs sensibles. Les <strong>contrôles de sécurité</strong> autour des interfaces d’administration <strong>Microsoft 365</strong> ont été <strong>renforcés</strong> par des mécanismes de MFA ainsi que, le cas échéant, par des politiques d’accès conditionnel, limitant l’impact du phishing sur les accès hautement privilégiés.</p>
<p style="text-align: justify;">Cependant, <strong>dans les environnements d’entreprise modernes</strong> où <strong>la majorité des applications reposent sur le Single Sign-On (SSO),</strong> la compromission d’une session Microsoft (par exemple via le <strong>vol</strong> de <strong>cookies</strong> de <strong>session</strong>) peut donner aux attaquants accès à un large éventail de services interconnectés, incluant les dépôts de code et les plateformes CI/CD. Les attaquants utilisent généralement ce point d’entrée initial pour identifier les environnements de développement et <strong>établir une persistance</strong> via des mécanismes tels que les <strong>Jetons d&rsquo;accès personnels (PAT).</strong></p>
<p style="text-align: justify;">Un risque souvent négligé survient lorsqu’un <strong>compte utilisateur est désactivé</strong> au niveau du fournisseur d’identité (ex. <strong>Entra ID</strong>) mais n’est <strong>pas entièrement désactivé </strong>dans les plateformes de dépôt. Dans ce cas, <strong>des PATs précédemment émis</strong> peuvent rester valides, permettant à un attaquant de conserver un accès malgré la révocation du compte.</p>
<p style="text-align: justify;">D’autres vecteurs d’entrée incluent <strong>l’exploitation de CVE connues</strong> ainsi qu&rsquo;une mauvaise gestion des identifiants. De nombreuses vulnérabilités majeures sur les outils DevOps sont régulièrement découvertes, ce qui souligne la nécessité d’une gestion continue des vulnérabilités. <strong>L’exploitation</strong> d’une <strong>vulnérabilité critique</strong> peut directement <strong>fournir un accès privilégié à un outil de la chaîne</strong>.</p>
<p style="text-align: justify;">Exemples :</p>
<ul>
<li style="text-align: justify;"><span style="color: #808080;"><a style="color: #808080;" href="https://nvd.nist.gov/vuln/detail/cve-2024-23897"><strong>CVE-2024-23897</strong></a></span><strong> (Jenkins)</strong>, permettant à des attaquants non authentifiés de lire des fichiers arbitraires présents sur le contrôleur Jenkins, exposant ainsi des secrets sensibles,</li>
<li style="text-align: justify;"><span style="color: #808080;"><a style="color: #808080;" href="https://nvd.nist.gov/vuln/detail/cve-2023-7028"><strong>CVE-2023-7028</strong></a></span><strong> (GitLab)</strong>, dans laquelle les emails de réinitialisation de mot de passe pouvaient être envoyés vers une adresse électronique non vérifiée.</li>
<li style="text-align: justify;"><span style="color: #808080;"><a style="color: #808080;" href="https://nvd.nist.gov/vuln/detail/cve-2023-36561"><strong>CVE-2023-36561</strong></a></span><strong> (Azure DevOps Server)</strong>, une vulnérabilité d&rsquo;élévation de privilèges permettant à un attaquant d&rsquo;obtenir un accès non autorisé à certaines fonctionnalités d&rsquo;Azure DevOps Server, avec un impact potentiel sur les pipelines, les secrets et les ressources des projets.</li>
</ul>
<p> </p>
<p style="text-align: justify;"><strong><u>REMÉDIATION – Renforcer les contrôles d’accès aux dépôts de code source</u></strong></p>
<p style="text-align: justify;">Afin de réduire les risques liés à l&rsquo;accès initial, les organisations doivent mettre en œuvre des contrôles permettant d&#8217;empêcher les accès non autorisés, de détecter les mécanismes de persistance et de renforcer la gouvernance des identités.</p>
<p style="text-align: justify;"><em><u>Appliquer des politiques d’accès strictes et réduire l’exposition réseau</u></em></p>
<ul style="text-align: justify;">
<li>Eviter l’utilisation des <strong>comptes génériques ou partagés</strong>,</li>
<li>Utiliser des <strong>identités développeurs dédiées</strong>, séparées des comptes bureautiques standards (messagerie et outils collaboratifs), afin de réduire l’exposition au phishing et l’impact d’une compromission dans les environnements CI/CD,</li>
<li><strong>Imposer des mécanismes MFA résistants au phishing</strong> (clés FIDO2, certificats, etc),</li>
<li><strong>Mettre en place des politiques d’accès conditionnel</strong> basées sur des critères contextuels (localisation réseau, conformité des appareils).</li>
</ul>
<p style="text-align: justify;"><em><u>Mettre en place des mécanismes de détection de persistance</u></em></p>
<ul style="text-align: justify;">
<li><strong>Surveiller</strong> la création ou l’utilisation suspecte de <strong>PAT</strong> dans GitLab, ainsi que les activités anormales (ex. <strong>déploiements à des horaires inhabituels</strong>),</li>
<li>Surveiller l’ajout de <strong>nouvelles méthodes d’authentification dans Entra ID</strong>, notamment les méthodes sans mot de passe, après un événement de phishing.</li>
</ul>
<p style="text-align: justify;"><em><u>Réviser périodiquement les accès et supprimer les comptes inutilisés</u></em></p>
<ul>
<li style="text-align: justify;">Désactiver ou supprimer les <strong>comptes inutilisés ou inactifs,</strong></li>
<li style="text-align: justify;">Révoquer les accès des <strong>collaborateurs sortis de l’organisation</strong> sur tous les systèmes,</li>
<li style="text-align: justify;">Réaliser des revues d’accès périodiques, <strong>au minimum tous les six mois</strong> pour les <strong>utilisateurs</strong> <strong>à risque élevé.</strong></li>
</ul>
<p> </p>
<h3>Compromission des dépôts de code et des <em>pipelines</em></h3>
<p style="text-align: justify;"><strong>Les dépôts de code</strong> sont souvent <strong>directement intégrés aux <em>pipelines</em> CI/CD</strong>, ce qui signifie que toute modification du code peut déclencher automatiquement des processus de <em>build</em> et de déploiement. Ainsi, la compromission d’un compte développeur peut influencer la manière dont les applications sont construites et déployées.</p>
<p style="text-align: justify;">Pour <strong>réduire le risque de modifications non autorisées en production</strong>, les organisations <strong>protègent</strong> généralement les <strong>branches de production</strong> (ex. main ou master) via des <em>pull requests</em>, des validations et des contrôles automatisés. En revanche, les <strong>branches de développement</strong> sont souvent <strong>moins strictement contrôlées</strong> afin de favoriser la rapidité de développement et de test.</p>
<p style="text-align: justify;">Dans le scénario observé, l’attaquant <strong>cible la branche de développement</strong> et modifie le fichier de configuration du <em>pipeline</em> (gitlab-ci.yml), en y injectant <strong>une commande malveillante</strong> (visant à établir un accès distant) au sein d’un <strong><em>job</em> existant</strong>. Lors de l&rsquo;exécution du <em>pipeline</em>, cette commande est exécutée sur le <em>runner</em> CI/CD, ce qui permet à l&rsquo;attaquant d&rsquo;obtenir un accès distant à ce dernier.</p>
<figure id="attachment_30336" aria-describedby="caption-attachment-30336" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30336" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/4-Etablissement-dun-acces-distant-depuis-lenvironnement-dexecution-CICD.png" alt="Établissement d’un accès distant depuis l’environnement d’exécution CICD" width="911" height="574" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/4-Etablissement-dun-acces-distant-depuis-lenvironnement-dexecution-CICD.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/4-Etablissement-dun-acces-distant-depuis-lenvironnement-dexecution-CICD-303x191.png 303w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/4-Etablissement-dun-acces-distant-depuis-lenvironnement-dexecution-CICD-62x39.png 62w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/4-Etablissement-dun-acces-distant-depuis-lenvironnement-dexecution-CICD-768x484.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30336" class="wp-caption-text">Établissement d’un accès distant depuis l’environnement d’exécution CICD</figcaption></figure>
<p style="text-align: justify;"><strong>Une fois dans le <em>runner</em> CI/CD</strong>, l’attaquant peut alors <strong>exécuter du code arbitraire sur le <em>runner </em>CI/CD</strong> et, entre autres, énumérer les variables d’environnement contenant des <strong>paramètres de configurations et les secrets définis dans le projet GitLab</strong>.</p>
<p style="text-align: justify;">Cependant, il arrive que certains <strong>composants</strong> de la chaîne CI/CD <strong>ne sont pas dupliqués entre environnements</strong> pour des <strong>raisons de coûts. </strong>Dans ce cas précis, les secrets GitLab ne sont pas segmentés entre les environnements de production et de développement. Ainsi l’attaquant est en capacité de<strong> lister les secrets de production depuis le <em>runner </em>CI/CD de développement</strong>.</p>
<p style="text-align: justify;">Un exemple de <strong>variables</strong> <strong>d’environnement</strong> rencontrées dans les <em>pipelines</em> CI/CD est présenté ci-dessous.</p>
<figure id="attachment_30338" aria-describedby="caption-attachment-30338" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30338" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/5-Exemple-de-variables-de-production-accessibles-depuis-un-environnement-de-developpement.png" alt="Exemple de variables de production accessibles depuis un environnement de développement" width="911" height="404" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/5-Exemple-de-variables-de-production-accessibles-depuis-un-environnement-de-developpement.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/5-Exemple-de-variables-de-production-accessibles-depuis-un-environnement-de-developpement-431x191.png 431w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/5-Exemple-de-variables-de-production-accessibles-depuis-un-environnement-de-developpement-71x31.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/5-Exemple-de-variables-de-production-accessibles-depuis-un-environnement-de-developpement-768x341.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30338" class="wp-caption-text">Exemple de variables de production accessibles depuis un environnement de développement</figcaption></figure>
<p style="text-align: justify;">Ce flux d’attaque montre comment la manipulation de <em>pipeline</em> permet l’exécution de code dans le <em>runner</em> et l’extraction de variables sensibles de production depuis un environnement de développement.</p>
<figure id="attachment_30340" aria-describedby="caption-attachment-30340" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30340" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/6-Manipulation-du-depot-de-code.png" alt="Manipulation du dépôt de code" width="911" height="396" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/6-Manipulation-du-depot-de-code.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/6-Manipulation-du-depot-de-code-437x191.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/6-Manipulation-du-depot-de-code-71x31.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/6-Manipulation-du-depot-de-code-768x334.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30340" class="wp-caption-text">Manipulation du dépôt de code</figcaption></figure>
<p style="text-align: justify;">Parmi les identifiants récupérés dans l&rsquo;environnement CI/CD compromis<strong>, l&rsquo;attaquant obtient un jeton d&rsquo;accès à Nexus, système de gestion d&rsquo;artefacts</strong> utilisé pour stocker et distribuer les artefacts de <em>build</em> de confiance consommés par les pipelines situés en aval.</p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><strong><u>REMÉDIATION – Durcir la sécurité des dépôts de code</u></strong></p>
<p style="text-align: justify;">La sécurisation du dépôt de code est essentielle pour empêcher l’exploitation des <em>pipelines</em> CI/CD après un accès initial, car les dépôts contrôlent directement le <em>build</em> et le déploiement.</p>
<p style="text-align: justify;"><em><u>Durcir les dépôts pour limiter les déclenchements de pipeline</u></em></p>
<ul style="text-align: justify;">
<li>Configurer des <strong>branches protégées</strong> pour les branches de déploiement,</li>
<li><strong>Mettre en place des workflows d’approbation multi-niveaux</strong> pour les <em>merge requests</em> déclenchant des <em>pipelines</em> et <strong>interdire</strong> <strong>l’auto-approbation</strong>,</li>
<li>Utiliser la <strong>propriété du code (<em>ownership</em>)</strong> pour <strong>assigner</strong> et <strong>exiger</strong> <strong>l’approbation</strong> des <strong>responsables</strong> désignés sur les <strong>fichiers</strong> <strong>sensibles</strong> (ex. configuration CI/CD).</li>
</ul>
<p style="text-align: justify;"><em><u>Limiter la visibilité et les permissions</u></em></p>
<ul style="text-align: justify;">
<li><strong>Limiter les droits d’écriture</strong> aux seuls utilisateurs qui en ont besoin,</li>
<li><strong>Restreindre la visibilité des projets</strong> selon le <strong>principe du besoin de savoir</strong> (interne ou privé recommandé).</li>
</ul>
<p style="text-align: justify;"><em><u>Mettre en place une bonne hygiène de gestion des secrets</u></em></p>
<ul style="text-align: justify;">
<li><strong>Configurer des secrets CI/CD scopés au niveau projet</strong> et privilégier des identifiants éphémères,</li>
<li><strong>Détecter les secrets en clair le plus tôt possible</strong> (au moment du <em>commit</em> ou avant la publication du code) et les révoquer immédiatement en cas d’exposition,</li>
<li>Réaliser <strong>des revues périodiques</strong> (ex. audits internes, exercices de red team) sur des plateformes telles que les dépôts Git, Jira ou Confluence afin d&rsquo;identifier d&rsquo;éventuelles fuites de secrets passées inaperçues.</li>
</ul>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><strong><u>REMÉDIATION – Renforcer la sécurité des <em>runners</em> auto-hébergés</u></strong></p>
<p style="text-align: justify;">Les <em>runners</em> sont des composants critiques des <em>pipelines</em> CI/CD car ils exécutent le code et manipulent des données sensibles. S’ils sont compromis, ils peuvent permettre des mouvements latéraux, l’accès aux secrets ou la prise de contrôle de l’environnement.</p>
<p style="text-align: justify;"><em><u>Réduire l’exposition réseau et le périmètre d’exécution</u></em></p>
<ul style="text-align: justify;">
<li><strong>Restreindre le trafic réseau des <em>runners</em></strong> uniquement à ce qui est nécessaire à l’exécution des pipelines, et appliquer des <strong>contrôles réseau</strong> tels que des <strong><em>proxies</em></strong> et de la <strong>segmentation</strong> afin d’empêcher tout accès Internet non contrôlé et limiter les mouvements latéraux au sein des réseaux internes,</li>
<li><strong>Restreindre les déclenchements</strong> depuis des dépôts non fiables ou personnels.</li>
</ul>
<p style="text-align: justify;"><em><u>Considérer les runners comme des systèmes sensibles</u></em></p>
<ul style="text-align: justify;">
<li>Considérer les <em>runners</em> comme des serveurs critiques (Application régulière des <strong>correctifs</strong> du <strong>système d’exploitation</strong> et <strong>durcissement</strong>),</li>
<li>Déployer des solutions de <strong><em>Endpoint Detection and Response (EDR)</em></strong> pour la surveillance des processus, y compris dans les environnements conteneurisés.</li>
</ul>
<p style="text-align: justify;"><em><u>Utiliser des runners dédiés et éphémères</u></em></p>
<ul style="text-align: justify;">
<li>Privilégier des <strong><em>runners</em> dédiés par projet ou environnement</strong>. Le partage de <em>runners</em> entre plusieurs contextes augmente le risque de contamination inter-projets et d’escalade de privilèges,</li>
<li>Utiliser des <strong><em>runners</em> éphémères / autoscalés</strong> détruits après chaque job,</li>
<li>S’assurer que les <strong><em>runners</em> basés sur VM</strong> soient également <strong>éphémères</strong> et <strong>isolés</strong> afin qu’aucune donnée ou accès résiduel ne persiste entre les exécutions. En complément, s’appuyer <strong>uniquement sur des images de base durcies et de confiance</strong> (par exemple des <strong>golden</strong> <strong>images</strong> pour les <em>runners</em> VM et des images conteneurs approuvées), afin d’éviter toute exécution dans des environnements compromis ou non vérifiés.</li>
</ul>
<p style="text-align: justify;"><em><u>Sécuriser les runners containerisés</u></em></p>
<ul style="text-align: justify;">
<li><strong>N’autoriser que des images approuvées et de confiance dans les exécutions de pipelines</strong> afin d’éviter l’introduction de code malveillant via des images compromises ou non vérifiées,</li>
<li>Appliquer le <strong>principe du moindre privilège</strong> dans les environnements d’exécution conteneurisés,</li>
<li><strong>Éviter le mode privilégié</strong> et supprimer les capacités Linux inutiles,</li>
<li>Utiliser des moteurs de <strong><em>build</em> sécurisés (BuildKit / Buildah)</strong> lorsque le <strong>Docker-in-Docker</strong> est requis.</li>
</ul>
<p style="text-align: justify;"><em><u>Durcir les runners cloud</u></em></p>
<ul>
<li style="text-align: justify;">Lors de l’utilisation de <strong><em>runners</em> managés dans le cloud</strong>, appliquer une <strong>isolation stricte</strong> et un <strong>périmètre d’identité</strong>, <strong>restreindre l’accès aux métadonnées</strong> afin d’éviter l’exposition d’identifiants depuis l’infrastructure sous-jacente, et s’assurer que les rôles CI/CD sont gouvernés par des <strong>politiques IAM strictes en moindre privilège</strong> afin d’éviter des permissions excessives.</li>
</ul>
<p> </p>
<h3>Empoisonnement d’artefacts et attaques sur les dépendances</h3>
<p style="text-align: justify;">Dans les environnements de livraison logicielle, <strong>les systèmes de gestion d’artefacts</strong> stockent et distribuent les <strong>sorties générées par les pipelines CI/CD</strong>. Ces sorties, appelées <strong>artefacts</strong>, représentent les <strong>résultats packagés</strong> du processus de <em>build</em>, tels que des binaires compilés, des packages applicatifs ou des images de déploiement.</p>
<p style="text-align: justify;"><strong>Les artefacts</strong> sont <strong>stockés de manière centralisée</strong> afin d’assurer le versioning, la traçabilité et la réutilisation à travers plusieurs pipelines. En plus des <strong>sorties spécifiques aux applications</strong>, ces dépôts hébergent souvent également des <strong>composants partagés tels que des golden images</strong>, des <strong>bibliothèques réutilisables</strong> ou des <strong>dépendances <em>runtime</em> communes</strong>. Comme ils proviennent de processus de <em>build</em> considérés comme fiables, les <strong>artefacts</strong> sont généralement supposés sûrs et <strong>largement consommés par les pipelines</strong> <strong>en aval</strong> sans validation supplémentaire.</p>
<p style="text-align: justify;">Dans le scénario observé, <strong>l’attaquant</strong> <strong>utilise</strong> des <strong>identifiants</strong> précédemment obtenus pour <strong>s’authentifier</strong> au <strong>dépôt</strong> <strong>d’artefacts</strong> (<strong>Nexus</strong> dans cet exemple) avec des <strong>permissions</strong> <strong>excessives</strong> (lecture/écriture sur plusieurs catégories, plutôt que limitées à un périmètre applicatif unique), et obtient ainsi un accès à la fois aux artefacts de production et aux artefacts partagés.</p>
<p style="text-align: justify;">Parmi ces derniers, l’attaquant identifie un <strong>binaire</strong> <strong>Terraform</strong> <strong>légitime</strong> utilisé dans le processus de déploiement d’infrastructure (appelé ici le <strong>binaire</strong> <strong>tofu</strong>), qui est couramment approuvé et consommé par les pipelines CI/CD pour provisionner et gérer les ressources cloud.</p>
<figure id="attachment_30342" aria-describedby="caption-attachment-30342" style="width: 1394px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30342" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/7-Binaire-legitime-utilise-pour-le-deploiement-dinfrastructure.png" alt="Binaire légitime utilisé pour le déploiement d’infrastructure" width="1394" height="949" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/7-Binaire-legitime-utilise-pour-le-deploiement-dinfrastructure.png 1394w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/7-Binaire-legitime-utilise-pour-le-deploiement-dinfrastructure-281x191.png 281w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/7-Binaire-legitime-utilise-pour-le-deploiement-dinfrastructure-57x39.png 57w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/7-Binaire-legitime-utilise-pour-le-deploiement-dinfrastructure-768x523.png 768w" sizes="auto, (max-width: 1394px) 100vw, 1394px" /><figcaption id="caption-attachment-30342" class="wp-caption-text">Binaire légitime utilisé pour le déploiement d’infrastructure</figcaption></figure>
<p style="text-align: justify;">L’attaquant <strong>télécharge</strong> <strong>cet artefact localement</strong> et en <strong>modifie le contenu</strong> en injectant une <strong>logique malveillante</strong> tout en conservant sa fonctionnalité d’origine, et y <strong>intègre un comportement caché</strong> conçu pour interagir avec les services <strong>AWS Identity and Access Management (IAM)</strong> et <strong>AWS Security Token Service (STS)</strong> afin de récupérer des identifiants.</p>
<figure id="attachment_30344" aria-describedby="caption-attachment-30344" style="width: 827px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30344" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/8-Logique-de-gestion-des-identifiants-AWS-IAM-et-STS-dans-le-binaire-Terraform-malveillant.png" alt="Logique de gestion des identifiants AWS IAM et STS dans le binaire Terraform malveillant" width="827" height="716" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/8-Logique-de-gestion-des-identifiants-AWS-IAM-et-STS-dans-le-binaire-Terraform-malveillant.png 827w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/8-Logique-de-gestion-des-identifiants-AWS-IAM-et-STS-dans-le-binaire-Terraform-malveillant-221x191.png 221w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/8-Logique-de-gestion-des-identifiants-AWS-IAM-et-STS-dans-le-binaire-Terraform-malveillant-45x39.png 45w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/8-Logique-de-gestion-des-identifiants-AWS-IAM-et-STS-dans-le-binaire-Terraform-malveillant-768x665.png 768w" sizes="auto, (max-width: 827px) 100vw, 827px" /><figcaption id="caption-attachment-30344" class="wp-caption-text">Logique de gestion des identifiants AWS IAM et STS dans le binaire Terraform malveillant</figcaption></figure>
<p style="text-align: justify;">Le binaire modifié est ensuite <strong>téléversé de nouveau</strong> <strong>dans</strong> <strong>Nexus</strong>, remplaçant la version légitime par un <strong>artefact compromis.</strong></p>
<figure id="attachment_30346" aria-describedby="caption-attachment-30346" style="width: 744px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30346" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/9-Upload-du-binaire-malveillant.png" alt="Upload du binaire malveillant" width="744" height="613" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/9-Upload-du-binaire-malveillant.png 744w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/9-Upload-du-binaire-malveillant-232x191.png 232w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/9-Upload-du-binaire-malveillant-47x39.png 47w" sizes="auto, (max-width: 744px) 100vw, 744px" /><figcaption id="caption-attachment-30346" class="wp-caption-text">Upload du binaire malveillant</figcaption></figure>
<p style="text-align: justify;">À partir de ce moment, <strong>tout pipeline CI/CD consommant cet artefact</strong> récupère automatiquement le <strong>binaire compromis</strong> lors de la résolution des dépendances, car il est toujours considéré comme fiable.</p>
<figure id="attachment_30348" aria-describedby="caption-attachment-30348" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30348" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/10-Telechargement-du-binaire-malveillant-depuis-Nexus.png" alt="Téléchargement du binaire malveillant depuis Nexus" width="911" height="473" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/10-Telechargement-du-binaire-malveillant-depuis-Nexus.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/10-Telechargement-du-binaire-malveillant-depuis-Nexus-368x191.png 368w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/10-Telechargement-du-binaire-malveillant-depuis-Nexus-71x37.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/10-Telechargement-du-binaire-malveillant-depuis-Nexus-768x399.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30348" class="wp-caption-text">Téléchargement du binaire malveillant depuis Nexus</figcaption></figure>
<p style="text-align: justify;">Lors de son exécution, <strong>le binaire compromis active la charge malveillante intégrée</strong>, dont l’objectif est de <strong>récupérer le jeton d’accès AWS</strong> utilisé par le <strong>contexte d’exécution Terraform</strong> et de l’envoyer vers un serveur contrôlé par l’attaquant pour exfiltration. Il génère ensuite une <strong>sortie obfusquée</strong> <strong>encodée en Base32</strong>. Le décodage permet de reconstruire un objet JSON contenant des identifiants AWS (AccessKeyId, SecretAccessKey et SessionToken).</p>
<figure id="attachment_30350" aria-describedby="caption-attachment-30350" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30350" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/11-Payload-Base32-decode-revelant-des-identifiants-AWS.png" alt="Payload Base32 décodé révélant des identifiants AWS" width="911" height="494" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/11-Payload-Base32-decode-revelant-des-identifiants-AWS.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/11-Payload-Base32-decode-revelant-des-identifiants-AWS-352x191.png 352w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/11-Payload-Base32-decode-revelant-des-identifiants-AWS-71x39.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/11-Payload-Base32-decode-revelant-des-identifiants-AWS-768x416.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30350" class="wp-caption-text">Payload Base32 décodé révélant des identifiants AWS</figcaption></figure>
<p style="text-align: justify;">L’attaquant configure ensuite ces identifiants localement et utilise <strong>AWS STS</strong> (appel API GetCallerIdentity) pour confirmer l’usurpation d’identité du <em>runner</em> CI/CD.</p>
<figure id="attachment_30352" aria-describedby="caption-attachment-30352" style="width: 910px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30352" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/12-Acces-AWS.png" alt="Accès AWS" width="910" height="182" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/12-Acces-AWS.png 910w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/12-Acces-AWS-437x87.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/12-Acces-AWS-71x14.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/12-Acces-AWS-768x154.png 768w" sizes="auto, (max-width: 910px) 100vw, 910px" /><figcaption id="caption-attachment-30352" class="wp-caption-text">Accès AWS</figcaption></figure>
<p style="text-align: justify;">Cette illustration montre la chaîne d’attaque : compromission d’artefact, injection de logique malveillante, propagation via les pipelines CI/CD et vol final d’identifiants AWS menant à la compromission de l’environnement.</p>
<figure id="attachment_30354" aria-describedby="caption-attachment-30354" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30354" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/13-Compromission-Artifactory-corruption-des-dependances.png" alt="Compromission Artifactory - corruption des dépendances" width="911" height="450" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/13-Compromission-Artifactory-corruption-des-dependances.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/13-Compromission-Artifactory-corruption-des-dependances-387x191.png 387w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/13-Compromission-Artifactory-corruption-des-dependances-71x35.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/13-Compromission-Artifactory-corruption-des-dependances-768x379.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30354" class="wp-caption-text">Compromission Artifactory &#8211; corruption des dépendances</figcaption></figure>
<p style="text-align: justify;">En conséquence, l’attaquant obtient un accès non autorisé aux ressources AWS sous une identité légitime.</p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><strong><u>REMÉDIATION – Améliorer la gestion des accès à l’Artifactory</u></strong></p>
<p style="text-align: justify;">Les dépôts d’artefacts tels que Nexus sont des composants clés des pipelines CI/CD utilisés pour stocker et distribuer les dépendances et artefacts de <em>build</em>. Ce sont des cibles à forte valeur pour les attaques de chaîne d’approvisionnement.</p>
<p style="text-align: justify;">La sécurité nécessite des contrôles d’accès forts, une gouvernance des dépendances et une surveillance continue de l’intégrité.</p>
<p style="text-align: justify;"><em><u>Durcir la plateforme d’artefacts</u></em></p>
<ul style="text-align: justify;">
<li><strong>Autoriser une large lecture du dépôt uniquement sous deux conditions :</strong> depuis le service nécessaire (CI/CD) et si une gestion de mots de passe dans les dépendances existe,</li>
<li>Restreindre fortement les <strong>permissions d’écriture,</strong></li>
<li>Modifier les <strong>identifiants par défaut.</strong></li>
</ul>
<p style="text-align: justify;"><em><u>Analyse de composition logicielle (SCA)</u></em></p>
<ul style="text-align: justify;">
<li><strong>Appliquer une analyse de composition logicielle</strong> aux <strong>dépendances internes</strong> (stockées dans des dépôts locaux) ainsi qu’aux <strong>dépendances externes</strong> (récupérées depuis des dépôts distants ou proxy) afin de détecter les vulnérabilités connues et les composants obsolètes.</li>
</ul>
<p style="text-align: justify;"><em><u>Restreindre les sources d’artefacts</u></em></p>
<ul>
<li style="text-align: justify;"><strong>Maintenir une whitelist de dépôts de confiance</strong> afin de garantir que seules des sources approuvées sont utilisées,</li>
<li style="text-align: justify;"><strong>Appliquer des contrôles au niveau des dépôts </strong>pour exclure les versions non approuvées ou vulnérables, par exemple dans Nexus ou via des règles d’exclusion dans <strong>JFrog</strong> Artifactory,</li>
<li style="text-align: justify;"><strong>Empêcher les pipelines CI/CD d’accéder à des sources externes</strong> <strong>non</strong> <strong>fiables</strong> en imposant des frontières strictes entre dépôts.</li>
</ul>
<p> </p>
<h3>Compromission cloud via abus des workloads CI/CD</h3>
<p style="text-align: justify;">Dans les environnements cloud, <strong>les <em>runners</em> CI/CD</strong> sont généralement associés à des <strong>rôles IAM privilégiés</strong> pour effectuer des opérations de déploiement, incluant la création, modification et suppression de ressources d’infrastructure. Ces rôles incluent souvent des <strong>permissions larges</strong> telles que <strong>AdministratorAccess</strong> ou des politiques personnalisées trop permissives, permettant au <em>runner</em> d’interagir avec un large ensemble de services AWS, incluant les services de calcul, le stockage et la gestion des identités.</p>
<p style="text-align: justify;">Lorsqu’un <strong><em>runner</em> CI/CD est compromis</strong>, un attaquant peut <strong>directement abuser de ces privilèges</strong> sans nécessiter d’escalade supplémentaire. Cela peut conduire à un <strong>accès immédiat</strong> à des ressources sensibles telles que des <strong>buckets S3</strong> ou <strong>des bases de données RDS</strong>, permettant <strong>l’exfiltration de données</strong>. L’attaquant peut également exploiter les <strong>permissions</strong> <strong>IAM</strong> pour assumer d’autres rôles dans <strong>d’autres comptes ou projets AWS</strong>, facilitant les mouvements latéraux au sein de l’organisation. En outre, <strong>l’accès aux services de <em>compute</em> </strong>peut être utilisé pour déployer, modifier ou maintenir des charges malveillantes, aboutissant finalement à une <strong>compromission</strong> <strong>complète</strong> de <strong>l’environnement cloud</strong>.</p>
<p> </p>
<h2>De la compromission initiale du développeur à la prise de contrôle cloud : vue complète de la chaîne CI/CD</h2>
<p style="text-align: justify;">la chaîne d’attaque CI/CD commence par la compromission initiale du développeur jusqu’à la prise de contrôle complète de l’environnement cloud.</p>
<p style="text-align: justify;">L’illustration suivante met en évidence <strong>les opportunités clés de détection et de surveillance à travers l’écosystème CI/CD.</strong> Elle montre comment les données de télémétrie de sécurité peuvent être collectées et corrélées tout au long des <strong>différentes étapes de la chaîne d&rsquo;attaque CI/CD</strong>, depuis les <strong>activités de développement </strong>jusqu&rsquo;aux <strong><em>runners</em></strong> <strong>CI/CD</strong>, aux <strong>dépôts d&rsquo;artefacts</strong> et aux <strong>opérations IAM dans le cloud</strong>.</p>
<figure id="attachment_30356" aria-describedby="caption-attachment-30356" style="width: 911px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-30356" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/14-Chaine-dattaque-Detection.png" alt="Chaîne d’attaque - Détection" width="911" height="409" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/14-Chaine-dattaque-Detection.png 911w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/14-Chaine-dattaque-Detection-425x191.png 425w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/14-Chaine-dattaque-Detection-71x32.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/07/14-Chaine-dattaque-Detection-768x345.png 768w" sizes="auto, (max-width: 911px) 100vw, 911px" /><figcaption id="caption-attachment-30356" class="wp-caption-text">Chaîne d’attaque &#8211; Détection</figcaption></figure>
<p style="text-align: justify;">Dans l’ensemble, bien que les pipelines CI/CD élargissent significativement la surface d’attaque, ils offrent également de multiples points d’interception stratégiques où une journalisation centralisée et une surveillance de sécurité peuvent permettre une détection précoce et une réponse aux activités malveillantes.</p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">En conclusion, pour obtenir <strong>un <em>pipeline</em> CI/CD sécurisé</strong>, la sécurité doit être pensée de bout en bout, des environnements développeurs jusqu’aux systèmes de production.</p>
<p style="text-align: justify;"><strong>Les développeurs sont le premier maillon de la chaîne</strong>, et la sécurisation de leurs comptes est essentielle. Cela doit être complété par de bonnes pratiques telles que la gestion sécurisée des secrets et la sensibilisation régulière à la sécurité.</p>
<p style="text-align: justify;">Il est également crucial d’assurer une <strong>bonne isolation entre environnements</strong> et d’appliquer strictement le <strong>principe du moindre privilège</strong>, aussi bien pour les <strong>utilisateurs</strong> que pour les <strong>comptes</strong> <strong>de</strong> <strong>service</strong>.</p>
<p style="text-align: justify;">Les problèmes de sécurité ne peuvent pas être corrigés par de simples correctifs si la conception globale du <em>pipeline</em> est faible.</p>
<p style="text-align: justify;">Enfin, <strong>les cas d’usage de déploiement</strong> doivent être définis clairement dès le départ, car ils influencent directement l’architecture et les choix IAM.</p>
<p style="text-align: justify;">Au-delà des aspects techniques, <strong>la sécurité CI/CD doit être évaluée en continu via des audits techniques réguliers</strong> ainsi que des <strong>revues organisationnelles</strong> du cycle de développement afin de maintenir les risques sous contrôle.</p>
<p style="text-align: justify;">Pour une perspective plus large et des <strong>recommandations de haut niveau</strong> sur le positionnement du CI/CD comme pilier du système d’information, voir l’article RiskInsight : « <a href="https://www.riskinsight-wavestone.com/2025/09/ci-cd-la-nouvelle-pierre-angulaire-du-si/"><span style="color: #808080;">CI/CD: the new cornerstone of the information system</span></a><span style="color: #808080;"> </span>».</p>
<p> </p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/07/securite-ci-cd-attaque-de-chaine-dapprovisionnement-depuis-un-developpeur-compromis/">Sécurité CI/CD : attaque de chaîne d’approvisionnement depuis un développeur compromis</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2026/07/securite-ci-cd-attaque-de-chaine-dapprovisionnement-depuis-un-developpeur-compromis/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sécurité orientée cloud : Adaptation à une nouvelle réalité</title>
		<link>https://www.riskinsight-wavestone.com/2026/01/securite-orientee-cloud-adaptation-a-une-nouvelle-realite/</link>
					<comments>https://www.riskinsight-wavestone.com/2026/01/securite-orientee-cloud-adaptation-a-une-nouvelle-realite/#respond</comments>
		
		<dc:creator><![CDATA[Gautier PLANTE]]></dc:creator>
		<pubDate>Wed, 28 Jan 2026 09:08:21 +0000</pubDate>
				<category><![CDATA[Deep-dive]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[ABAC]]></category>
		<category><![CDATA[AWS]]></category>
		<category><![CDATA[Azure]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[Coeur de confiance]]></category>
		<category><![CDATA[Coeur de confiance Cloud]]></category>
		<category><![CDATA[Cybersécurité]]></category>
		<category><![CDATA[enterprise access model]]></category>
		<category><![CDATA[IAM Cloud]]></category>
		<category><![CDATA[Landing Zone]]></category>
		<category><![CDATA[REX RedTeam]]></category>
		<category><![CDATA[sécurité cloud]]></category>
		<category><![CDATA[Socle de sécurité cloud]]></category>
		<category><![CDATA[Tiering]]></category>
		<category><![CDATA[Trust Core Cloud]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=28879</guid>

					<description><![CDATA[<p>Les audits et missions de redteam menés par Wavestone ont mis en évidence un déséquilibre frappant entre la maturité des protections des infrastructures on-premise et celles déployées dans le cloud. Les infrastructures on-premise sont généralement bien identifiées, maîtrisées et protégées...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/01/securite-orientee-cloud-adaptation-a-une-nouvelle-realite/">Sécurité orientée cloud : Adaptation à une nouvelle réalité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Les audits et missions de redteam menés par Wavestone ont mis en évidence un <strong>déséquilibre frappant entre la maturité des protections des infrastructures on-premise et celles déployées dans le cloud</strong>. Les infrastructures on-premise sont généralement bien identifiées, maîtrisées et protégées selon des standards éprouvés, tandis que leurs équivalents cloud restent souvent sous-évalués en termes de risques et par conséquent insuffisamment sécurisés.</p>
<p> </p>
<h2>Le principe de tiering préconisé sur les infrastructures on-premise est-il applicable au cloud ?</h2>
<h3>Évolution du modèle de sécurité</h3>
<p>Dans les environnements on-premise, en particulier <strong>Active Directory</strong>, la sécurité des infrastructures s&rsquo;appuie généralement sur une <strong>segmentation stricte en trois niveaux (T0, T1 et T2)</strong> permettant d’isoler les systèmes d’administration critiques (T0), les serveurs (T1) et les postes utilisateurs (T2) afin de limiter les risques de propagation.</p>
<p>Cette organisation hiérarchique et périmétrique est inhérente au monde AD et ne peut être directement appliquée au cloud pour ces deux principales raisons :</p>
<ul>
<li><strong>Les portails sont centralisés</strong>: une grande diversité d’administrateurs aux droits différents interagit avec la même URL.</li>
<li><strong>La frontière entre les niveaux d’administration est complexifiée</strong>: le principe de permission fine, par rôle (RBAC), par attribut de ressources (ABAC), selon certaines conditions (provenance, risque, conformité, méthode d’authentification…) permet de configurer des accès très précisément, mais complexifie et floute la vision globale des permissions.</li>
</ul>
<p>Afin de proposer une réponse à ce nouveau paradigme, Microsoft a publié son Enterprise Access Model (<span style="color: #333399;"><a style="color: #333399;" href="https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model">décrit ici</a></span>), mettant en évidence 3 principaux plans : le <em>Control Plane</em>, <em>Management Plane</em> et <em>Data Plane</em>.</p>
<p>Ce modèle reprend la <strong>criticité « en cascade »</strong>, mais simplifiant :</p>
<ul>
<li>les 3 tiers en <strong>2 accès : administrateur vs utilisateur</strong><strong> </strong>;</li>
<li>les flux d’administration en accès au portail ;</li>
<li>la criticité des serveurs en les centralisant dans le <em>Data plane.</em></li>
</ul>
<p>Une illustration de l’ancien et du nouveau modèle :</p>
<figure id="attachment_28880" aria-describedby="caption-attachment-28880" style="width: 1669px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28880" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud.png" alt="Du modèle en trois tiers à la complexité du cloud" width="1669" height="818" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud.png 1669w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud-390x191.png 390w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud-71x35.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud-768x376.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/1-Du-modele-en-trois-tiers-a-la-complexite-du-cloud-1536x753.png 1536w" sizes="auto, (max-width: 1669px) 100vw, 1669px" /><figcaption id="caption-attachment-28880" class="wp-caption-text"><em>Du modèle en trois tiers à la complexité du cloud</em></figcaption></figure>
<p> </p>
<p>Ce nouveau modèle met particulièrement en valeur 3 éléments :</p>
<ul>
<li>L’<strong>identité</strong> de l’utilisateur : accès privilégié vs accès utilisateur ;</li>
<li>La <strong>donnée</strong> et les services : au détriment des serveurs ;</li>
<li>La <strong>méthode d’accès</strong> aux portails web d’administration.</li>
</ul>
<p>L’inversion des importances entre « serveurs » et « portails web » abstrayant l’Active Directory est un changement radical.</p>
<p>Cependant, très peu (si ce n’est aucune) grande structure en est à ce niveau d’abandon de son SI « legacy », une grande partie sera dans un état transitoire où <strong>ce SI aura été virtualisé sur un Cloud</strong> afin de se séparer de ses datacenters, mais dont les modalités d’administration sont restées les mêmes.</p>
<p>Ces entreprises doivent donc traiter avec un <em>tiering model</em> désuet et un Enterprise Access Model décoléré des risques et besoins de sécurité actuels.</p>
<p>Pour la suite de cet article, nous prendrons comme exemple la société <strong>Tartampion</strong>, qui vient de terminer un programme <strong>Move-to-Cloud de 3 ans sur AWS</strong>. Le bilan est le suivant :</p>
<ul>
<li>Une Landing Zone a été créée, les applications déjà sur AWS y ont été intégrées</li>
<li>Les Data Center ont été fermés</li>
<li>Pris par le manque de temps et de moyens, une majeure partie du SI a été incorporé en lift and shift, incluant des solutions métiers, réseau, bastion et AD.</li>
</ul>
<p> </p>
<h3>Un SI hybride et virtualisé qui pose problème</h3>
<p>Selon l’EAM, les portails Azure et AWS sont affichés au même niveau (le <em>management plane</em>) au rang T1, sans autre forme de distinction. Or ces 2 environnements cloud sont à eux seuls le support de nombreux SI, utilisés par de multiples collaborateurs avec des niveaux de droits et d’impacts très variés.</p>
<p>Pour illustrer les précédents propos, mettons de côté l’aspect <em>Digital Workplace</em> (suite O365) et prenons 3 comptes AWS issus d’une Landing Zone de Tartampion, supportant différents services d’infrastructure :</p>
<figure id="attachment_28882" aria-describedby="caption-attachment-28882" style="width: 1695px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28882" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise.png" alt="Exemple de comptes AWS pour une entreprise" width="1695" height="345" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise.png 1695w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise-437x89.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise-71x14.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise-768x156.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/2-Exemple-de-comptes-AWS-pour-une-entreprise-1536x313.png 1536w" sizes="auto, (max-width: 1695px) 100vw, 1695px" /><figcaption id="caption-attachment-28882" class="wp-caption-text"><em>Exemple de comptes AWS pour une entreprise</em></figcaption></figure>
<p> </p>
<p>En se fiant au référentiel proposé par Microsoft, ces <strong>trois comptes AWS devraient appartenir au Management plane</strong> avec un niveau de sécurité T1. Cependant, en cas de compromission d’un des 3 comptes par un attaquant, les impacts seraient très différents.</p>
<p>Si la Landing Zone est correctement implémentée, la compromission d’un compte de Sandbox n’aurait que très peu d’impact, tandis que celle du Master Account entrainerait celle de tous les comptes et ressources sous-jacentes.</p>
<p>Un exemple de découpage plus adéquat serait le suivant :</p>
<figure id="attachment_28884" aria-describedby="caption-attachment-28884" style="width: 1679px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28884" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model.png" alt="Tiering Model étendu à l’Enterprise Access Model" width="1679" height="674" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model.png 1679w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model-437x175.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model-71x29.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model-768x308.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/3-Tiering-Model-etendu-a-lEnterprise-Access-Model-1536x617.png 1536w" sizes="auto, (max-width: 1679px) 100vw, 1679px" /><figcaption id="caption-attachment-28884" class="wp-caption-text"><em>Tiering Model étendu à l’Enterprise Access Model</em></figcaption></figure>
<p> </p>
<p>L’Enterprise Access Model par Microsoft est un <strong>framework macroscopique</strong> permettant d’initier une base de découpage des services cloud, mais <strong>qui reste à adapter</strong> selon la criticité des SI concernés.</p>
<p>Comment le rendre pertinent ? Pour répondre, il faut comprendre les scénarios d’attaque exploitant les services cloud.</p>
<p> </p>
<h2>Le Cloud vu de l’attaquant</h2>
<h3>5 principes du cloud favorisant les attaques</h3>
<p>Premièrement, les <strong>infrastructures cloud sont par défaut exposées sur Internet</strong>, contrairement aux ressources sensibles d’un SI. Ainsi, un phishing réussi conduit très probablement à un accès sur le Cloud.</p>
<p>Deuxièmement, les entreprises ont aujourd’hui des <strong>organisations hybrides</strong> (on-premise et cloud) :</p>
<ul>
<li>Les <strong>infrastructures cloud sont reliées au reste du SI on-premise</strong> ;</li>
<li>Les <strong>postes de travail</strong> peuvent également être <strong>hybrides</strong> et gérés par un service cloud comme Intune. Les permissions pour utiliser ce service sont gérées dans Entra ID ;</li>
<li>Les identités sont souvent des <strong>comptes synchronisés</strong>, cela concerne également les comptes d’administration.</li>
</ul>
<p>Les organisations hybrides peuvent faciliter les latéralisations entre le cloud et l’on-premise.</p>
<p>Troisièmement, la <strong>gestion des identités est très complexe avec différentes portées</strong>. Par exemple, Entra ID permet de gérer les accès à Azure et M365 aussi bien pour des utilisateurs, que des applications que des comptes de service.</p>
<p>Pour compléter, les notions de cybersécurité liées au Cloud sont encore relativement nouvelles et méconnues pour certaines équipes « legacy », comme le SOC/CERT, le réseau&#8230; Les <strong>ressources cloud les plus sensibles ne sont pas systématiquement identifiées, protégées et surveillées</strong>.</p>
<p>Enfin, même si des mécanismes de détection natifs sont présents, ils ne sont <strong>pas toujours interconnectés avec les SIEM/SOAR</strong>, ce qui ralentit les capacités d’intervention. Une récente opération Purple Team menée sur des infrastructures Azure et AWS a confirmé que les <strong>outils de détection natifs ont une capacité de détection limitée</strong>. Il s’agit d’un <strong>constat retrouvable dans les Red Team puisqu’avec une démarche « OpSec », les outils de détection cloud sont rarement capables d’identifier une attaque en cours</strong>.</p>
<p> </p>
<h3>REX de nos tests d’intrusion &amp; Red Team</h3>
<p>Issus des opérations de Red Team menées récemment, ces chemins d’attaques spécifiques aux environnements cloud sont témoin des impacts et des facilités qu’il est possible d’avoir pour s’élever en privilège jusqu’à obtenir des accès très permissifs :</p>
<figure id="attachment_28886" aria-describedby="caption-attachment-28886" style="width: 1689px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28886" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team.png" alt="Exemples de chemins d’attaques Cloud exploités en Red Team" width="1689" height="761" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team.png 1689w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team-424x191.png 424w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team-71x32.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team-768x346.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/4-Exemples-de-chemins-dattaques-Cloud-exploites-en-Red-Team-1536x692.png 1536w" sizes="auto, (max-width: 1689px) 100vw, 1689px" /><figcaption id="caption-attachment-28886" class="wp-caption-text"><em>Exemples de chemins d’attaques Cloud exploités en Red Team</em></figcaption></figure>
<p> </p>
<p>Le premier scénario, effectué sur AWS, est décrit ci-dessous, les deux autres ont été analysés dans une série d’articles Risk Insight disponible <span style="color: #333399;"><a style="color: #333399;" href="https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-1-2-comment-definir-un-control-plane-pour-securiser-ladministration-cloud-et-empecher-une-compromission-a-grande-echelle/">ici</a></span>.</p>
<p> </p>
<p><span style="text-decoration: underline;"><em><strong>Reconnaissance et Accès initial</strong></em></span></p>
<p>Des catégories d’employés sont généralement <strong>ciblées afin de compromettre une personne avec des droits intéressants dans le SI (Développeur, Support, OPS…)</strong>. Un moyen souvent utilisé est d’utiliser du <strong>phishing</strong>. Les mécanismes de <a href="https://www.riskinsight-wavestone.com/2025/07/phishing-evilginx-pousse-a-ses-limites/"><span style="color: #333399;">phishing actuel</span></a> sont capables de contourner l’usage de mots de passe complexe et la plupart des méthodes de MFA (Multi-Factor Authentication).</p>
<p> </p>
<p><em><span style="text-decoration: underline;"><strong>Escalade de privilèges et mouvements latéraux</strong></span></em></p>
<p>Dans le premier scénario, un développeur compromis possédait des accès à une ferme Citrix. Les <strong>environnements Citrix ne sont pas simples à durcir complètement </strong>et quelques vulnérabilités d’échappement ont permis à la Red Team d’avoir un accès au serveur sous-jacent.</p>
<p>Les informations récoltées sur la machine ont indiqué que le serveur pouvait être hébergé sur AWS. Cela s’est vérifié en essayant d’<strong>accéder aux métadonnées AWS du serveur </strong>: l’instance avait des droits sur le compte AWS du client. La machine virtuelle du Citrix possédait le rôle « <strong>AmazonEC2FullAccess </strong>» lui permettant des actions de gestion sur les EC2 du même compte AWS.</p>
<p>À l’aide de la CLI AWS, les autres EC2 ont été listées. Un contrôleur de domaine du client était présent dans ce compte AWS. C’est une pratique courante de vouloir regrouper dans un même compte, généralement appelé « Shared Services », les services qui ont pour vocation d’être utilisés par plusieurs projets. Il est néanmoins recommandé de <strong>vérifier que la criticité des services partagés soit homogène de sorte à pouvoir appliquer un durcissement adéquat</strong> sur le compte, ou les séparer en plusieurs environnements.</p>
<p> </p>
<p><em><span style="text-decoration: underline;"><strong>Actions sur les trophées</strong></span></em></p>
<p>À partir du rôle AWS du serveur Citrix, <strong>une sauvegarde instantanée du contrôleur de domaine a été faite puis téléchargée</strong>. Les sauvegardes d’un contrôleur de domaine contiennent tous les fichiers de la machine, y compris les fichiers les plus sensibles, comme la base <em>ntds.dit</em>, qui contient les informations et secrets de tous les utilisateurs du domaine. L’exfiltration de cette base se traduit en la compromission totale du domaine AD concerné.</p>
<p>Ce scénario illustre l&rsquo;un des chemins d’attaques qui ont été exploités lors des opérations de redteam, facilité par le manque de visibilité sur les impacts que peuvent avoir une ressource compromise hébergée sur le cloud.</p>
<p> </p>
<h3>Des impacts plus rapides et plus forts</h3>
<p>Les attaques déjà possibles sur un SI on-premise peuvent être reproduites et même <strong>accélérées grâce aux fonctionnalités du cloud</strong>. Par exemple, le chiffrement de buckets S3 (service de stockage de fichiers) à partir d’une clé KMS (de chiffrement) d’un autre compte AWS imite le chiffrement massif de données, ou l’utilisation de la fonctionnalité « lifecycle » permet une suppression de tous les objets en moins de 24 heures, peu importe la quantité de données.</p>
<p>De nouvelles attaques sont également apparues comme le « <strong>Hijack de souscription</strong> » qui permet de <strong>rattacher un abonnement d’une organisation Azure à une autre</strong> et ainsi de voler toutes les données qu’il contient et empêcher les actions de remédiation. Cette attaque est réalisable en quelques clics depuis l’interface web Azure.</p>
<p> </p>
<h2>Identification et protection du cœur de confiance cloud</h2>
<h3>Identification du Cœur de confiance</h3>
<p><strong>Le cœur de confiance</strong> adopte une approche centrée sur la priorisation des actifs, qui diffère du modèle de tiering ou de l’Enterprise Access Model de Microsoft. Contrairement à ces modèles qui proposent un découpage prédéfini, il n’existe pas de grille universelle : chaque organisation doit identifier elle-même quelles ressources méritent le plus haut niveau de protection. L’idée est d’établir un <strong>cercle restreint de ressources critiques</strong> (qu’elles soient cloud ou on-premise) puis de <strong>déployer des niveaux de protection dégressifs à mesure que l’on s’éloigne de ce cœur</strong><strong>.</strong></p>
<p>L’identification du cœur de confiance repose sur <strong>deux grands critères</strong> :</p>
<ul>
<li><strong>Criticité métier</strong>: ce sont les ressources qui concentrent la valeur et la continuité des activités de l’entreprise. Si elles venaient à être perdues ou compromises, les conséquences seraient immédiates pour le fonctionnement quotidien et financièrement. Un environnement SharePoint contenant la donnée intellectuelle / brevets en est un exemple courant ;</li>
<li><strong>Criticité SI</strong>: il s’agit des ressources qui assurent l’administration du système d’information et qui disposent d’un niveau d’accès élevé. Leur compromission aurait un impact majeur sur l’ensemble du SI et permettrait d’avoir l’impact métier précédemment énoncé. On retrouve ici les contrôleurs de domaine ou encore les services d’IAM Cloud comme Entra ID et AWS Identity Center.</li>
</ul>
<p><em><strong> </strong></em></p>
<p>Cette cartographie n’est jamais totalement tranchée. Pour certains éléments, la posture à adopter reste plus floue, deux exemples l’illustrent bien :</p>
<ul>
<li><strong>L’EDR</strong>: élément de sécurité évident d’un SI, systématiquement déployé tant sur les postes de travail que sur les serveurs cloud <strong>et</strong> on-premise, sa console d’administration est de plus en plus souvent exposée sur internet, et permet d’exécuter des commandes arbitraires sur les équipements qui en sont équipés.</li>
<li><strong>Les chaînes CICD</strong>: un savant, mais complexe agglomérat d’applications s’appelant entre elles, dont l’accès (le gestionnaire de code : GitLab, GitHub…) est offert à l’ensemble des collaborateurs et les droits sur le SI (manipulé par les runners de déploiement) sont bien souvent administrateur de l’ensemble des infrastructures cloud. Sur l’ensemble des <strong>Red Team effectués en 2024 &amp; 2025, 80% ont exploité des vulnérabilités associées</strong> à ses solutions pour progresser dans leur opération, voire obtenir des trophées de compromission par ce biais.</li>
</ul>
<p> </p>
<p>Afin d’identifier le « noyau dur » du cœur de confiance, qu’on appellera <strong>socle de sécurité</strong>, on peut reprendre les préceptes de l’ancien T0 : la compromission d’un de ses éléments entrainerait probablement celles des autres, et par cascade de la majeure partie du SI.</p>
<p>En supposant que vos applications appliquent un correct cloisonnement interutilisateur (l’intégralité de vos sites SharePoint n’est pas accessible par tous, n’est-ce pas ?), les références aux prochaines applications seront à comprendre comme des <strong>accès administrateurs</strong> / super-utilisateurs à ces dernières, et non simple utilisateur.</p>
<p>Voici l’une des représentations possibles pour un cœur de confiance hybride :</p>
<figure id="attachment_28888" aria-describedby="caption-attachment-28888" style="width: 1680px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28888" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance.png" alt="Protéger l’essentiel, votre cœur de confiance" width="1680" height="998" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance.png 1680w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance-322x191.png 322w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance-66x39.png 66w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance-120x70.png 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance-768x456.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/5-Proteger-lessentiel-votre-coeur-de-confiance-1536x912.png 1536w" sizes="auto, (max-width: 1680px) 100vw, 1680px" /><figcaption id="caption-attachment-28888" class="wp-caption-text"><em>Protéger l’essentiel, votre cœur de confiance</em></figcaption></figure>
<p> </p>
<p>Dans cette représentation, il y a côté on-premise :</p>
<ul>
<li><strong>Le T0</strong> avec ses contrôleurs de domaine, l’ADCS, et potentiellement la PKI, le bastion, la console EDR…</li>
<li><strong>Le T1</strong> en intégrant en plus les applications métiers à fort impact.</li>
</ul>
<p>Et côté Cloud, on retrouve :</p>
<ul>
<li>Au cœur le <strong>Control Plane</strong> (AWS Orga &amp; Identity Center, Entra ID) ainsi que les modules de la Landing Zone supportant le <strong>T0</strong> (si une partie du T0 est hébergée dans le Cloud) ;</li>
<li>En s’éloignant, les diverses <strong>consoles d’administration</strong> des suites de bureautique, et de management des infrastructures ou des applications.</li>
</ul>
<p>En établissant ce diagramme, il est important de garder à l’esprit que :</p>
<ul>
<li><strong>L’IT sert au métier</strong> et quand bien même la zone centrale du cœur de confiance est principalement occupée par des briques techniques, il convient d’inscrire ses solutions critiques ;</li>
<li><strong>Les</strong> <strong>chaînes de dépendance</strong> / compromission ont beaucoup d’impact sur les <strong>choix d’architecture</strong>: positionner un AD sur AWS, ou déployer un EDR sur un AD peut soudainement créer de nombreux chemins de compromission et de rebond entre les 2 mondes.</li>
</ul>
<p>Enfin, la construction d’un cœur de confiance ne peut pas se limiter à une logique de classification statique. Elle doit reposer sur <strong>une approche qui évalue la criticité de chaque actif et le risque qu’il introduit</strong> (une entreprise de développement de logiciel ne positionnera surement son Git au même niveau qu’une entreprise de travaux public).</p>
<p> </p>
<h3>Protection du cœur de confiance cloud</h3>
<p>La sécurité du cœur de confiance va reposer sur les deux traditionnels facteurs de risques :</p>
<ul>
<li><strong>Réduire l’impact</strong>: comment empêcher un utilisateur compromis ou malveillant de se connecter aux portails cloud sur un navigateur et de faire des actions sensibles en quelques clics, comme faire une sauvegarde d’un contrôleur de domaine hébergé sur une VM ou supprimer les sauvegardes de données de production ?</li>
<li><strong>Réduire la probabilité </strong>: comment réduire les risques d’accès illégitimes à partir d’un cookie de session volé par phishing, de la compromission d’un poste de travail ou de la réutilisation de mots de passe des utilisateurs ?</li>
</ul>
<p> </p>
<p><strong><em><span style="text-decoration: underline;">Protection du socle de sécurité cloud</span></em></strong></p>
<p>Concernant le « socle de sécurité » cloud il est possible de hiérarchiser les environnements par criticité selon cette échelle macroscopique :</p>
<figure id="attachment_28890" aria-describedby="caption-attachment-28890" style="width: 1641px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28890" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud.png" alt="Les principaux niveaux du socle de sécurité cloud" width="1641" height="678" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud.png 1641w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud-437x181.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud-71x29.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud-768x317.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/6-Les-principaux-niveaux-du-socle-de-securite-cloud-1536x635.png 1536w" sizes="auto, (max-width: 1641px) 100vw, 1641px" /><figcaption id="caption-attachment-28890" class="wp-caption-text"><em>Les principaux niveaux du socle de sécurité cloud</em></figcaption></figure>
<p> </p>
<p>En fonction des équipes en charge et de la complexité de les inclure dans un niveau de protection particulièrement élevée, certaines organisations font le choix d’exclure des environnements dont la compromission ne permettrait pas une latéralisation dangereuse, telle que ceux de FinOps, de détection, le Digital Workplace…</p>
<p>La sécurisation du socle de sécurité cloud repose sur 2 principaux points :</p>
<ul>
<li>Une <strong>hygiène</strong> impeccable : configuration IAM épurée, respect du moindre privilège, procédure de déploiement, limitation des ressources au strict nécessaire…</li>
<li>Une couche de sécurité passive / active : déploiement de <strong>politiques</strong> (SCP sur AWS, Policy sur Azure) interdisant explicitement certaines actions, ou la manipulation de certaines ressources, et <strong>règles de détection</strong> afin de lever une alerte en cas de modification d’une politique ou l’occurrence d’un de ses évènements protégés ;</li>
</ul>
<p>Ces politiques peuvent efficacement être associées à une <strong>stratégie de tagging</strong> afin d’appliquer, en plus du modèle RBAC (Role Based Access Control) un modèle ABAC (Attribute Based Access Control).</p>
<p>Par exemple il est possible de tagger différentes ressources avec une clé « tiering » et une valeur entre « T0 », « T1 », « T2 » puis de déployer cet ensemble de stratégies :</p>
<ul>
<li>Interdire toute action visant une ressource taguée tiering par une identité dont la valeur de son propre tag tiering n’est pas équivalente ;</li>
<li>Interdire la manipulation de tag tiering, sauf pour un rôle bien précis.</li>
</ul>
<p>Et voilà comment, en quelques tags et 2 SCP, il est possible de répliquer le tiering model de Microsoft (quelques exceptions peuvent subvenir).</p>
<p> </p>
<p><strong><em><span style="text-decoration: underline;">Protections des identités et des accès</span></em></strong></p>
<p>Pour protéger les utilisateurs, 3 thématiques de durcissement peuvent être mises en place :</p>
<ul>
<li><strong>Identité </strong>: avec quel compte l’utilisateur se connecte-t-il aux interfaces d’administration cloud ? Comment les droits sont-ils obtenus ?</li>
<li><strong>MFA</strong> : l’identité est-elle protégée avec une authentification multifactorielle résistante aux attaques de phishing ?</li>
<li><strong>Provenance</strong>: à partir de quelle plateforme l’utilisateur se connecte-t-il aux interfaces d’administration cloud ? La plateforme est-elle managée, et saine ?</li>
</ul>
<p>Plusieurs niveaux de protection sont envisageables afin de protéger les administrateurs cloud :</p>
<figure id="attachment_28892" aria-describedby="caption-attachment-28892" style="width: 1684px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-full wp-image-28892" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque.png" alt="Aligner le niveau de protection avec le niveau de risque" width="1684" height="835" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque.png 1684w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque-385x191.png 385w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque-71x35.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque-768x381.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/01/7-Aligner-le-niveau-de-protection-avec-le-niveau-de-risque-1536x762.png 1536w" sizes="auto, (max-width: 1684px) 100vw, 1684px" /><figcaption id="caption-attachment-28892" class="wp-caption-text"><em>Aligner le niveau de protection avec le niveau de risque</em></figcaption></figure>
<p> </p>
<p>Afin de protéger le <strong>cœur de confiance restreint</strong>, représenté par les triples cadenas, il est recommandé de mettre en œuvre les <strong>facteurs d’authentification les plus robustes</strong>. Cela inclut l’utilisation d’un compte dédié à l’administration cloud, l’activation d’une authentification multifactorielle physique (exemple : clé de sécurité FIDO2) et le recours à un poste de travail spécifiquement réservé aux opérations sur ce cœur de confiance.</p>
<p>Pour les <strong>ressources plus éloignées</strong> du centre du cœur de confiance, symbolisées par les doubles cadenas, un <strong>niveau de sécurité durci, mais proportionné</strong> peut être appliqué, afin de renforcer la protection pour maitriser les coûts et réduire les contraintes excessives aux utilisateurs concernés.</p>
<p>Finalement, les <strong>méthodes les plus sécurisées sont également celles qui impliquent le plus de contraintes aux personnes concernées</strong>. Il faut maitriser les usages et prendre en compte des situations d’urgence, comme une intervention en astreinte nécessitant des privilèges très élevés.</p>
<p> </p>
<h3>Répéter les opérations</h3>
<p>À l’issue des phases d’identification et de protection, les ressources seront réparties dans les différentes couches du cœur de confiance.</p>
<p>Pour vérifier la bonne implémentation du cœur de confiance, un <strong>audit peut être conduit pour vérifier la bonne protection des ressources</strong> critiques qui le compose.</p>
<p>Un système d’information est toujours en évolution, mais les deux premières phases auront été faites à un instant <em>t</em>. De <strong>nouvelles ressources critiques peuvent être ajoutées, d’autres modifiées, voire supprimées</strong>. Il est primordial de <strong>refaire une évaluation régulière de son SI </strong>et de mettre à jour la répartition des ressources dans le cœur de confiance.</p>
<h2> </h2>
<p>En conclusion, la sécurité des systèmes d’information s’inscrit désormais dans un contexte de complexité croissante et de forte diversification des composants et services d’infrastructures.</p>
<p>Dans ce contexte, il apparaît de plus en plus complexe de définir un modèle de sécurité universel. Certains cadres conservent toute leur pertinence sur des périmètres bien identifiés : le tiering reste une référence pour la sécurisation de l’Active Directory, tout comme l’EAM pour des environnements Cloud fortement centrés sur l’écosystème Microsoft. Néanmoins, ces modèles atteignent rapidement leurs limites dès lors que l’on s’éloigne de ces cas d’usage spécifiques.</p>
<p>Pour la majorité des systèmes d’information, une approche fondée sur l’analyse des risques s’impose donc comme la plus pertinente. Identifier un cœur de confiance, définir clairement les actifs critiques <em>— les crown jewels —</em> et décliner les mesures de sécurité à partir de ces éléments permet de construire une posture de sécurité plus pragmatique, adaptée à la réalité du SI et capable d’évoluer avec lui.</p>
<p>Cette logique, moins normative mais plus contextualisée, constitue sans doute l’un des leviers majeurs pour concilier sécurité, agilité et pérennité des systèmes d’information.</p>






<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/01/securite-orientee-cloud-adaptation-a-une-nouvelle-realite/">Sécurité orientée cloud : Adaptation à une nouvelle réalité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2026/01/securite-orientee-cloud-adaptation-a-une-nouvelle-realite/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Enterprise Access Model (2/2) : Quelles solutions pour sécuriser un Control Plane ? </title>
		<link>https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-2-2-quelles-solutions-pour-securiser-un-control-plane/</link>
					<comments>https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-2-2-quelles-solutions-pour-securiser-un-control-plane/#respond</comments>
		
		<dc:creator><![CDATA[Etienne Lafore]]></dc:creator>
		<pubDate>Fri, 31 Jan 2025 15:07:04 +0000</pubDate>
				<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[CICD]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[compromission]]></category>
		<category><![CDATA[control plane]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=25217</guid>

					<description><![CDATA[<p>Dans le premier article de cette série, nous avons étudié les fondements de l’Enterprise Access Model (EAM) de Microsoft, en nous concentrant sur la définition de la portée du Control Plane pour protéger l&#8217;administration du cloud. Face à l&#8217;évolution de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-2-2-quelles-solutions-pour-securiser-un-control-plane/">Enterprise Access Model (2/2) : Quelles solutions pour sécuriser un Control Plane ? </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;"><span data-contrast="auto">Dans le premier article de cette série, nous avons étudié les fondements de l’Enterprise Access Model (EAM) de Microsoft, en nous concentrant sur la définition de la portée du Control Plane pour protéger l&rsquo;administration du cloud. Face à l&rsquo;évolution de la sécurité, le modèle traditionnel AD 3-tiers n&rsquo;est plus suffisant pour les complexités et les dépendances des environnements cloud. Le passage au cloud a introduit de nouveaux risques, notamment la compromission globale provenant d&rsquo;un point faible unique du Control Plane. Nous avons ensuite souligné l&rsquo;importance d&rsquo;identifier et d&rsquo;isoler les composants clés dont la compromission pourrait entraîner une compromission globale de l&rsquo;Entra ID.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dans ce deuxième article, nous analyserons des scénarios d&rsquo;attaque pratiques qui menacent le Control Plane, et fournirons des recommandations concrètes pour atténuer ces risques. Plus précisément, nous explorerons trois scénarios d&rsquo;attaque courants qui menacent significativement le Control Plane : la compromission du support IT, du poste de travail de l&rsquo;administrateur du Control Plane et du CI/CD. En comprenant ces vecteurs d&rsquo;attaque et en mettant en œuvre des mesures de sécurité robustes, il est possible d’améliorer considérablement la résilience de son environnement cloud contre les compromissions potentielles.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2><b><span data-contrast="auto">La compromission du support IT </span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Prenons un scénario où le compte d&rsquo;un membre du support IT est compromis. Cela peut découler d’une attaque par hameçonnage, d&rsquo;une opération d&rsquo;ingénierie sociale ou même d&rsquo;une tentative d&rsquo;usurpation d&rsquo;identité. Ces comptes peuvent souvent réinitialiser des mots de passe, y compris ceux des utilisateurs ayant des privilèges très élevés, tels que l&rsquo;administrateur d&rsquo;application ou le </span><i><span data-contrast="auto">Owner</span></i><span data-contrast="auto"> Azure au niveau </span><i><span data-contrast="auto">root</span></i><span data-contrast="auto">, obtenant ainsi un accès non autorisé à des ressources critiques, allant de l&rsquo;Entra ID au cloud, en passant par les environnements sur site et les services SaaS.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> <img loading="lazy" decoding="async" class="aligncenter size-full wp-image-25219" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/1-IT-support-compromise-scenario.jpg" alt="1-IT-support-compromise-scenario" width="930" height="417" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/1-IT-support-compromise-scenario.jpg 930w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/1-IT-support-compromise-scenario-426x191.jpg 426w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/1-IT-support-compromise-scenario-71x32.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/1-IT-support-compromise-scenario-768x344.jpg 768w" sizes="auto, (max-width: 930px) 100vw, 930px" /></span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce type d&rsquo;attaque illustre un point crucial que nous avons abordé dans le premier article : la nécessité de délimiter et d&rsquo;isoler efficacement le Control Plane. Le service d&rsquo;assistance, bien qu&rsquo;essentiel pour les opérations quotidiennes, doit être rigoureusement séparé des fonctions administratives à haut privilège. L&rsquo;absence d&rsquo;une telle séparation peut permettre à un attaquant de passer d&rsquo;un compte de service d&rsquo;assistance compromis à un rôle d&rsquo;administrateur global.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Pour réduire ce risque, les organisations doivent mettre en œuvre une série de défenses stratégiques : </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<ul style="text-align: justify;">
<li data-leveltext="-" data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335551671&quot;:0,&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Calibri&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;-&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">Dans un premier temps, isoler les comptes du Control Plane de ceux gérés par le support IT est essentiel. De cette façon, même si un compte du service d’assistance est compromis, il ne pourra pas accéder ou manipuler des comptes à haut privilège. Ainsi, la compromission d’un compte de service d’assistance ne permettrait pas d’accéder à des comptes à privilèges élevés ou de les manipuler.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="-" data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335551671&quot;:0,&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Calibri&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;-&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">Dans un second temps, utiliser exclusivement des comptes cloud dédiés aux tâches du Control Plane réduit la probabilité d’exploitation des systèmes hérités comme point d’entrée. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="-" data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335551671&quot;:0,&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Calibri&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;-&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">Finalement, associer ces comptes à une authentification multi-facteurs (MFA) résistante au phishing, à une administration Just-In-Time (JIT), à une gouvernance d’identité robuste et à des politiques d’accès conditionnel, ainsi qu’à une conformité stricte des postes de travail, crée une défense en couches qui diminue considérablement le risque d’une telle attaque.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Ce scénario souligne l’importance de considérer chaque compte comme un vecteur de menace potentiel. Mettre en place une isolation stricte et des contrôles rigoureux permet de garantir la sécurité de votre Control Plane en cas de compromission d’un compte de niveau inférieur.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2><b><span data-contrast="auto">Compromission d’un poste administrateur du Control Plane </span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Considérons maintenant une situation où un attaquant parvient à compromettre le compte administrateur de l’Intune Mobile Device Manager (MDM). Avec cet accès, l&rsquo;attaquant obtient le contrôle du portail d&rsquo;administration d&rsquo;Intune, lui permettant de manipuler le poste de travail d&rsquo;un administrateur du Control Plane. Il peut déployer des configurations malveillantes, installer des portes dérobées ou se connecter directement à l&rsquo;ordinateur de l&rsquo;administrateur (Remote help. Cet accès transforme le poste de l&rsquo;administrateur en un outil puissant pour une exploitation ultérieure, offrant à l&rsquo;attaquant la capacité d&rsquo;exécuter des commandes, d&rsquo;exfiltrer des données sensibles et de manipuler des ressources cloud sans recourir à des techniques de piratage supplémentaires.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> <img loading="lazy" decoding="async" class="aligncenter size-full wp-image-25221" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/2-Control-plane-administration-workstation-compromise-scenario.jpg" alt="2-Control-plane-administration-workstation-compromise-scenario." width="925" height="414" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/2-Control-plane-administration-workstation-compromise-scenario.jpg 925w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/2-Control-plane-administration-workstation-compromise-scenario-427x191.jpg 427w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/2-Control-plane-administration-workstation-compromise-scenario-71x32.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/2-Control-plane-administration-workstation-compromise-scenario-768x344.jpg 768w" sizes="auto, (max-width: 925px) 100vw, 925px" /></span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce scénario nous rappelle un principe clé du premier article : la sécurité du cloud doit être abordée de manière holistique. Il ne s&rsquo;agit pas seulement de sécuriser les identités, mais aussi de garantir que les appareils utilisés pour accéder au Control Plane sont sécurisés. Dans ce cas, le poste de l&rsquo;administrateur du Control Plane devient un atout critique qui, s&rsquo;il est compromis, pourrait compromettre les défenses cloud les plus sophistiquées.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2><b><span data-contrast="auto">Compromission du CI/CD</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Les environnements Cloud reposant fortement sur l’automatisation, les pipelines CI/CD pour la gestion de l&rsquo;infrastructure deviennent des cibles privilégiées pour les attaquants. Imaginons un scénario où un attaquant parvient à accéder au compte d&rsquo;un ingénieur DevOps par le biais d&rsquo;une attaque de phishing ou d&rsquo;un vol d&rsquo;identifiants. Avec cet accès, il introduit un changement malveillant d&rsquo;Infrastructure as Code (IaC) dans un dépôt Git, sachant que cela déclenchera un pipeline Azure automatisé. Le pipeline valide, planifie et déploie l&rsquo;infrastructure sur Azure, entraînant la destruction ou l&rsquo;altération de ressources clés d&rsquo;Azure, c&rsquo;est-à-dire les fondations de la </span><i><span data-contrast="auto">Landing Zone</span></i><span data-contrast="auto">. De plus, l&rsquo;attaquant modifie la configuration YAML du pipeline Azure. Ce faisant, il provoque la fuite d&rsquo;un secret </span><i><span data-contrast="auto">Service Principal </span></i><span data-contrast="auto">dans les journaux ou la console de débogage, qui est ensuite utilisé pour effectuer des appels non autorisés à l&rsquo;API Graph. En exploitant cette identité sur-privilégiée, l&rsquo;attaquant peut escalader ses privilèges, compromettant ainsi les identités Entra ID ou les comptes Office 365.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les </span><i><span data-contrast="auto">runners</span></i><span data-contrast="auto"> jouent également un rôle crucial dans le pipeline CI/CD. Ces agents sont responsables de l&rsquo;exécution des tâches dans le pipeline et peuvent être hébergés et maintenus par le fournisseur cloud ou sur site. Comme pour tout serveur, leur compromission peut être utilisée comme point de pivot pour rebondir vers la </span><i><span data-contrast="auto">Landing Zone</span></i><span data-contrast="auto"> (par exemple : vol de </span><i><span data-contrast="auto">token</span></i><span data-contrast="auto">) ou d&rsquo;autres services associés.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> <img loading="lazy" decoding="async" class="aligncenter size-full wp-image-25223" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/3-CICD-compromise-scenario.jpg" alt="3-CICD-compromise-scenario." width="932" height="387" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/3-CICD-compromise-scenario.jpg 932w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/3-CICD-compromise-scenario-437x181.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/3-CICD-compromise-scenario-71x29.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/01/3-CICD-compromise-scenario-768x319.jpg 768w" sizes="auto, (max-width: 932px) 100vw, 932px" /></span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce scénario illustre l&rsquo;interconnexion de la sécurité du cloud. Le pipeline CI/CD, souvent perçu comme une fonction de back-office, est en réalité profondément intégré au Control Plane. Sa compromission peut entraîner des conséquences dévastatrices et généralisées pour les fondations mêmes de vos opérations cloud.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Pour se protéger contre une telle menace, il est crucial d&rsquo;isoler le pipeline du Control Plane, dont le but est de construire la </span><i><span data-contrast="auto">Landing Zone</span></i><span data-contrast="auto">, des pipelines de projet. Ensuite, il convient d&rsquo;appliquer le principe du moindre privilège, en veillant à ce que les comptes et les </span><i><span data-contrast="auto">runners</span></i><span data-contrast="auto"> au sein du pipeline n&rsquo;aient que les permissions nécessaires pour accomplir leurs tâches. Par exemple, pour limiter les permissions des </span><i><span data-contrast="auto">runners</span></i><span data-contrast="auto">, nous pouvons utiliser l&rsquo;identité fédérée et demander des </span><i><span data-contrast="auto">token</span></i><span data-contrast="auto"> OpenID Connect (OIDC), qui fournissent un accès limité et temporaire aux services cloud comme Azure. De plus, l&rsquo;adoption de pratiques de sécurité automatisées telles que </span><i><span data-contrast="auto">Configuration as Code</span></i><span data-contrast="auto"> (CaC) ou </span><i><span data-contrast="auto">Policy as Code</span></i><span data-contrast="auto"> (PaC) peut aider à réduire les erreurs humaines et à garantir une sécurité cohérente dans vos déploiements.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">En matière de sécurité cloud, chaque processus et chaque outil doit être considéré sous l&rsquo;angle du risque. Le pipeline CI/CD ne fait pas exception. En sécurisant ce composant critique, vous protégez non seulement votre Control Plane, mais vous assurez également la stabilité et la sécurité de l&rsquo;ensemble de votre infrastructure cloud. Cette approche holistique de la sécurité du cloud est ce qui permettra finalement à vos opérations de fonctionner correctement, même face à des attaques sophistiquées.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2>Synthèse</h2>
<p style="text-align: justify;"><span data-contrast="auto">Dans cet article, nous avons examiné trois scénarios d&rsquo;attaque qui menacent la sécurité du Control Plane dans les environnements cloud : la compromission du support IT, la compromission du poste de travail de l&rsquo;administrateur du Control Plane et la compromission du pipeline CI/CD.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Chacun de ces scénarios met en évidence l&rsquo;importance d&rsquo;une approche de sécurité à plusieurs niveaux, incluant des mesures techniques et organisationnelles. Nous proposons une stratégie en quatre étapes pour concevoir votre Control Plane et le sécuriser contre les attaques potentielles :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<ul style="text-align: justify;">
<li data-leveltext="" data-font="Symbol" data-listid="3" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;multilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Étape 1 : Définir ce qui est systémique pour votre infrastructure</span></b><span data-contrast="auto"> : identifier les composants et comptes critiques au sein de votre Control Plane qui, s&rsquo;ils sont compromis, pourraient entraîner une perturbation globale.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="3" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;multilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Étape 2 : Evaluer votre risque actuel avec un audit de sécurité</span></b><span data-contrast="auto"> : réaliser des audits de sécurité réguliers pour évaluer l&rsquo;état actuel de la sécurité de votre Control Plane. Cela vous aidera à identifier les vulnérabilités et à prioriser les efforts de remédiation.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="3" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;multilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Étape 3 : Définir une feuille de route pour isoler et sécuriser les actifs les plus à risque</span></b><span data-contrast="auto"> : sur la base des résultats de votre audit, élaborer une feuille de route claire pour sécuriser les actifs les plus critiques. Cela devrait inclure des échéanciers, l&rsquo;allocation des ressources et des actions spécifiques pour atténuer les risques identifiés.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="3" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;multilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Étape 4 : Se préparer aux scénarios de suppression du cloud</span></b><span data-contrast="auto"> : envisager les pires scénarios où des sections entières de votre infrastructure cloud pourraient être compromises ou désactivées. Élaborer des plans de contingence et s&rsquo;assurer que les processus de sauvegarde et de reprise après sinistre sont en place.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">En suivant ces recommandations, vous pouvez construire une défense robuste contre les menaces potentielles à votre Control Plane, garantissant que votre environnement cloud reste sécurisé et résilient.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<p>Merci à <strong>Louis CLAVERO</strong> pour sa contribution à cet article.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-2-2-quelles-solutions-pour-securiser-un-control-plane/">Enterprise Access Model (2/2) : Quelles solutions pour sécuriser un Control Plane ? </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2025/01/enterprise-access-model-2-2-quelles-solutions-pour-securiser-un-control-plane/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Protéger le Control Plane : Les Enjeux Cruciaux de la Sécurité dans le Cloud </title>
		<link>https://www.riskinsight-wavestone.com/2024/05/proteger-le-control-plane-les-enjeux-cruciaux-de-la-securite-dans-le-cloud/</link>
					<comments>https://www.riskinsight-wavestone.com/2024/05/proteger-le-control-plane-les-enjeux-cruciaux-de-la-securite-dans-le-cloud/#respond</comments>
		
		<dc:creator><![CDATA[Etienne Lafore]]></dc:creator>
		<pubDate>Fri, 17 May 2024 09:34:43 +0000</pubDate>
				<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[control plane]]></category>
		<category><![CDATA[enterprise access model]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=23118</guid>

					<description><![CDATA[<p>Dans l&#8217;ère des systèmes d&#8217;informations hybrides, la sécurisation des ressources cloud est un pilier de la sécurité des entreprises. Face à l&#8217;évolution constante des menaces et à la complexité croissante des environnements informatiques, les entreprises recherchent des solutions de système...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2024/05/proteger-le-control-plane-les-enjeux-cruciaux-de-la-securite-dans-le-cloud/">Protéger le Control Plane : Les Enjeux Cruciaux de la Sécurité dans le Cloud </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;"><span data-contrast="auto">Dans l&rsquo;ère des systèmes d&rsquo;informations hybrides, la sécurisation des ressources cloud est un pilier de la sécurité des entreprises. Face à l&rsquo;évolution constante des menaces et à la complexité croissante des environnements informatiques, les entreprises recherchent des solutions de système d&rsquo;information sur le cloud et de gestion d&rsquo;accès plus efficaces et évolutives.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Pour répondre à cet enjeu, Microsoft a défini </span><a href="https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model"><span data-contrast="none">l’</span><i><span data-contrast="none">Enterprise Access Model</span></i></a><span data-contrast="auto">, offrant une nouvelle approche de la gestion des identités et des accès adaptés à la réalité du cloud. Ce modèle a pour promesse de redéfinir la manière dont les entreprises gèrent l&rsquo;accès aux ressources numériques, que ce soit dans le cadre de solutions cloud comme Azure, d&rsquo;applications Office 365 ou d&rsquo;autres services stratégiques.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Cet article propose une méthodologie et des exemples de mise en œuvre de ce modèle, en définissant des critères d’attribution des rôles à la Management Plane ou à la Control Plane. Il vise également à mettre en lumière les risques liés à une mauvaise implémentation du modèle, avec des exemples concrets. Enfin, il liste quelques bonnes pratiques de configuration ou de gestion du modèle d’accès, permettant de mitiger ces risques. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Le modèle en tier, un modèle inadapté pour la gestion des accès dans le cloud ? </span></h2>
<p style="text-align: justify;" aria-level="1"><i><span data-contrast="none">(Pour plus d&rsquo;informations sur ce sujet, veuillez consulter notre livre blanc disponible </span></i><a href="https://www.wavestone.com/app/uploads/2021/10/Wavestone-Microsoft-ADSecuritypublication-VF-opti-1.pdf"><i><span data-contrast="none">ici</span></i></a><i><span data-contrast="none">) </span></i><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:240,&quot;335559739&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le modèle de sécurité du tiering, appliqué à l’Active Directory, repose sur le principe fondamental de segmentation des comptes à privilèges en 3 différentes couches, appelés </span><b><span data-contrast="auto">tiers</span></b><span data-contrast="auto">. L&rsquo;objectif est de garantir qu’en cas de compromission d’une ressource ou d’un compte d’un tier, les tiers de confiance supérieure demeurent préservés, évitant ainsi toute propagation potentielle de la compromission à l&rsquo;ensemble du système.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23123 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/1art.jpg" alt="" width="457" height="418" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/1art.jpg 457w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/1art-209x191.jpg 209w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/1art-43x39.jpg 43w" sizes="auto, (max-width: 457px) 100vw, 457px" /></span></p>
<ul>
<li data-leveltext="o" data-font="Courier New" data-listid="1" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Courier New&quot;,&quot;469769242&quot;:[9675],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;o&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Le </span><i><span data-contrast="auto">tier</span></i><span data-contrast="auto"> 0 est le plus critique, il regroupe l’ensemble des composants de l’infrastructure qui gèrent les Domaines Contrôleurs AD de l’entreprise. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">Le </span><i><span data-contrast="auto">tier</span></i><span data-contrast="auto"> 1 se compose classiquement des applications de l’entreprise et des serveurs qui les hébergent. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">Le </span><i><span data-contrast="auto">tier </span></i><span data-contrast="auto">2 regroupe tout ce qui gravite autour de l’environnement utilisateur. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Si le modèle de tiering permet de sécuriser l’infrastructure Active Directory, il rencontre néanmoins des défis significatifs lors de son application dans un contexte cloud. L&rsquo;un des défis majeurs réside dans la nature même du cloud, pour lequel l&rsquo;accès et l&rsquo;administration se font généralement via des consoles exposées sur Internet, contrairement aux environnements on-premise.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Microsoft a donc défini un nouveau modèle, « l’Enterpise Access Model » pour prendre en compte ces nouveaux défis. Nous examinerons comment ce modèle peut être mis en œuvre efficacement dans un environnement cloud Microsoft.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Le modèle d’accès aux entreprises : un nouveau modèle adapté pour aux besoins du cloud </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:240,&quot;335559739&quot;:0}"> </span></h2>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">L&rsquo;une des caractéristiques clés de l&rsquo;Enterprise Access Model est l&rsquo;implémentation d&rsquo;un mode d&rsquo;accès privilégié pour certaines tâches critiques et la gestion d&rsquo;une multitude de ressources critiques dites on-premise ou sur le Cloud. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-23128 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/2bis.jpg" alt="" width="840" height="452" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/2bis.jpg 840w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/2bis-355x191.jpg 355w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/2bis-71x39.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/2bis-768x413.jpg 768w" sizes="auto, (max-width: 840px) 100vw, 840px" /></p>
<p style="text-align: center;"><em>Source : https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model</em></p>
<p style="text-align: justify;"><strong><span style="text-decoration: underline;">Évolution de l&rsquo;objectif et du champ d&rsquo;application </span></strong></p>
<p style="text-align: justify;"><span style="text-decoration: underline;">Tier 0 -&gt; Control plane  </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le control plane comprend la gestion de tous les aspects du contrôle d&rsquo;accès, la gestion des identités ainsi que tous les éléments pouvant mettre en péril le tenant.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span style="text-decoration: underline;">Tier 1 découpé en 2 morceaux  </span></p>
<ul>
<li data-leveltext="•" data-font="Calibri" data-listid="5" data-list-defn-props="{&quot;335551671&quot;:0,&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Calibri&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;•&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">Management Plane : gestion du socle d&rsquo;infrastructure des applications comme les serveurs ou la configuration des services PaaS (Platform as a Service).</span><span data-ccp-props="{}"> </span></li>
<li><span data-contrast="auto">Data/Workload Plane : gestion et configuration des applications, des ressources et des APIs.</span><span data-ccp-props="{}"> </span></li>
</ul>
<p style="text-align: justify;"><span style="text-decoration: underline;">Tier 2 découpé en 2 morceaux  </span></p>
<ul>
<li data-leveltext="•" data-font="Calibri" data-listid="6" data-list-defn-props="{&quot;335551671&quot;:0,&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Calibri&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;•&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">User access : inclut les scénarios d&rsquo;accès B2B, B2C et public.</span><span data-ccp-props="{}"> </span></li>
<li><span data-contrast="auto">App access : permet de tenir compte de la surface d&rsquo;attaque des échanges applications à applications via les API.</span><span data-ccp-props="{}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span style="text-decoration: underline;"><b>Quels comptes mettre dans le control plane ?</b> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Pour définir les comptes du Control Plane, nous proposons une approche basée sur la criticité des rôles et l’impact qu’ils peuvent avoir sur l’environnement cloud. Si le rôle permet d’avoir un impact systémique pour l’Entreprise (destruction d’une part importante du cloud et des backups par exemple), il doit être géré dans le control plane.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Attention à bien faire l’analyse complète, certains rôles courant comme par exemple le Helpdesk Administrator sans privilège critique sur des ressources direct ont la possibilité de prendre le contrôle de comptes qui eux en possèdent ! </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto"> </span><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23130 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/3art.jpg" alt="" width="808" height="493" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/3art.jpg 808w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/3art-313x191.jpg 313w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/3art-64x39.jpg 64w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/3art-768x469.jpg 768w" sizes="auto, (max-width: 808px) 100vw, 808px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Stratégie basée sur la criticité</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p> </p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Optimiser la Sécurité : Appliquer l&rsquo;Enterprise Access Model au Cloud Microsoft</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:240,&quot;335559739&quot;:0}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Au cœur de l&rsquo;écosystème cloud de Microsoft</span> <span data-contrast="auto">se trouvent les rôles, une composante essentielle qui régit la manière dont les utilisateurs et les services interagissent avec les ressources cloud. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dans cette section, nous plongerons au cœur de cet aspect crucial de la gestion des identités et des accès dans le cloud. Nous expliquerons ce que sont les rôles Azure, comment ils fonctionnent, et pourquoi une bonne gestion est primordiale pour la sécurité et la performance de votre infrastructure cloud. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h3 style="text-align: justify;"><b><span data-contrast="auto">Organisation des rôles dans les Cloud Microsoft:</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></h3>
<p style="text-align: justify;"><span data-contrast="auto">Les rôles sont un ensemble de permissions qui permettent de contrôler qui peut accéder aux ressources Azure et quelles actions ils peuvent effectuer.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23147 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/4art.png" alt="" width="657" height="527" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/4art.png 657w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/4art-238x191.png 238w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/4art-49x39.png 49w" sizes="auto, (max-width: 657px) 100vw, 657px" /><br /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Les rôles dans Microsoft Cloud </span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Il est important de différencier trois types de rôles :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="7" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Les rôles Azure qui sont dédiés à l’accès et gestion des ressources Azure.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">Les rôles Microsoft Entra qui sont utilisés pour gérer les ressources de l’annuaire Microsoft Entra ID. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">Les rôles Microsoft Entra qui sont utilisés pour gérer les ressources Office 365 associées.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Il est important de souligner que ces rôles peuvent être </span><b><span data-contrast="auto">interconnectés</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h3 style="text-align: justify;"><b><span data-contrast="auto">Les rôles Azure :</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></h3>
<p style="text-align: justify;"><span data-contrast="auto">Les rôles Azure sont organisés en suivant le principe du Role-Based Access Control (RBAC), qui est une fonctionnalité intégrée de la plateforme cloud Azure de Microsoft. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ils sont dédiés à la gestion et à l&rsquo;accès des ressources Azure et englobent des éléments tels que les machines virtuelles Azure, les bases de données SQL, les services, ainsi que les services d&rsquo;application comme les Web Apps&#8230;</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">L&rsquo;assignation des rôles Azure est une étape clé de la mise en œuvre de la gestion des accès dans un environnement cloud. Elle détermine qui a accès à quelles ressources et quels privilèges sont accordés. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les « Security Principal » sur Azure font référence aux entités auxquelles des autorisations sont attribuées, que ce soient des utilisateurs, des groupes ou des services. Il existe plusieurs types de principaux de sécurité sur Azure, qui peuvent être des humains ou non.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23134 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/5art.jpg" alt="" width="703" height="213" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/5art.jpg 703w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/5art-437x132.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/5art-71x22.jpg 71w" sizes="auto, (max-width: 703px) 100vw, 703px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Security Principal</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">L&rsquo;étendue (scope) lors de l&rsquo;attribution des rôles dans Azure est crucial pour déterminer où les autorisations s&rsquo;appliquent. Il peut être spécifiée à différents niveaux comme le montre le schéma ci-dessous : </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23136 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/6art.jpg" alt="" width="644" height="366" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/6art.jpg 644w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/6art-336x191.jpg 336w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/6art-69x39.jpg 69w" sizes="auto, (max-width: 644px) 100vw, 644px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Les étendues</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Afin de mieux comprendre l’attribution des rôles couplé à notre stratégie basé sur la criticité des rôles et de leurs impacts sur le cloud en ce qui concerne leur placement dans la Control plane nous vous proposons deux exemples concrets :</span><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23138 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/7art.jpg" alt="" width="962" height="527" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/7art.jpg 962w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/7art-349x191.jpg 349w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/7art-71x39.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/7art-768x421.jpg 768w" sizes="auto, (max-width: 962px) 100vw, 962px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Exemple d’application de la stratégie</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dans l’exemple 1 nous attribuons à un User le rôle de Owner (permettant de lire, écrire et assigner des rôles à d’autres utilisateurs sur toute l’étendue sur laquelle le rôle est attribuée), sur l’étendue d’un Management group. Dans cet exemple le rôle de Owner est critique car l’étendue est très haut niveau : il aura donc les pleins pouvoirs sur toutes les Subscriptions, Resource groups et Resources de son Management group. C’est pourquoi dans ce cas nous plaçons le rôle de Owner dans la Control plane.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dans l’exemple 2 nous attribuons à un Group le rôle de Contributor (permettant de lire et écrire sur toute l’étendue sur laquelle le rôle est attribuée), sur l’étendue d’une Subscription. Dans cet exemple, l’impact est limité à une souscription donc probablement pas systémique pour l’Entreprise. C’est pourquoi dans ce cas nous plaçons le rôle de Contributor dans la Management plane.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce qu’il faut retenir de ces exemples c’est que la criticité d’un rôle est en relation directe avec les permissions mais aussi l’étendue sur laquelle on attribue ce rôle. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<h3 style="text-align: justify;" aria-level="2"><span data-contrast="none">Une segmentation entre Microsoft Entra ID et Azure ? Le cas du Global Admin</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:40,&quot;335559739&quot;:0}"> </span></h3>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les rôles Microsoft Entra ID et Azure sont définis de manière indépendante : respectivement dans Microsoft Entra ID et dans Azure RBAC. Cela signifie que les autorisations attribuées aux rôles Microsoft Entra ID n&rsquo;offrent pas d&rsquo;accès aux ressources Azure, et réciproquement. Cependant, en tant que Global Admin au sein de Microsoft Entra ID, nous avons la possibilité de nous octroyer un accès à tous les souscription et Management groups Azure associés. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Quand le Global Admin s’accorde des accès vers Azure, le rôle d’User Access Administrator lui est attribué au niveau de l’étendue racine (Management group Root) d’Azure. Ceci lui permet de voir toutes les ressources et d’attribuer des accès dans n’importe quelle souscription ou management groupe de l’annuaire.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Il est donc important de bien contrôler les personnes et le nombre de personnes se voyant attribuer le rôle de Global Admin, ainsi que de le gérer dans le </span><i><span data-contrast="auto">Control Plane</span></i><span data-contrast="auto">.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23140 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/8art.jpg" alt="" width="673" height="546" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/8art.jpg 673w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/8art-235x191.jpg 235w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/8art-48x39.jpg 48w" sizes="auto, (max-width: 673px) 100vw, 673px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Global Admin vers Azure</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h3 style="text-align: justify;" aria-level="2"><span data-contrast="none">Escalade de privilège par réinitialisation des mots de passe et MFA </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:40,&quot;335559739&quot;:0}"> </span></h3>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Cette méthode repose sur l&rsquo;exploitation de privilèges qui autorisent la réinitialisation des mots de passe pour des comptes d&rsquo;utilisateurs ou des systèmes. Les attaquants ciblent souvent des rôles spécifiques qui ont ce privilège, car une fois compromis, ils peuvent réinitialiser les mots de passe de comptes plus sensibles et donc y accéder pour prendre le contrôle de systèmes critiques. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le tableau ci-dessous met en avant les rôles Microsoft Entra ID pouvant réinitialiser le mot de passe de n’importe quel Owner d’une Subscription. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">A noter que certaines mesures de sécurité comme la MFA (Multi-Factor Authentication) permettent de réduire ce risque, comme nous allons le voir dans la suite de l’article. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23142 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/9art.jpg" alt="" width="930" height="379" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/9art.jpg 930w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/9art-437x178.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/9art-71x29.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/9art-768x313.jpg 768w" sizes="auto, (max-width: 930px) 100vw, 930px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Un utilisateur ayant un rôle dans la colonne 1 peut-il réinitialiser le mot de passe de l&rsquo;utilisateur de la ligne 1 ?</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span style="text-decoration: underline;"><b>Scénario d’attaque 1 :</b> </span><span data-contrast="auto">Escalade de privilège vers un rôle de Azure depuis un rôle Microsoft Entra ID :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Un Helpdesk Administrator qui est un rôle est très courant en entreprise peut réinitialiser le mot de passe d’un Owner d’une Subscription et donc accéder à Azure en étant de base dans Microsoft Entra ID. De ce fait la segmentation entre les deux mondes n’est plus garantie.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span style="text-decoration: underline;"><b>Scénario d’attaque 2 :</b> </span><span data-contrast="auto">Escalade de privilège vers un rôle de Microsoft Entra ID depuis un rôle Microsoft Entra ID :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">On observe qu’au sein même de Microsoft Entra ID une escalade de privilège d’un Helpdesk Administrator vers un Authentication Administrator est possible. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ces </span><b><span data-contrast="auto">deux scénarios</span></b><span data-contrast="auto"> ne sont plus possibles si la MFA est paramétrée car le mot de passe seul ne permet pas de s’authentifier sur le compte. Cette mesure de sécurité permet dans la plupart des cas de couvrir ce type d’escalade de privilège. Cependant certains rôles ont la main mise sur les deux paramètres à savoir la réinitialisation de mot de passe et le paramétrage de la MFA et il n’est pas rare que le support utilisateur ait cette capacité.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> <img loading="lazy" decoding="async" class="aligncenter wp-image-23144 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/10art.jpg" alt="" width="885" height="346" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/10art.jpg 885w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/10art-437x171.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/10art-71x28.jpg 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2024/05/10art-768x300.jpg 768w" sizes="auto, (max-width: 885px) 100vw, 885px" /></span></p>
<p style="text-align: center;"><i><span data-contrast="auto">Un utilisateur ayant un rôle dans la colonne 1 a-t-il des droits sur la MFA ?</span></i><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2}"> </span></p>
<p style="text-align: justify;"><span style="text-decoration: underline;"><b>Scénario d’attaque 3 :</b></span> <span data-contrast="auto">Escalade de privilège vers depuis un Authentication Administrator vers Azure ou Microsoft Entra ID :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ici nous prenons le cas du Authentication Administrator un rôle peut gérer et réinitialiser les méthodes d’authentification des utilisateurs qui ne possèdent pas un rôle d’administrateur. On observe donc qu’en plus de pouvoir avoir la main la MFA on a également via ce rôle la possibilité de modifier ou de réinitialiser les mots de passes d’une large partie des utilisateurs. Les tableaux ci-dessus montrent qu’il peut prendre le rôle d’un Helpdesk Administrator ou d’un Owner d’un Subscription. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Il faut donc gérer ces rôles dans le Control plane pour éviter ces scénarios d’escalade de privilège et maintenir l’étanchéité entre Microsoft Entra ID et Azure.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p aria-level="1"> </p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Renforcez Votre Sécurité, quelques exemples de mesures de sécurité supplémentaires </span></h2>
<h3 style="text-align: justify;" aria-level="2"><span data-contrast="none">Accorder des privilèges à une Managed Identity plutôt qu&rsquo;à un utilisateur</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:40,&quot;335559739&quot;:0}"> </span></h3>
<p style="text-align: justify;"><span data-contrast="auto">Afin de limiter les risques liés à l’attribution de rôles de la Control plane, il faut privilégier l’utilisation des Managed Identities comme alternatives aux autorisations accordées aux utilisateurs, ou du PIM (Privileged Identity Management) pour mieux gérer les utilisateurs à hauts privilèges. Cette approche permet de limiter les risques d’escalade de privilège.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les Managed Identities sont des entités d&rsquo;authentification gérées par Azure pour les applications et les services. Plutôt que d&rsquo;accorder des privilèges à des utilisateurs individuels, vous pouvez attribuer des autorisations aux Managed Identities associées à ces applications ou services. Cette approche présente les avantages suivants :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<ol>
<li><span data-contrast="auto">Exposition aux Identifiants réduite : En utilisant des Managed Identities, on réduit la surface d&rsquo;attaque potentielle, car les identifiants ne sont pas exposés ni partagés.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="%1." data-font="Tahoma" data-listid="10" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">Automatisation Sécurisée : Les applications et les services qui utilisent des Managed Identities peuvent automatiser des tâches sans nécessiter de comptes d&rsquo;utilisateur avec des privilèges élevés.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">Contrôle Centralisé : La gestion des autorisations se fait de manière centralisée, ce qui facilite la gestion des privilèges à l&rsquo;échelle de l&rsquo;ensemble de l&rsquo;environnement cloud.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ol>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<h3 style="text-align: justify;" aria-level="2"><span data-contrast="none">Limiter les risques avec le service Privileged Identity Management (PIM)</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:40,&quot;335559739&quot;:0}"> </span></h3>
<p style="text-align: justify;"><span data-contrast="auto">Dans le cas où l’attribution de rôles à hauts privilèges ou des rôles de la Control plane et surtout à des utilisateurs, il est très important de contrôler et de surveiller l’attribution de ses rôles. L’utilisation de PIM qui est une fonctionnalité qui permet une gestion précise des privilèges d&rsquo;administration peut s’avérer intéressant. PIM repose sur :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<ol>
<li><span data-contrast="auto">L’élévation temporaire des privilèges : Les utilisateurs peuvent obtenir des privilèges d&rsquo;administration de manière temporaire pour effectuer des tâches spécifiques, réduisant ainsi les risques associés à des autorisations permanentes et aux erreurs.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="%1." data-font="Tahoma" data-listid="12" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">La justification obligatoire lors d’une élévation de privilège.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><span data-contrast="auto">La mise en place un contrôle et surveillance.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li data-leveltext="%1." data-font="Tahoma" data-listid="12" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">La création d’un workflow de validation des élévations privilège : /!\ Nécessite une maturité très forte pour pouvoir gérer la réactivité ainsi que les besoins en HNO (Heures Non Ouvrées).</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ol>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La sécurisation d&rsquo;un environnement cloud est une préoccupation essentielle. Les attaques utilisant les concepts et les subtilités de la gestion du cloud augmenteront dans un futur proche, il serait dommage d’attendre que les attaquants commencent à traiter ce sujet pour commencer à traiter correctement ce sujet.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dans cet article, nous avons exploré divers aspects de la gestion des privilèges et de la sécurité dans le cloud, en mettant en lumière des stratégies et des pratiques fondamentales pour protéger efficacement la control plane qui regroupe des données et ressources très sensibles pour l’intégrité de l’infrastructure d’une entreprise.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Nous avons exploré le modèle d&rsquo;accès aux entreprises de Microsoft, qui repose sur le principe du « Zero Trust ». Ce modèle offre une approche flexible et sécurisée pour la gestion des accès dans un environnement cloud.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Nous avons ensuite présenté les rôles de Microsoft Azure et certains risques d’escalade de privilège, soulignant l&rsquo;importance de l&rsquo;attribution précise des autorisations et de la surveillance continue pour prévenir les abus et les menaces potentielles.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La sécurisation de la Control Plane dans un environnement cloud revêt une importance capitale pour la protection des données et des ressources sensibles d&rsquo;une entreprise. En explorant les stratégies et les bonnes pratiques évoquées dans cet article, il est clair que chaque organisation doit définir avec soin son modèle de rôles, en veillant à ce que les comptes et les autorisations soient attribués de manière appropriée dans le Control Plane ou le Management Plane. Il est impératif de mettre en place des mesures garantissant l&rsquo;isolation de chaque plan, tout en accordant une attention particulière à la gestion précise des autorisations et à la surveillance continue pour prévenir les abus et les menaces potentielles (notamment les escalades de privilège). </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La sécurité dans le cloud n&rsquo;est plus une option, mais une nécessité absolue !</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2024/05/proteger-le-control-plane-les-enjeux-cruciaux-de-la-securite-dans-le-cloud/">Protéger le Control Plane : Les Enjeux Cruciaux de la Sécurité dans le Cloud </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2024/05/proteger-le-control-plane-les-enjeux-cruciaux-de-la-securite-dans-le-cloud/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Gestion de la posture de sécurité cloud : vers une industrialisation de la maîtrise de son environnement cloud</title>
		<link>https://www.riskinsight-wavestone.com/2022/09/gestion-de-la-posture-de-securite-cloud-vers-une-industrialisation-de-la-maitrise-de-son-environnement-cloud/</link>
					<comments>https://www.riskinsight-wavestone.com/2022/09/gestion-de-la-posture-de-securite-cloud-vers-une-industrialisation-de-la-maitrise-de-son-environnement-cloud/#respond</comments>
		
		<dc:creator><![CDATA[Etienne Lafore]]></dc:creator>
		<pubDate>Mon, 05 Sep 2022 08:00:00 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[management]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=18662</guid>

					<description><![CDATA[<p>Aujourd’hui, de nombreuses entreprises ont initié une migration vers le cloud publique et celle-ci apporte son lot d’avantages, mais aussi de nouvelles surfaces d’attaques. Nous nous intéresserons dans cet article comment les entreprises peuvent gérer au mieux leur posture de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2022/09/gestion-de-la-posture-de-securite-cloud-vers-une-industrialisation-de-la-maitrise-de-son-environnement-cloud/">Gestion de la posture de sécurité cloud : vers une industrialisation de la maîtrise de son environnement cloud</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;">Aujourd’hui, de nombreuses entreprises ont initié une migration vers le cloud publique et celle-ci apporte son lot d’avantages, mais aussi de nouvelles surfaces d’attaques. Nous nous intéresserons dans cet article comment les entreprises peuvent gérer au mieux leur posture de sécurité, grâce à la vérification de la bonne configuration des ressources.</p>
<p style="text-align: justify;">Par manque de ressources internes ou d’expertise, il est encore fréquent d’observer des erreurs de configuration, comme un Storage Account ou bucket S3 déployé publiquement, permettant aux attaquants d’y accéder et d’exfiltrer les données, ou encore des Network Security Group qui n’ont pas été correctement configurés pour restreindre les flux, permettant alors aux attaquants de compromettre le compte cloud grâce à l’exploitation de flux non contrôlés.</p>
<p style="text-align: justify;">Ces erreurs de configuration créent de nouvelles surfaces d’exposition et offrent aux attaquants de nouveaux moyens de compromettre les SI.</p>
<p style="text-align: justify;">Assurer un usage sécurisé et contrôlé des services cloud est un enjeu majeur, qui nécessite des compétences spécifiques et une gouvernance adaptée.</p>
<p>&nbsp;</p>
<h1>La gestion de la posture de sécurité cloud&nbsp;: qu’est-ce que c’est&nbsp;?</h1>
<p>&nbsp;</p>
<p style="text-align: justify;">La gestion de la posture de sécurité cloud est un ensemble de stratégies et d’outils visant à réduire les risques de sécurité liés à l’usage du cloud. Cet objectif est assuré par la mise en place de contrôles sur la configuration des ressources ainsi que des mécanismes permettant de réagir en cas de détection d’un écart par rapport aux bonnes pratiques.</p>
<p>&nbsp;</p>
<p style="text-align: justify;">On distingue 4 piliers principaux dans la gestion de la posture de sécurité cloud&nbsp;:</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-18663 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/1.png" alt="" width="602" height="68" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/1.png 602w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/1-437x49.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/1-71x8.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/1-600x68.png 600w" sizes="auto, (max-width: 602px) 100vw, 602px" /></p>
<p>&nbsp;</p>
<p style="text-align: justify;"><img loading="lazy" decoding="async" class="alignnone  wp-image-18665" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/2.png" alt="" width="63" height="33" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/2.png 111w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/2-71x37.png 71w" sizes="auto, (max-width: 63px) 100vw, 63px" /> Une des premières étapes de la gestion de posture de sécurité cloud est la prise de connaissance de l’environnement dans sa globalité&nbsp;; inventaire et classification des ressources, indicateurs de conformité, dashboards de visualisation des risques… Cette vue d’ensemble permet d’identifier la surface exposée de son environnement et de prioriser les chantiers à mener.</p>
<p style="text-align: justify;"><img loading="lazy" decoding="async" class="alignnone wp-image-18667" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/3.png" alt="" width="65" height="28" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/3.png 111w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/3-71x31.png 71w" sizes="auto, (max-width: 65px) 100vw, 65px" /> Une gestion de la posture de sécurité cloud efficace repose sur un certain nombre d’outils permettant de détecter automatiquement les configurations de ressources non conformes aux bonnes pratiques de sécurité. La plupart des outils permettent notamment de s’évaluer vis-à-vis de standards et normes (CIS, RGPD, HIPAA, …) et ainsi d’identifier les écarts entre l’environnement actuel et la cible à atteindre. En plus des règles de sécurité génériques proposées par les outils, les entreprises peuvent également intégrer des règles propres à leur contexte afin d’affiner les contrôles effectués et ainsi construire leur propre référentiel de sécurité.</p>
<p style="text-align: justify;"><img loading="lazy" decoding="async" class="alignnone wp-image-18669" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/4.png" alt="" width="63" height="27" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/4.png 111w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/4-71x30.png 71w" sizes="auto, (max-width: 63px) 100vw, 63px" /> Les environnements Cloud offrent des capacités d’industrialisation et d’automatisation avancées permettant le déploiement rapide de nouvelles solutions afin de réduire le Time to market , le temps nécessaire pour concrétiser une idée et livrer un produit fini aux consommateurs. Dans ce contexte d’évolution rapide il est nécessaire d’assurer une surveillance continue de son environnement afin d’être en mesure de réagir au plus vite lors du déploiement d’une ressource non conforme&nbsp;: mise en quarantaine de la ressource, remédiation automatique, etc.</p>
<p style="text-align: justify;"><img loading="lazy" decoding="async" class="alignnone wp-image-18671" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/5.png" alt="" width="63" height="27" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/5.png 111w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/5-71x31.png 71w" sizes="auto, (max-width: 63px) 100vw, 63px" /> Un des enjeux de la sécurité est de réussir à l’intégrer au plus tôt dans le cycle projet afin de limiter les impacts de la mauvaise configuration d&rsquo;une ressource. Dans le cadre de la gestion de la posture de sécurité, il est possible d’intégrer des contrôles de conformité dès la phase de développement, avec l’intégration dans les chaines CI/CD d’analyses de templates Terraform ou Cloudformation par exemple. Notons que cette étape nécessite une maturité avancée et de maitriser les 3 autres piliers cités plus haut.</p>
<p style="text-align: justify;">&nbsp;</p>
<h1>Focus outils CSPM&nbsp;: quel type d’outil pour quel cas d’usage&nbsp;?</h1>
<p>&nbsp;</p>
<p style="text-align: justify;">Les outils CSPM (Cloud Security Posture Management) sont une gamme de logiciels permettant d’assister les entreprises dans la gestion de posture de sécurité cloud. Il en existe de nombreux sur le marché, que nous distinguerons par la suite en 3 grandes catégories&nbsp;: outils d’éditeurs du marché (ex&nbsp;: Prisma Cloud, Cloud Conformity, Cloud Health, CloudGuard, Zscaler, Aquasec…), outils natifs des cloud providers (ex&nbsp;: Microsoft Defender for Cloud &amp; Azure policy, AWS config…) et outils open source (ex&nbsp;: Cloud Custodian, ScoutSuite…).</p>
<p style="text-align: justify;">Bien que ces outils aient un objectif commun, on observe de nombreuses différences dont il convient d’étudier les impacts afin de déterminer la solution la plus adapté au contexte local. Exemple de points d’attention lors de la sélection d’un outil CSPM&nbsp;:</p>
<h3 style="text-align: justify;"><strong>Gouvernance et administration de l’outil</strong>&nbsp;:</h3>
<p style="text-align: justify;">Quels sont les moyens mis à disposition afin de faciliter la gestion de l’outil (ex&nbsp;: rôles disponibles et modèle RBAC, processus implémentés, interface de gestion, interconnexions possibles, etc.)&nbsp;?</p>
<h3 style="text-align: justify;"><strong>Couverture de l’outil</strong> :</h3>
<p style="text-align: justify;">L’outil est-il mono ou multicloud&nbsp;? Quels sont les services pris en charge&nbsp;? Quelles sont les règles de sécurité implémentées au sein de l’outil&nbsp;?</p>
<h3 style="text-align: justify;"><strong>Fonctionnalités de l’outil</strong>&nbsp;:</h3>
<p style="text-align: justify;">Quelles sont les capacités de tableau de bord&nbsp;? Est-il possible de mettre en place des alertes&nbsp;? Certains outils CSPM se spécialisent sur un ou plusieurs des piliers de la gestion de posture de sécurité cités plus haut, ou sont plus matures pour un fournisseur cloud que pour les autres. Il convient d’étudier les fonctionnalités offertes par chaque outil afin de vérifier qu’il couvre bien l’intégralité des cas d’usages souhaités.</p>
<h3 style="text-align: justify;"><strong>Facilité de déploiement</strong>&nbsp;:</h3>
<p style="text-align: justify;">Comment l’outil est-il déployé&nbsp;? Combien de temps cela prend-il&nbsp;? L’outil est-il disponible en mode Saas ou nécessite-il la mise en place d’une architecture spécifique&nbsp;?</p>
<h3 style="text-align: justify;"><strong>Facilité d’utilisation</strong>&nbsp;:</h3>
<p style="text-align: justify;">Comment est l’interface utilisateur&nbsp;? Ce critère est particulièrement important car certains outils, bien que très flexibles, demandent des compétences spécifiques (ex&nbsp;: développement de scripts) et peuvent demander une connaissance fine du sujet.</p>
<h3 style="text-align: justify;"><strong>Support disponible</strong>&nbsp;:</h3>
<p style="text-align: justify;">Les standards de sécurité sont mis à jour automatiquement&nbsp;? Les nouveaux services cloud sont implémentés combien de temps après leur mise sur le marché&nbsp;? Le cloud est un environnement très évolutif, de nouveaux services sont régulièrement mis à disposition, impliquant de nouveaux risques de sécurité. La capacité d’un éditeur CSPM à s’adapter aux évolutions de ses clients en proposant de nouvelles règles et services supportés est donc un atout majeur</p>
<h3 style="text-align: justify;"><strong>Tarification</strong> :</h3>
<p style="text-align: justify;">Quel est le modèle de tarification&nbsp;? Doit-on payer par ressource&nbsp;? Combien de personnes sont nécessaires pour l’administration de l’outil&nbsp;? En fonction de l’outil choisi les prix peuvent varier largement. Une attention particulière doit être portée au choix d’une solution bien dimensionnée par rapports aux attentes exprimées.</p>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">En se basant sur ces critères il est possible d’observer de grandes tendances partagées par les outils de la même catégorie.</p>
<p style="text-align: justify;"><img loading="lazy" decoding="async" class="aligncenter wp-image-18673 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6.png" alt="" width="976" height="572" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6.png 976w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6-326x191.png 326w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6-67x39.png 67w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6-120x70.png 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/6-768x450.png 768w" sizes="auto, (max-width: 976px) 100vw, 976px" /></p>
<p>&nbsp;</p>
<p style="text-align: justify;">Pour résumer&nbsp;: les outils CSPM d’éditeurs du marché proposent de nombreuses fonctionnalités, déployables facilement mais peu personnalisables.</p>
<p style="text-align: justify;">Quant aux outils CSPM natifs des fournisseurs cloud bénéficient d’une intégration aisée au sein de l’écosystème existant et de fonctionnalités propres au fournisseur cloud, ce qui ne permet pas toujours de couvrir l’ensemble des besoins.</p>
<p style="text-align: justify;">Et finalement, les outils open source, ils ont l’avantage d’être très flexibles et de laisser à l’utilisateur une grande marge de manœuvre mais ces outils sont complexes à maintenir dans la durée et nécessitent des compétences spécifiques pour être déployés et utilisés.</p>
<p style="text-align: justify;">Choisir le type d’outil le plus adapté nécessite donc d’identifier les enjeux propres à son contexte et d’étudier comment chaque type de solution y répond selon ses caractéristiques.</p>
<p style="text-align: justify;">Voici quelques exemples de questions qu’une entreprise pourrait se poser dans le cadre de la sélection d’un outil CSPM&nbsp;: la maturité de l’entreprise en matière de gestion de posture de sécurité est-elle adaptée à l’usage actuel qu’elle fait du cloud&nbsp;? Si non, le retard se situe-t-il dans l’outillage ou la définition des bonnes pratiques sécurité dans un référentiel groupe ? L’entreprise possède-t-elle les compétences internes permettant d’assurer que la gestion de la posture de sécurité évolue à la même vitesse que les besoins métiers d’usage du cloud&nbsp;?</p>
<p style="text-align: justify;">En effet, le choix d’un outil CSPM doit s’inscrire dans un processus plus global de gestion de la posture de sécurité, c’est-à-dire en s’appuyant sur les capacités de gouvernance et d’expertise locales de l’entreprise.</p>
<p>&nbsp;</p>
<h1>Industrialisation CSPM&nbsp;: les étapes clés</h1>
<p>&nbsp;</p>
<p style="text-align: justify;">La mise en place d’une gestion de la posture de sécurité efficace est un long processus de plusieurs étapes. Toute entreprise souhaitant gagner en maturité sur le sujet doit définir une stratégie d’industrialisation permettant d’atteindre progressivement la cible. Le graphique suivant est un exemple de stratégie d’industrialisation :</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-18675 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/7.png" alt="" width="602" height="277" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/7.png 602w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/7-415x191.png 415w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/7-71x33.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/09/7-600x277.png 600w" sizes="auto, (max-width: 602px) 100vw, 602px" /></p>
<p>&nbsp;</p>
<p style="text-align: justify;">Cela consiste dans un premier temps par la mise en conformité initiale des environnements cloud pour les sécuriser. Cette phase peut être assurée à l’aide des outils CSPM natifs cloud ou à l’aide d’un outil du marché. En effet, ces outils présentent l’avantage de fournir un cadre et des règles de sécurité génériques sur lesquelles une entreprise avec peu d’expérience en la matière pourra s’appuyer. Afin de capitaliser sur les retours de l’outil, une gouvernance et un plan d’actions devront être mis en place pour :</p>
<ul style="text-align: justify;">
<li>Prioriser les chantiers identifiés</li>
<li>Définir des indicateurs de suivi de mise en conformité (ex&nbsp;: pourcentage de conformité des ressources par service et/ou par criticité)</li>
<li>Assurer l’accompagnement des projets dans la mise en conformité de leur environnement en leur fournissant les éléments nécessaires pour la remédiation des non-conformités</li>
</ul>
<p style="text-align: justify;">Une fois le niveau minimal de sécurité souhaité atteint (ou en parallèle de la mise en conformité initiale), un des enjeux suivants est d’assurer que les nouveaux projets cloud ne sont pas vecteurs de nouvelles vulnérabilités. Il convient alors de mettre en place une structure permettant d’accompagner les équipes de développement dans leurs projets cloud. Cette structure devra notamment permettre&nbsp;:</p>
<ul style="text-align: justify;">
<li>Le maintien d’un référentiel de sécurité cloud groupe adapté au contexte de l’entreprise et évoluant au rythme des demandes de nouveaux usages métiers</li>
<li>La mise en place de processus de validation sécurité (automatisés ou non) afin de valider les différentes étapes projets (éligibilité cloud, passage d’environnement de développement en production…)</li>
<li>La veille sécurité autour des services cloud utilisés au sein de l’entreprise</li>
</ul>
<p style="text-align: justify;">Les deux premières étapes permettent de sécuriser l’existant et les évolutions futures. Les deux prochaines étapes ont quant à elles pour objectif d’ajouter une couche de validations et de contrôles supplémentaires dans le but de pérenniser l’usage des bonnes pratiques à l’échelle de l’organisation. Afin de mettre en place une surveillance continue généralisée, il est préférable de se concentrer initialement sur un périmètre test&nbsp;; cette phase de test permet notamment de&nbsp;:</p>
<ul style="text-align: justify;">
<li>Tester une nouvelle approche en matière d’infrastructure de contrôle. Sur le plan technique cela se traduit par la mise en place du/des outils CSPM nécessaires pour assurer à la fois des audits ponctuels sur un périmètre précis mais également une surveillance continue sur l’ensemble du périmètre test. Sur le plan organisationnel cela se traduit par la mise en place d’équipes spécialisées et de processus de validations.</li>
<li>Définir des points de contrôle à l’échelle de l’organisation&nbsp;et les mécanismes permettant d’en assurer la pérennité&nbsp;: gestion du cycle de vie des règles de sécurité, définition des actions de remédiation par règle, etc.</li>
<li>Préparer la mise à l’échelle de la surveillance continue.</li>
</ul>
<p style="text-align: justify;">En se basant sur les retours de la phase de test précédente, le périmètre de surveillance continue peut ensuite être élargi afin d’industrialiser la gestion de posture de sécurité cloud au sein de l’organisation.</p>
<p style="text-align: justify;">La dernière étape correspond au dernier pilier de la gestion de posture de sécurité cloud, l’anticipation et donc à la mise en place de fonctionnalités avancées pour améliorer les pratiques existantes. La sécurité est intégrée en amont de la mise en production donc à gauche de ce cycle, ce qu’on appelle&nbsp;le «&nbsp;<strong>shift-left</strong>&nbsp;».</p>
<p>&nbsp;</p>
<h1>Synthèse</h1>
<p>&nbsp;</p>
<p style="text-align: justify;">Assurer la gestion de la posture de sécurité cloud au sein de son organisation est un enjeu majeur aux impacts forts nécessitant une mise en place progressive et incrémentale.</p>
<p style="text-align: justify;">En s’appuyant sur les 4 piliers de la gestion de la posture de sécurité -Visualiser, Contrôler, Superviser, Anticiper- les entreprises sont en mesure d’assurer la conformité de son environnement cloud tout en suivant les besoins et évolutions du métier. Cet objectif nécessite une gouvernance dédiée et des outils adaptés au contexte&nbsp;local, le tout évoluant avec la maturité de l’entreprise en matière de sécurité du Cloud.</p>
<p style="text-align: justify;">Les solutions CSPM disponibles sont nombreuses et chacune possède ses avantages et inconvénients, une attention particulière devra être portée à l’étude de la solution la plus adaptée aux besoins exprimés et aux futurs évolutions envisagées.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2022/09/gestion-de-la-posture-de-securite-cloud-vers-une-industrialisation-de-la-maitrise-de-son-environnement-cloud/">Gestion de la posture de sécurité cloud : vers une industrialisation de la maîtrise de son environnement cloud</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2022/09/gestion-de-la-posture-de-securite-cloud-vers-une-industrialisation-de-la-maitrise-de-son-environnement-cloud/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Les enjeux et les tendances de la sécurité du cloud, interview de Vincent Ferrie</title>
		<link>https://www.riskinsight-wavestone.com/2021/12/les-enjeux-et-les-tendances-de-la-securite-du-cloud-risk-insight/</link>
					<comments>https://www.riskinsight-wavestone.com/2021/12/les-enjeux-et-les-tendances-de-la-securite-du-cloud-risk-insight/#respond</comments>
		
		<dc:creator><![CDATA[Vincent Ferrie]]></dc:creator>
		<pubDate>Wed, 22 Dec 2021 09:47:46 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Interview]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=17468</guid>

					<description><![CDATA[<p>Vincent, peux-tu nous présenter le cloud et les enjeux de sa sécurisation ? Tout d’abord, il faut savoir que la sécurité du cloud est particulièrement différente en fonction des types de cloud et de la manière de consommer des services...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/12/les-enjeux-et-les-tendances-de-la-securite-du-cloud-risk-insight/">Les enjeux et les tendances de la sécurité du cloud, interview de Vincent Ferrie</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h1 style="text-align: justify;">Vincent, peux-tu nous présenter le cloud et les enjeux de sa sécurisation ?</h1>
<p style="text-align: justify;">Tout d’abord, il faut savoir que la sécurité du cloud est particulièrement <strong>différente en fonction des types de cloud</strong> et de la manière de consommer des services cloud. Parmi ces services, on y retrouve <strong>trois grandes catégories</strong> : SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service).</p>
<p style="text-align: justify;">Globalement la sécurité du cloud est bien distincte entre la partie PaaS / IaaS et la partie SaaS. Cela se matérialise par le principe de <strong>modèle de responsabilité partagée</strong>. Lors de la consommation d’un service cloud, le client aura accès à un certain périmètre avec un certain nombre de couches de données ou infrastructure suivant la catégorie de service cloud.</p>
<p style="text-align: justify;">Ce modèle permet de déterminer sur <strong>quel périmètre du service</strong> <strong>la responsabilité du fournisseur de cloud ou celle du client est engagée</strong>. La partie sécurité va elle aussi être partagée sur les couches de données sur lesquelles le client va avoir la responsabilité, cela demande donc au<strong> client de s’assurer de la sécurité</strong> de son périmètre.</p>
<p style="text-align: justify;">Dans le cadre du SaaS, pour donner un exemple, Microsoft Office 365 est un service où le client intègre ses données et n’a pas accès à toutes les couches basses du service. Le client ayant peu d’accès à la configuration du service et par conséquent sur la sécurité, il peut exiger contractuellement un niveau de sécurité auprès de son fournisseur qui aura la main sur la configuration du service.</p>
<p style="text-align: justify;">Au contraire, sur des solutions PaaS ou IaaS, le client aura accès aux couches inférieures et aura donc la responsabilité de les configurer pour se garantir de leur sécurité si elles ne sont pas gérées par le fournisseur de services. Le client peut toujours exiger certains éléments mais la responsabilité du client sera engagée sur une partie importante de la configuration et de l’utilisation sécurisée du service cloud.</p>
<p style="text-align: justify;">La sécurité du cloud soulève particulièrement un sujet contractuel puisque ce n’est pas le service du client lui-même mais celui d’un tiers. Cela amène des enjeux de sécurité à part entière et en particulier la question de ce que le client peut exiger à son fournisseur en termes de sécurité des données. Ces exigences sont amenées à évoluer en fonction de la nationalité du fournisseur.</p>
<p style="text-align: justify;">Cet enjeu de sécurité induit également des changements d’organisation. La consommation de service cloud doit impliquer de repenser l’organisation de la DSI et sa manière de fonctionner au sens large avec une inclusion de la sécurité dans les nouveaux processus. Dans cette démarche d’agilité, la sécurité doit également l’être avec des pratiques type DevSecOps.</p>
<p style="text-align: justify;"> </p>
<h1>Quelles sont les tendances du marché du cloud et de sa sécurisation ?</h1>
<p style="text-align: justify;">Il y a encore quelques années les clients étaient retissant à s’orienter vers des solutions cloud alors qu’<strong>aujourd’hui, le sujet fait consensus</strong>, <strong>il s’impose de plus en plus</strong>. Un des facteurs majeurs à son développement est la solution Office 365 de Microsoft Azure.</p>
<p style="text-align: justify;">La tendance du marché côté client est de lancer des grands programmes de migration cloud afin d’être accompagné dans cette démarche, notamment s’ils doivent faire appel à un seul ou plusieurs fournisseurs. Le sujet du multisourcing est particulièrement important en ce moment. Les clients se demandent également comment organiser leur DSI afin d’adopter des principes agiles et DevOps et ainsi réaliser leur transformation de manière intelligente. L’objectif n’est pas de réaliser du “lift and shift”, soit migrer une application on-premise existante sans effectuer de modification ou de refonte en l’intégrant directement dans le cloud.</p>
<p style="text-align: justify;">Les clients se rendent compte que <strong>la gestion du système d’information suppose des coûts très importants</strong> et que cela ne <strong>correspond pas au cœur de leur métier</strong>. L’offre cloud permet de laisser les entreprises avec cette expertise, les fournisseurs de services, réaliser la migration de ces plateformes cloud. Cela permet au client de se concentrer sur ses processus métier et <strong>réduire le time to market</strong>, le temps nécessaire pour réaliser une idée initiale et livrer un produit fini aux consommateurs.</p>
<p style="text-align: justify;">En termes de sécurité, une tendance pour les grands programmes est d’accompagner de manière sécurisée les migrations cloud. Cela passe par plusieurs éléments :</p>
<ul style="text-align: justify;">
<li>Un accompagnement sur <strong>la contractualisation</strong> <strong>avec le fournisseur cloud</strong> concernant le modèle de responsabilité partagée et ce que le client peut migrer ou non ;</li>
<li>Sur l’organisation de la DSI pour qu’elle devienne <strong>DevSecOps</strong>, approche qui permet d’intégrer la sécurité dans l&rsquo;ensemble du cycle de vie des projets, du développement à la mise en œuvre, en utilisant des méthodes flexibles et l&rsquo;approche DevOps ;</li>
<li>Pour les clients plus avancés ayant déjà entamés une migration et qui possèdent déjà un multicloud, l’objectif est de les accompagner dans l’harmonisation de ces différentes plateformes cloud et en particulier en termes de sécurité.</li>
</ul>
<p style="text-align: justify;">Du côté des éditeurs de solution de sécurité pour le cloud, la tendance est de proposer <strong>des offres multicloud</strong> mais tout en cloisonnant les différents types de cloud (IaaS, PaaS, SaaS) afin de proposer <strong>des outils spécialisés</strong>. Les outils dits CSPM (Cloud Security Posture Management) qui permettent de réaliser des contrôles de conformité sur des plateformes multicloud sont la dernière tendance du marché. Sur le volet chiffrement qui est un sujet sensible pour nos clients, la dynamique d’accompagnement du multicloud s’articule autour d’offres de service type HSMaaS ou KMSaaS qui permettent de provisionner des clés, appartenant au client – de type BYOK, utilisables d’un cloud à l’autre.</p>
<p style="text-align: justify;">D’un point de vue technologique, la tendance de fond reste le <strong>serverless</strong>. C’est un modèle de développement cloud qui permet aux développeurs de créer et d&rsquo;exécuter des applications sans avoir à gérer des serveurs. La conteneurisation et les technologies Dockers ou Kubernetes sont en cours de déploiement à grande échelle chez nos clients entrainant des grands enjeux de sécurité.</p>
<p style="text-align: justify;"> </p>
<h1 style="text-align: justify;">Quelles sont les difficultés que nos clients rencontrent sur les sujets abordés ? En quoi cela constitue un réel challenge ?</h1>
<p style="text-align: justify;">Les clients ayant une faible maturité sur le sujet qui sont réticents à migrer dans le cloud sont généralement les entités qui traitent des données avec un très haut niveau de confidentialité (ex : prestataire de santé, armement, etc.). Ils se demandent notamment comment ils peuvent faire confiance à une entreprise américaine. Actuellement quand on parle cloud, on parle principalement d’acteurs américains : Microsoft, Amazon et Google, qui possèdent la quasi-totalité du marché du cloud public.</p>
<p style="text-align: justify;">Pour répondre à cette interrogation, on met en avant que lorsque l’on fait appel à un fournisseur de cloud, il faut <strong>une totale confiance envers lui</strong>. L’objectif est de définir la partie contractuelle en amont de la migration du client pour s’assurer d’une total confiance envers le fournisseur sur l’accès aux données qu’on va lui transmettre. Cela peut notamment passer par une garantie contractuelle, des contrôles de sécurité, etc.  À noter que le chiffrement n’empêchera jamais le fournisseur d’accéder aux données, il faut donc s’assurer de sécuriser le cloud contre les vraies menaces.</p>
<p style="text-align: justify;">Certes, on accepte<strong> un risque infime que le fournisseur puisse accéder à ses données,</strong> puisqu’elles lui sont transmises, mais le risque reste négligeable par rapport au <strong>risque en tant que client d’effectuer une mauvaise configuration du service cloud</strong>. Ainsi, les principaux incidents de sécurité du Cloud concernent <strong>le vol de données exposées publiquement au travers de services de stockage</strong> (S3 bucket, Azure storage, etc.). La responsabilité du fournisseur n’est pas engagée dans ces cas-là puisque <strong>c’est au client de garantir la bonne configuration des services PaaS qu’il utilise afin qu’ils soient utilisés en mode privé et non exposé.</strong></p>
<p style="text-align: justify;">Cela nécessite bien évidemment un effort sur les compétences pour consommer des services cloud de manière intelligente tout en le sécurisant.</p>
<p style="text-align: justify;">Pour les clients plus avancés, <strong>le vendor locking</strong> est un sujet dominant. Si demain, le fournisseur de cloud avec qui le client collabore est amené à arrêter son activité ou est indisponible pour une durée définie, le client perd l’accès à son SI. C’est d’ailleurs pour cette raison que les clients se tournent vers des stratégies multicloud.</p>
<p style="text-align: justify;"> </p>
<h1 style="text-align: justify;">Comment répondre à ces problématiques et comment Wavestone peut intervenir ?</h1>
<p style="text-align: justify;">Notre conviction chez Wavestone, c’est que le cloud peut être <strong>un facilitateur pour la sécurité du SI</strong>. Une porte d’entrée pour construire un SI sur <strong>des bases saines</strong> et s’appuyer sur <strong>des technologies qui fonctionnent</strong>. Vous pouvez en profiter pour mettre la sécurité au bon endroit dès le début et une des clés pour y arriver est <strong>l’automatisation</strong>.</p>
<p style="text-align: justify;">L’automatisation doit être mise en place dans le déploiement, les infrastructures mais également la sécurité afin d’obtenir une véritable plus-value. Si le client pose <strong>les bonnes règles de sécurité</strong> et que ces règles techniques sont traduites dans les chaines d’intégration et de déploiement (CI/CD), le client aura la garantie que le déploiement ses ressources et infrastructures seront sécurisées dès leur déploiement.</p>
<p style="text-align: justify;">Wavestone <strong>accompagne également les clients à contractualiser</strong> avec des fournisseurs cloud. Nous aidons nos clients à <strong>construire des landings zones</strong>, c’est-à-dire les bases des architecteurs de sécurité qui vont être déployée dans le cloud. Nos équipes sont intégrées dans des centres d’excellence cloud chez nos clients et travaillent tous les jours à la sécurisation des infrastructures de cloud. Nous avons également la capacité d’<strong>aider nos clients dans leur transformation agile</strong> et notamment sur les sujets DevSecOps, afin d’apporter la sécurité au plus près de leurs projets.</p>
<p style="text-align: justify;"> </p>
<h1>Quel avenir pour la sécurité du cloud ?</h1>
<p style="text-align: justify;">La tendance émergente du moment est le <strong>Zéro Trust</strong>. C’est un nouveau modèle de sécurité qui répond aux enjeux cloud et usages actuels de mobilités des personnes et de la donnée. Le modèle Zero Trust a pour objectif d’<strong>accorder l’accès sur le besoin d’en connaitre et donc de remettre la sécurité au plus proche des ressources</strong>.</p>
<p style="text-align: justify;">L’objectif est de remettre l’utilisateur au centre avec la garanti du moindre privilège et de contrôler l’accès à une ressource à chaque fois que quelqu’un en exprime le besoin. Cette vérification se fera quelle que soit son origine même si c’est un collaborateur interne. L’identité et l’authentification sont au centre, tout comme les moyens de détection et de contrôle.</p>
<p style="text-align: justify;">La définition des algorithmes d’attribution des moindres privilèges et la vérification systématique à chaque nouvelle demande d’entrée drainent de vastes sujets autour de la gouvernance des identités pour nos clients. Leur traduction technologique, comme avec Azure AD pour citer la technologie de Microsoft, nécessite de solides connaissances techniques et un accompagnement au changement pour être en mesure d’identifier et configurer les bons moyens d’authentification (MFA, attribution de droits temporaire, etc.) et de contrôles (Conditional Access Policy, sign-logs, etc.) disponibles.</p>
<p style="text-align: justify;">Ce modèle est <strong>particulièrement adapté à un usage cloud</strong> puisque la plupart des fournisseurs de cloud public permettent l’utilisation de technologies plus fiables et configurables qu’on-premise pour gérer les identités, l’authentification et la détection.</p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"> </p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/12/les-enjeux-et-les-tendances-de-la-securite-du-cloud-risk-insight/">Les enjeux et les tendances de la sécurité du cloud, interview de Vincent Ferrie</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2021/12/les-enjeux-et-les-tendances-de-la-securite-du-cloud-risk-insight/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Le Cloud, la fin ou renouveau du secours informatique ?</title>
		<link>https://www.riskinsight-wavestone.com/2017/08/le-cloud-la-fin-ou-renouveau-du-secours-informatique/</link>
		
		<dc:creator><![CDATA[Etienne Lafore]]></dc:creator>
		<pubDate>Thu, 17 Aug 2017 17:36:50 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[AWS]]></category>
		<category><![CDATA[Azure]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[IaaS]]></category>
		<category><![CDATA[PaaS]]></category>
		<category><![CDATA[PCA]]></category>
		<category><![CDATA[PCI]]></category>
		<category><![CDATA[PRA]]></category>
		<category><![CDATA[PSI]]></category>
		<category><![CDATA[SaaS]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9954/</guid>

					<description><![CDATA[<p>Les entreprises ont de plus en plus recours aux services cloud (SaaS, PaaS, IaaS) pour leur environnement informatique. Ils apportent plus de flexibilité avec des coûts pouvant être plus avantageux qu’une infrastructure classique. En 2016, en France, 48% des entreprises...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/08/le-cloud-la-fin-ou-renouveau-du-secours-informatique/">Le Cloud, la fin ou renouveau du secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les entreprises ont de plus en plus recours aux services cloud (SaaS, PaaS, IaaS) pour leur environnement informatique. Ils apportent plus de flexibilité avec des coûts pouvant être plus avantageux qu’une infrastructure classique. <a href="https://www.insee.fr/fr/statistiques/2672067">En 2016, en France, 48% des entreprises de plus 250 personnes y avaient recours soit une augmentation de 12 points par rapport à 2014.</a> La plus grande disponibilité des infrastructures Cloud est souvent identifiée comme une opportunité. Néanmoins, le risque de défaillance d’un datacenter du fournisseur n’est que rarement traité, alors que ses services reposent sur des datacenters bien physiques et non pas sur des nuages. Ces datacenters font face aux mêmes menaces que les « datacenters traditionnels » : catastrophes naturelles, erreurs humaines… Il est donc nécessaire de se demander comment assurer le secours informatique de ces infrastructures Cloud.</em></p>
<h2>Le secours informatique SaaS, une responsabilité du fournisseur à formaliser</h2>
<p>Un service SaaS (<em>Software as a Service</em>) est un logiciel mis à disposition et directement consommable depuis Internet. Il est géré et administré par un ou plusieurs fournisseurs.  Le client n’a donc pas la latitude nécessaire pour opérer le secours (pas d’accès aux données brutes, pas d’accès aux codes sources, ni aux applicatifs pour dupliquer l’infrastructure…), il doit donc s’en remettre au bon vouloir de son fournisseur.</p>
<h3>Un niveau de couverture du secours informatique pour SaaS variable suivant la maturité du fournisseur</h3>
<p>Trois grandes tendances se dessinent :</p>
<ul>
<li><strong>Les fournisseurs qui disposent d’un plan de secours informatique inclus<br />
</strong>Dans le cadre de l’offre standard, le fournisseur assure un secours sur un datacenter distant, complété généralement par des sauvegardes externalisées. Il ne s’engage néanmoins que rarement sur les délais de reprise.<br />
<em><em>Ex : les grands acteurs du SaaS (ex : Office 365, SalesForce, SAP…) , ainsi que certains acteurs de taille intermédiaire (ex : Evernote, Xero…) ;</em></em></li>
</ul>
<ul>
<li><strong>Les fournisseurs qui disposent simplement d’une sauvegarde externalisée<br />
</strong>En tant que tel, aucun plan de secours informatique n’est clairement établi. Le client doit alors s’interroger sur la capacité du fournisseur à restaurer les sauvegardes en cas de sinistre global sur le site principal.<br />
<em>Ex : Des fournisseurs de taille intermédiaire (ex : Zervant, Sellsy…) ;</em></li>
</ul>
<ul>
<li><strong>Les fournisseurs qui ne communiquent pas ou n’en disposent pas<br />
</strong>Le sujet du secours informatique n’est pas abordé, il est donc préférable de considérer que rien n’est fait.<br />
<em>Ex : Les acteurs de petite taille sont généralement dans ce cas.</em></li>
</ul>
<h3>L&rsquo;importance de l&rsquo;aspect contractuel<strong><br />
</strong></h3>
<p>Dans la très grande majorité des cas, les fournisseurs SaaS ne s’engagent pas dans leur contrat sur leur façon de gérer le secours ; même lorsque ceux-ci mettent en avant leur capacité à traiter cette problématique. En effet, les contrats comportent généralement par défaut des clauses de Force Majeure stipulant que le fournisseur n’est pas responsable de manquement aux obligations du contrat dans la mesure où ce manquement est causé par un évènement en dehors de leur contrôle raisonnable. Le risque juridique doit donc être traité lors de la souscription et ces clauses supprimées pour s’assurer un bon niveau de couverture.</p>
<p>Lors de la souscription, comme pour des contrats classiques, les clients doivent s’assurer que figure bien des engagements de service, en particulier pour les secours informatiques :</p>
<ul>
<li>Le <strong>délai de reprise</strong> (Durée Maximale d’Interruption Acceptable ou DMIA) et les <strong>pertes de données</strong> (Perte de Données Maximale Acceptable ou PDMA) en cas de sinistre;</li>
<li>Le <strong>plan de secours informatique du fournisseur incluant les modalités de gestion de crise</strong> ainsi que l’obligation de conduire plusieurs <strong>tests</strong> <strong>probants</strong> par an de ce plan avec la possibilité pour le client d’accès au rapport des tests ;</li>
<li>Les <strong>pénalités financières</strong> et le droit de résilier le contrat (avec en particulier la récupération des données exploitables) en cas de manquement aux engagements.</li>
</ul>
<h2>Le secours informatique du IaaS/PaaS, une mise en oeuvre et une responsabilité du client</h2>
<p>Le IaaS (<em>Infrastructure as a Service</em>) est une offre standardisée et automatisée de ressources de calcul, de moyens de stockage et de ressources réseau détenus et hébergés par un fournisseur et mis à disposition au client à la demande. L’offre PaaS (<em>Platform as a Service</em>) est similaire à celle du IaaS, à la différence près qu’elle ne concerne que les infrastructures applicative (définitions Gartner)<a href="#_ftn1" name="_ftnref1"></a> Contrairement au cas du SaaS, le secours reste sous la responsabilité du client dans les deux cas : les fournisseurs IaaS/PaaS mettent à disposition des ressources dans différents datacenters et le client est responsable de l’usage et de la configuration qu’il en fait. Deux solutions s’offrent aux clients utilisant ces services : confier à un prestataire son secours ou bien le gérer lui-même.</p>
<h3>Avoir recours à un prestataire de secours, un marché peu mature<strong><br />
</strong></h3>
<p>Les prestataires de secours dans le Cloud sont désignés par l’acronyme « DRaaS » pour <em>Disaster Recovery as a Service</em>. Initialement, les fournisseurs DRaaS proposaient d’assurer dans le Cloud le secours de votre SI « on-premise ». Mais ils proposent également aujourd’hui d’assurer le secours de vos infrastructures déjà dans le Cloud, AWS ou Azure par exemple. La maturité reste très variable selon les fournisseurs et le cloud utilisé. Certains fournisseurs DRaaS imposent que le Cloud de destination du secours soit le leur, ne permettant pas ainsi de couvrir le secours de service PaaS.</p>
<p>Comme avec le SaaS, <strong>pas de garanties incluses</strong> <strong>par défaut</strong> quant aux pertes de données ou au délai de reprise, il faut les négocier. Les fournisseurs promettent de pouvoir s’adapter aux exigences du client ! Pour s’assurer que le secours fonctionne, le client doit prévoir la réalisation régulière de <strong>tests probants du secours </strong>(recommandation d’une fois par an).</p>
<h3>Réaliser soi-même son secours en utilisant les outils proposés par le fournisseur<strong><br />
</strong></h3>
<p>Comme sur une infrastructure « on-premise », il est nécessaire de réfléchir et définir sa stratégie de secours dès la conception. Cette stratégie doit intégrer la capacité de réaliser des tests probants permettant d’assurer un niveau de confiance suffisant dans son plan.</p>
<p>La mise en place est simplifiée par les outils mis à disposition par les fournisseurs Cloud et la forte standardisation des environnements Cloud. Les grands acteurs publient dans des livres blancs les grandes lignes directrices pour mettre en place un tel projet (par exemple <a href="https://d0.awsstatic.com/International/fr_FR/whitepapers/aws-disaster-recovery.pdf.pdf">AWS</a> ou <a href="https://docs.microsoft.com/en-us/azure/architecture/resiliency/disaster-recovery-azure-applications">Azure</a>).</p>
<p><strong>Les concepts des stratégies du secours informatique restent proches de celles pour les datacenters on-premise.</strong></p>
<p>On peut en dénombrer quatre principales :</p>
<ul>
<li><strong>la sauvegarde et restauration</strong>: simple sauvegarde des données et images des machines sur un site distant, restaurées en cas de sinistre ;</li>
<li><strong>la veilleuse</strong>: réplication des bases de données et mise à disposition des machines sous forme d’images prêtes à être démarrées en cas de sinistre ;</li>
<li><strong>le secours à chaud</strong>: réplication complète du site primaire (données et machines), le site de secours est sous-dimensionné en termes de performances et est prêt à monter en charge en cas sinistre ;</li>
<li><strong>le multi site (ou actif-actif)</strong>: les deux sites sont identiques et se partagent la charge des utilisateurs. En cas de sinistre, le site restant peut monter en charge pour accueillir la totalité des utilisateurs.</li>
</ul>
<p>Des solutions hybrides pouvant mieux s’adapter aux exigences de délai de reprise, coût et complexité de la solution peuvent être envisagées.</p>
<p><strong>Le véritable apport du Cloud pour le secours concerne les nombreux outils mis à disposition simplifiant la mise en œuvre et le déclenchement. </strong></p>
<p>La réplication des données est ainsi simplifiée pour les options de géo-réplication asynchrones (plusieurs copies répliquées dans d’autres régions). La PDMA est variable en fonction des types de données et des outils proposés. Au-delà de cette option, une redondance locale des données est presque systématiquement incluse.</p>
<p>La forte standardisation permet également d’automatiser la reprise : les scripts ou API mis à disposition par les fournisseurs permettent d’automatiser le déploiement des infrastructures, le redimensionnement des instances en fonction de métriques précédemment définies, la répartition des charges et du trafic ou, l’adressage IP etc… afin d’accélérer de façon significative l’activation d’un site de secours.</p>
<p>Les outils de surveillance et alerte qui sont également proposés visent à faciliter le Maintien en Conditions Opérationnelles (MCO) du secours et peuvent être utilisés pour détecter au plus tôt un incident voire, dans certains cas, automatiser partiellement le déclenchement du secours.</p>
<p>Enfin la capacité à provisionner des nouvelles ressources en quelques minutes permet de limiter l’OPEX. <strong>A stratégie équivalente, il est ainsi possible d’avoir des gains de 40 à 70% sur le coût du secours !</strong></p>
<h3>Vers une plus grande prise en charge par le fournisseur ?<strong><br />
</strong></h3>
<p>Azure prévoit une <a href="https://docs.microsoft.com/fr-fr/azure/site-recovery/site-recovery-azure-to-azure">option</a>, courant 2017, pour assurer le secours des machines virtuelles hébergées au sein de leur plateforme via la complétion de leur service « Site Recovery ». En effet, « Site Recovery » propose à l’heure actuelle de prendre en charge le secours de site traditionnel en utilisant le cloud Azure pour accueillir le site secondaire, mais Microsoft souhaite étendre ce service au secours de leurs propres infrastructures. Cet outil permettrait un déploiement automatique du site secondaire (de type actif-passif), une réplication automatique des données et une mise en place de tests facilitée.</p>
<p>Cette option est passée en « public preview » fin mai 2017. Un projet équivalent n’est pas d’actualité chez les autres principaux fournisseurs IaaS/PaaS.</p>
<h2>Le cloud face au risque systémique des fournisseurs</h2>
<p>Le secours informatique des services hébergés dans le cloud s’aborde différemment selon le type de service utilisé. Le secours du SaaS doit être géré contractuellement et est sous la responsabilité du fournisseur tandis que le secours du IaaS/PaaS, simplifié par les outils, reste sous la responsabilité du client.</p>
<p>Le risque de défaillance généralisé d’une région d’hébergement d’un fournisseur existe comme le montre les derniers incidents. Même si aujourd’hui, les incidents ont été de courte durée ou avec des impacts fiables, une défaillance généralisée ne peut pas être ignorée. Reste donc à traiter la problématique de cyber-résilience. L’utilisation d’un 2<sup>ème</sup> fournisseur cloud permet de couvrir le risque de destruction ou d’indisponibilité majeure des infrastructures du premier. Cette solution reste très complexe car la portabilité d’un fournisseur à un autre est délicate. Pour l’instant, peu d’entreprises s’y sont risquées, même si l’on peut citer l’exemple de <a href="http://www.usine-digitale.fr/article/snap-se-repose-sur-le-cloud-d-amazon-pour-la-redondance-de-son-systeme-d-information.N499899">Snapchat</a> qui utilise le cloud Google pour sa production et prévoit d’utiliser celui d’Amazon pour son secours d’ici à 5 ans.</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/08/le-cloud-la-fin-ou-renouveau-du-secours-informatique/">Le Cloud, la fin ou renouveau du secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Identité dans le cloud : le marché se structure, quid de l’approche de Microsoft ?</title>
		<link>https://www.riskinsight-wavestone.com/2014/02/identite-dans-le-cloud-le-marche-se-structure-quid-de-lapproche-de-microsoft/</link>
		
		<dc:creator><![CDATA[Hamza KHARBACHI]]></dc:creator>
		<pubDate>Wed, 05 Feb 2014 07:12:55 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Identity]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[IAM]]></category>
		<category><![CDATA[identity & access governance]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5000</guid>

					<description><![CDATA[<p>Héberger ses applications dans le cloud ou recourir à des applications cloud en mode SaaS est devenu une pratique courante pour les DSI et les directions métier. De là est né un nouveau besoin, celui de l’Identity and Access Management...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/identite-dans-le-cloud-le-marche-se-structure-quid-de-lapproche-de-microsoft/">Identité dans le cloud : le marché se structure, quid de l’approche de Microsoft ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Héberger ses applications dans le cloud ou recourir à des applications cloud en mode SaaS est devenu une pratique courante pour les DSI et les directions métier. De là est né un nouveau besoin, celui de l’Identity and Access Management pour le cloud. Plusieurs acteurs, se sont d’ores et déjà positionnés sur ce marché, certains venant du monde traditionnel de l’IAM (Ping Identity, CA, SailPoint…), d’autres étant des pure players du cloud tels qu’Okta ou OneLogin.</em></p>
<p><em>Microsoft fait partie de ces acteurs de l’IAM pour le cloud. En raison de son rôle déterminant dans le SI « On-Premises » des entreprises, nous allons nous pencher de plus près sur sa solution : Windows Azure Active Directory (WAAD).</em></p>
<h2>WAAD : une solution IAM-as-a-Service pour le <em>cloud</em></h2>
<p>Contrairement à ce que pourrait indiquer son nom, la solution Windows Azure Active Directory n’est pas un Active Directory hébergé dans Azure, la plate-forme <em>cloud</em> de Microsoft.</p>
<p>Officiellement lancée le 8 avril 2013, WAAD est décrit par Microsoft comme « <em>une solution complète et sécurisée pour la gestion des identités et des accès dans le cloud. Elle combine des services d&rsquo;annuaires principaux, une gouvernance des identités avancée, une gestion et une sécurisation des accès aux applications </em>».</p>
<p>Microsoft propose donc WAAD comme solution d’IAM-as-a-Service permettant, entre autres, de couvrir les applications hébergées dans le <em>cloud</em>. Contrairement à son approche « brique à brique » traditionnelle pour les services IAM <em>On-Premises, </em>dans laquelle chaque service est fourni par un produit spécifique, Microsoft adopte là une approche plus globale comme le démontre le tableau suivant :</p>
<p><figure id="attachment_5001" aria-describedby="caption-attachment-5001" style="width: 404px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="size-medium wp-image-5001" title="Comparaison des offres On-Premises Vs cloud de Microsoft" src="http://www.solucominsight.fr/wp-content/uploads/2014/02/tableau-Waad-404x191.jpg" alt="" width="404" height="191" /><figcaption id="caption-attachment-5001" class="wp-caption-text">Comparaison des offres On-Premises Vs cloud de Microsoft</figcaption></figure></p>
<p>Windows Azure Active Directory permet ainsi aux entreprises de :</p>
<ul>
<li>Étendre au <em>cloud</em> les identités gérées localement au sein d’un Active Directory <em>On-Premises</em> ;</li>
<li>Gérer les identités et accès depuis le <em>cloud,</em> à la fois pour les applications <em>cloud</em> de Microsoft (Office 365, Dynamics CRM Online, Windows Intune), pour un nombre important d’applications SaaS du marché, mais également pour toute application que l’entreprise raccorde à WAAD ;</li>
<li>Apporter une connexion unique (SSO) aux applications hébergées dans le <em>cloud, </em>voire aussi, dans certains cas, aux applications <em>On-Premises ;</em></li>
<li>Protéger les applications les plus critiques avec une solution d’authentification forte.</li>
</ul>
<p>Notons que certains services proposés sont antérieurs à la date de lancement officielle puisqu’ils ont été introduits dès 2010 pour offrir les fonctionnalités de gestions des identités et des accès à Office 365. C’est ainsi que Microsoft a pu afficher les chiffres de 265 milliards d’authentifications réalisées et de 2,9 millions d’organisations clientes à la date de lancement de la solution.</p>
<h2>Comment mettre en œuvre WAAD ?</h2>
<p>Deux modes d’implémentation sont envisageables en fonction des usages que l’entreprise souhaite couvrir.</p>
<p>La première possibilité est<strong> une implémentation en <em>stand alone</em></strong>, sans aucun lien avec les annuaires ou briques d’identités présentes dans le SI de l’entreprise. Cette absence de lien avec les infrastructures de l’entreprise permet de bénéficier rapidement d’une solution IAM pour le <em>cloud. </em>Néanmoins, cela impose de gérer spécifiquement le cycle de vie des identités (créations, modifications, suppressions), des mots de passe (initialisations, réinitialisations) et des habilitations (affectations de groupes).</p>
<p>La seconde possibilité consiste à <strong>« étendre les identités locales vers le <em>cloud ». </em></strong>Ce type d’implémentation permet de déployer simplement des applications <em>cloud</em> et ce de façon transparente pour les utilisateurs. Pour cela, une synchronisation unidirectionnelle entre un Active Directory géré localement et WAAD est mise en place (via l’outil DirSync). Dès lors, les processus de gestion du cycle de vie des identités déjà en place au sein de l’entreprise se retrouvent étendus au <em>cloud.</em></p>
<p>Et afin de permettre un accès sans couture aux utilisateurs à la fois aux applications cloud et aux applications hébergées dans le SI de l&rsquo;entreprise, il est nécessaire de disposer d&rsquo;une infrastructure de fédération des identités <em>On-Premises</em>.</p>
<p>Par ailleurs, il est possible d’utiliser un module d’authentification forte. Un téléphone est alors indispensable quel que soit le mode d’authentification choisi : One-Time Password par <em>SMS</em>, OTP par appel téléphonique ou encore notifications sur <em>smartphone</em>. Notons que ces fonctionnalités reposent sur la solution de l’éditeur PhoneFactor, racheté par Microsoft en octobre 2012.</p>
<p>Rappelons que Windows Azure Active Directory reste une solution d’IAM pour le cloud parmi d’autres. Dans un marché où des mouvements sont à prévoir dans les mois qui viennent, on peut se demander quels sont les véritables bénéfices de ces solutions, et ce qui les distingue les unes des autres. Des questions qui seront abordées dans un prochain article…</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/identite-dans-le-cloud-le-marche-se-structure-quid-de-lapproche-de-microsoft/">Identité dans le cloud : le marché se structure, quid de l’approche de Microsoft ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Sécurité et Cloud, un mariage de raison</title>
		<link>https://www.riskinsight-wavestone.com/2013/12/securite-et-cloud-un-mariage-de-raison/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Sun, 15 Dec 2013 20:12:45 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[ANSSI]]></category>
		<category><![CDATA[chiffrement]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[confidentialité des données]]></category>
		<category><![CDATA[conformité]]></category>
		<category><![CDATA[ENISA]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4748</guid>

					<description><![CDATA[<p>Lorsque l&#8217;on parle de cloud computing, les questions de sécurité s&#8217;invitent rapidement dans la conversation. Mes services seront-ils disponibles ? Où et comment vont être stockées mes données ? Avec quel niveau de contrôle ? Les risques mis en avant...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/12/securite-et-cloud-un-mariage-de-raison/">Sécurité et Cloud, un mariage de raison</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Lorsque l&rsquo;on parle de cloud computing, les questions de sécurité s&rsquo;invitent rapidement dans la conversation. Mes services seront-ils disponibles ? Où et comment vont être stockées mes données ? Avec quel niveau de contrôle ? Les risques mis en avant sont cependant à remettre en perspective.</p>
<h2>Des craintes à relativiser<em> &#8230;<br />
</em></h2>
<h4>Disponibilité du <em>Cloud</em></h4>
<p>Chaque incident touchant l’un des grands acteurs du <em>Cloud</em> fait la « Une » de l’actualité, mettant sur le devant de la scène la question de sa disponibilité.</p>
<p>Il s’agit pourtant d’un faux problème : les taux de disponibilité des services <em>Cloud</em> sont souvent  supérieurs à ceux des systèmes internes des entreprises. La situation, d’un point de vue médiatique, est comparable à celle des accidents aériens : bien que rares, ils choquent l’opinion et intéressent les journalistes beaucoup plus que les accidents de voiture, qui font pourtant annuellement plus de victimes. La disponibilité n’est donc pas un risque inhérent au <em>Cloud</em>. Il reste néanmoins une spécificité à laquelle il faut prêter attention : la connectivité avec le fournisseur Cloud. Si celui-ci utilise internet comme unique moyen d’accès à ses datacenters, le risque d’indisponibilité de cet accès et d’internet en tant que tel doit être pris en compte.</p>
<h4><em> </em>Confidentialité des données</h4>
<p>Mes données sont-elles isolées de celles des autres clients ? Les administrateurs peuvent-ils y accéder ? Il est important de remettre ces craintes en perspective. D’une part, toutes les données de l’entreprise ne sont pas critiques en termes de confidentialité. D’autre part, si ces questions se justifient dans certains cas, elles ne sont pas nouvelles et ont trouvé leurs réponses il y a déjà plusieurs années, à l’heure des premiers contrats d’externalisation IT ou de l’emploi d’administrateurs prestataires. Les principales différences résident dans l’éloignement potentiel et le degré de contrôle possible du fournisseur.</p>
<p>La confidentialité des données vis-à-vis des Etats reste un sujet plus complexe à adresser. Ces derniers disposent en effet de textes leur permettant d’accéder aux données présentes dans les systèmes hébergés sur leur sol. Les USA font souvent figure d’épouvantail, leurs textes ayant en plus une portée extraterritoriale (Patriot Act, FISAA). Ces textes permettent à la justice et aux forces de l’ordre américaines d’accéder aux données manipulées par des sociétés de droit américain quel que soit le client et la localisation des données. Le risque est donc que des Etats aient accès aux données dans un objectif d’espionnage économique. Ce risque est réel comme l’illustrent les révélations sur les moyens dont dispose la NSA. Mais là encore, la portée du risque est à mesurer. Seules quelques données ont un niveau de sensibilité élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.</p>
<h4><strong> </strong>Conformité réglementaire</h4>
<p>La conformité réglementaire (PCI-DSS, LIL…) des offres <em>Cloud</em>, notamment en matière de protection des données à caractère personnel est également un sujet d’inquiétude. La situation reste très variable en fonction des acteurs, même si des réponses techniques (localisation des données, chiffrement…) ou juridiques (Safe Harbour, contrat type de la commission européenne…) existent aujourd’hui chez la plupart d’entre eux.</p>
<h2>… car la sécurité est au cœur de la préoccupation des fournisseurs</h2>
<p>Très visibles et régulièrement attaqués, les fournisseurs majeurs de <em>Cloud</em> mettent souvent en place des équipes dédiées pour assurer la sécurité de leurs services. La sécurité est même devenue pour certains d’entre eux l’un  des principaux arguments de vente.</p>
<p>Attention cependant : tous n’assurent pas le même niveau de sécurité. Il reste donc important de préciser avec le fournisseur les mesures incluses dès la signature du contrat, d’autant qu’il est difficile de faire évoluer les mécanismes de sécurité d’un fournisseur quand ceux-ci ne sont pas prévus initialement. Certains fournisseurs de solutions « SaaS métier » de taille petite et intermédiaire négligent parfois la sécurité : les audits et tests d’intrusion ont pour ce type d’offres une importance accrue.</p>
<h2>Vers une coresponsabilité fournisseur / entreprise</h2>
<h4>Analyse de risque : passer de l’intention à l’action</h4>
<p>Suivre une démarche d’analyse de risque est impératif pour lever les freins relatifs à l’adoption du <em>Cloud</em>. La finalité de l’analyse n’est pas d’interdire le <em>Cloud</em> par défaut mais plutôt d’identifier les données sensibles afin d’accompagner les projets de la manière la plus sûre et la plus pertinente. L’implication des responsables sécurité dès le démarrage des projets est donc essentielle. Ils doivent identifier les risques que l’on peut réduire par des moyens techniques et organisationnels, et ceux résiduels impossibles à couvrir. Aux Métiers et à la Direction de décider ensuite si ceux-ci sont acceptables ou non pour l’entreprise. Et de revoir si besoin le périmètre de la démarche <em>Cloud</em>.</p>
<h4>Des contrôles à ne pas négliger…</h4>
<p>Durant le projet ou en amont lors de la phase de choix des fournisseurs, il est recommandé de poser des questions précises sur les mesures de sécurité pour ne pas laisser place à des réponses ambiguës. Par exemple, beaucoup de fournisseurs mettent en avant leurs certifications.</p>
<p>Il convient de vérifier le type de certification et le périmètre concerné. Un certain nombre d’acteurs du <em>Cloud</em> acceptent d’ailleurs de fournir des détails sur l’architecture de leur solution, après signature d’un accord de non-divulgation. La capacité à répondre rapidement et de manière détaillée aux questions permet de se forger un avis sur la maturité de l’offre proposée.</p>
<p>En outre, la possibilité d’auditer le prestataire <em>Cloud</em> est un bonus à ne pas négliger. Accepter un audit est une preuve de transparence du fournisseur et de confiance en son niveau de sécurité. Même si les plus grands acteurs anglo-saxons s’y refusent, il est toujours utile de poser la question, notamment pour des acteurs de taille intermédiaire.</p>
<h4>Des référentiels émergents</h4>
<p>Un outillage commence à voir le jour pour aider les entreprises à évaluer les risques et le niveau de sécurité inhérent. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié un guide pour accompagner les démarches de type <em>Cloud computing</em>. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au <em>Cloud</em>. Enfin, outre- Atlantique, l’association Cloud Security Alliance, qui regroupe les acteurs majeurs, a mis au point la <em>Cloud Controls Matrix</em>. Cette matrice permet de comparer de nombreux fournisseurs sur des critères de sécurité précis. Bien que fondée sur les seules déclarations desdits fournisseurs, elle peut s’avérer utile pour comparer les offres.</p>
<h4>Le chiffrement : graal de la sécurité <em>Cloud </em>?</h4>
<p>Parmi les solutions techniques permettant de réduire les risques du <em>Cloud</em>, le chiffrement se positionne en tête. Et si aujourd’hui son utilisation nécessite souvent de donner les clés de déchiffrement au fournisseur, des innovations technologiques se profilent. Elles permettront de transférer et de traiter des données à distance sans jamais donner au fournisseur d’accès direct. Bien qu’encore expérimentales, ces techniques, rassemblées sous la bannière du <a title="Chiffrement : la clé d’un cloud computing sécurisé ?" href="http://www.solucominsight.fr/2013/05/chiffrement-la-cle-dun-cloud-computing-securise/">chiffrement homomorphique</a>, méritent qu’on les suive avec attention.</p>
<h4>Ne pas mettre ses responsabilités dans les nuages</h4>
<p>Contrairement à ce que trop d’entreprises pensent, leur responsabilité ne s’arrête pas une fois la solution <em>Cloud</em> mise en production. Si le fournisseur est tenu de respecter un certain nombre</p>
<p>de règles de sécurité, le maintien du niveau de protection dans le temps relève aussi de la  responsabilité de l’entreprise. Pour cela, les bonnes pratiques appliquées au SI d’entreprise doivent être transposées au <em>Cloud</em> : gouvernance de la sécurité (processus, sensibilisation des utilisateurs), administration fonctionnelle de la sécurité, configuration des options de sécurité avancées, restriction des droits requis par les utilisateurs, formation des administrateurs, revue régulière des paramètres de configuration… Ceci est particulièrement vrai pour la gestion des identités et des accès, élément clé pour garantir la confidentialité des données dans le <em>Cloud</em>.</p>
<p><strong><em> </em></strong></p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/12/securite-et-cloud-un-mariage-de-raison/">Sécurité et Cloud, un mariage de raison</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cloud et sécurité : mythes et réalité (partie 2)</title>
		<link>https://www.riskinsight-wavestone.com/2013/07/cloud-et-securite-mythes-et-realite-partie-2/</link>
		
		<dc:creator><![CDATA[Chadi Hantouche]]></dc:creator>
		<pubDate>Wed, 10 Jul 2013 09:24:23 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie & projets IT]]></category>
		<category><![CDATA[chiffrement]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[données]]></category>
		<category><![CDATA[Patriot Act]]></category>
		<category><![CDATA[protection des données]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3917</guid>

					<description><![CDATA[<p>Comme nous l’avons présenté dans un précédent article, une démarche éclairée permet de choisir un fournisseur de Cloud computing dont l’offre est adaptée au besoin de l’entreprise. Pour autant, même une fois cette démarche menée à bout, plusieurs doutes persistent....</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/07/cloud-et-securite-mythes-et-realite-partie-2/">Cloud et sécurité : mythes et réalité (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Comme nous l’avons présenté dans un <a title="Cloud et sécurité : mythes et réalités (partie 1)" href="http://www.solucominsight.fr/2013/06/cloud-et-securite-mythes-et-realites-partie-1/">précédent article</a>, une démarche éclairée permet de choisir un fournisseur de Cloud computing dont l’offre est adaptée au besoin de l’entreprise.</p>
<p>Pour autant, même une fois cette démarche menée à bout, plusieurs doutes persistent.</p>
<p>Si l’actualité récente a fait éclater <a title="Révélations sur les capacités d’écoute et d’action de la NSA aux Etats-Unis (PRISM) : une chance pour le RSSI ?" href="http://www.solucominsight.fr/2013/06/revelations-sur-les-capacites-decoute-et-daction-de-la-nsa-aux-etats-unis-prism-une-chance-pour-le-rssi/" target="_blank" rel="noopener noreferrer">l’affaire PRISM</a> , la réalité des accès aux données est pourtant connue depuis de nombreuses années.</p>
<h2> <strong>Les risques d’accès aux données sont réels, depuis longtemps</strong></h2>
<p>Les quelques années de recul et d’expérience sur le Cloud montrent que les craintes quant à l’accès aux données hébergées à l’étranger sont justifiées.</p>
<p>L’exemple le plus souvent cité est celui du <em>USA PATRIOT Act</em> : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu’il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d’une entreprise de droit américain, l’obligation s’étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s’applique.</p>
<p>Le <a href="http://www.syntec-numerique.fr/">Syntec Numérique a publié un éclairage</a> intéressant sur le sujet en avril 2013. On y précise notamment  qu’un contrôle par un juge peut être réalisé avant la divulgation des données… Ou après, donc trop tard pour l’empêcher.</p>
<p>Cette loi pose donc  en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.</p>
<p>Pour autant, et c’est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le grand cabinet d’avocats <a href="http://www.hoganlovells.com/">Hogan Lovells a publié une étude à ce sujet en 2012</a>, incluant notamment un comparatif des législations de 10 grands pays sur l’accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées.<br />
Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act ? Principalement car les acteurs majeurs du Cloud sont aujourd’hui américains,  donc soumis à la législation américaine.</p>
<p>Cependant, ne considérer que l’aspect strictement légal est encore trop réducteur : l’entreprise doit également se demander si le pays sur le sol duquel ses  données critiques sont hébergées a des intérêts allant dans le même sens que les siens.</p>
<p>Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée.</p>
<h2><sup> </sup>Les fournisseurs français de Cloud computing, solution du problème ?</h2>
<p>Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale…  en théorie seulement.</p>
<p>En effet, de nombreuses fournisseurs français ont des centres de traitement et de stockage dans le monde entier… Même si vos données n’y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d’y donner accès à distance).</p>
<p>Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d’administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l’objet d’attentions.</p>
<p>Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles.</p>
<h2>Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver</h2>
<p>Un moyen de se protéger des divulgations indésirables pourrait consister en l’ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu’une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d’avertir le propriétaire des données que celles-ci ont été transmises (il s’agit du principe de <em>gag order</em>).</p>
<p>Dans certains cas, il est possible de prendre certaines précautions très spécifiques. Nous conseillons parfois à nos clients de demander l’isolation de leurs données  dans le datacenter du fournisseur, dans une salle sous alarme dont seule l’entreprise détient la clé. Là encore, cela n’empêchera pas un accès aux données, mais permettra au moins à l’entreprise d’en avoir connaissance.</p>
<p>Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s’assurer que même en cas d’accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l’ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu’elles sont stockées dans le Cloud.</p>
<p align="left">À ce titre, le<a title="Chiffrement : la clé d’un cloud computing sécurisé ?" href="http://www.solucominsight.fr/2013/05/chiffrement-la-cle-dun-cloud-computing-securise/" target="_blank" rel="noopener noreferrer"> chiffrement dit « homomorphique »</a> constitue une perspective d’avenir intéressante…</p>
<div>
<hr align="left" size="1" width="33%" />
</div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/07/cloud-et-securite-mythes-et-realite-partie-2/">Cloud et sécurité : mythes et réalité (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cloud et sécurité : mythes et réalités (partie 1)</title>
		<link>https://www.riskinsight-wavestone.com/2013/06/cloud-et-securite-mythes-et-realites-partie-1/</link>
		
		<dc:creator><![CDATA[Chadi Hantouche]]></dc:creator>
		<pubDate>Fri, 07 Jun 2013 07:52:03 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[ANSSI]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[ENISA]]></category>
		<category><![CDATA[protection des données]]></category>
		<category><![CDATA[virtualisation]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3804</guid>

					<description><![CDATA[<p>La sécurité est un sujet récurrent lorsque l’on parle de Cloud, à tel point qu’elle est devenue pour de nombreux fournisseurs un argument de vente. En particulier, la question de la protection des données transmises, traitées et sauvegardées apparaît comme...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/cloud-et-securite-mythes-et-realites-partie-1/">Cloud et sécurité : mythes et réalités (partie 1)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>La sécurité est un sujet récurrent lorsque l’on parle de Cloud, à tel point qu’elle est devenue pour de nombreux fournisseurs un argument de vente.</em></p>
<p><em>En particulier, la question de la protection des données transmises, traitées et sauvegardées apparaît comme cruciale. Ces points préoccupent aujourd’hui les experts techniques, les managers d’information, et parfois même les directions des entreprises.</em></p>
<p><em>Le Cloud est-il sûr ? Que risque-t-on en l’adoptant ? Comment y assurer la sécurité de ses données ?</em></p>
<h2>Un service moins cher n’est pas forcément moins sécurisé</h2>
<p>Il faut voir les risques liés au Cloud comme proches de ceux existants sur l’externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d’un certain nombre de tâches, etc.).</p>
<p>Pourtant, de manière générale, nous constatons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises. Plusieurs facteurs expliquent cela.</p>
<p>Le fait de fournir un service informatique à l’état de l’art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d’entre eux, la mise en place et le respect des procédures de sécurité fait l’objet d’une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l’un peuvent souvent être appliquées à tous.</p>
<p>Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d’image : la découverte de faiblesses de sécurité amène en général à une correction rapide.</p>
<p>Inversement, si un mécanisme de sécurité n’est pas offert par un fournisseur (de base ou en option), il sera malheureusement difficile de l’obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse.</p>
<p>Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d’un fournisseur à un autre.</p>
<h2>Des outils dédiés existent pour évaluer ses risques de sécurité</h2>
<p>D’un point de vue sécurité, la démarche est celle – classique – de l’analyse de risque. Le but est ici d’accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire.</p>
<p>Dans le cas du Cloud, un outillage spécifique commence à apparaître pour réaliser cette analyse. En France, l’ANSSI (Agence Nationale de  la Sécurité des Systèmes d’Information) a publié  un guide<sup>1</sup> pour accompagner les démarches de type Cloud computing. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse<sup>2</sup> générique mais complète des risques liés au Cloud.</p>
<p>Outre-Atlantique, l’association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix<sup>3</sup>, qui permet de comparer de nombreux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s’avérer utile.</p>
<h2>Les comparaisons théoriques  ne suffisent pas</h2>
<p>Il est parfois difficile de distinguer ce qui est présenté de ce qui est fait en réalité en termes de sécurité. Plusieurs critères permettent d’évaluer les fournisseurs.</p>
<p>Ils peuvent tout d’abord se prévaloir de différentes certifications : ISO 27001 (très adoptée et quasiment obligatoire aujourd’hui) et ISAE 3402/SAE 16 (très adoptées également, requises pour les groupes cotés aux États-Unis, dans la ligne de SOX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les données de cartes bancaires.</p>
<p>Pour autant, ces certifications ne sont pas toujours une assurance d’un niveau de sécurité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très précises, sans laisser de place à des réponses trop larges ou ambiguës.</p>
<p>Un certain nombre d’acteurs du Cloud accepteront d’ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d’un accord de non-divulgation. Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l’offre proposée.</p>
<p>Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l’ajout d’une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise en œuvre démarrée, faire marche arrière est presque impossible…</p>
<p>Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité.</p>
<p><em><sup>1 </sup></em><em>: ANSSI &#8211; Externalisation, Cloud Computing : maîtriser les risques pour les systèmes d&rsquo;information (</em><a href="http://www.ssi.gouv.fr/externalisation/"><em>http://www.ssi.gouv.fr/externalisation/</em></a><em>)  </em></p>
<p><em><sup>2 </sup></em><em>: ENISA  &#8211; Cloud Computing Security Risk Assessment (</em><a href="http://www.enisa.europa.eu/activities/risk-management/"><em>http://www.enisa.europa.eu/activities/risk-management/</em></a><em>) </em></p>
<p><em><sup>3 </sup></em><em>: </em>Cloud Security Alliance <em>&#8211; </em>Cloud Controls Matrix <em>(<a href="https://cloudsecurityalliance.org/research/ccm/">https://cloudsecurityalliance.org/research/ccm/</a>) </em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/cloud-et-securite-mythes-et-realites-partie-1/">Cloud et sécurité : mythes et réalités (partie 1)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Chiffrement : la clé d’un cloud computing sécurisé ?</title>
		<link>https://www.riskinsight-wavestone.com/2013/05/chiffrement-la-cle-dun-cloud-computing-securise/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Fri, 17 May 2013 14:00:45 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie & projets IT]]></category>
		<category><![CDATA[chiffrement]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[PKI]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3747</guid>

					<description><![CDATA[<p>Le Cloud computing pose de nombreuses interrogations sur sa sécurité. Puis-je avoir confiance dans mon fournisseur ? Quels sont les capacités des administrateurs à accéder à mes données ? Est-ce que l’isolation est bien réalisée entre les clients ? Est-ce que les forces...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/05/chiffrement-la-cle-dun-cloud-computing-securise/">Chiffrement : la clé d’un cloud computing sécurisé ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Le Cloud computing pose de nombreuses interrogations sur sa sécurité. Puis-je avoir confiance dans mon fournisseur ? Quels sont les capacités des administrateurs à accéder à mes données ? Est-ce que l’isolation est bien réalisée entre les clients ? Est-ce que les forces de l’ordre d’autre pays peuvent demander un accès à mes données sans que j’en sois informée ? Derrière toutes ces questions se cachent de multiples réponses, variant fortement suivant les services utilisés, les fournisseurs et leur niveau de sécurité, ou encore la localisation des serveurs et le statut juridique des offreurs de service. Il n’existe pas de réponse unique aujourd’hui et même si des certifications, telles que l’ISO 27001 ou encore SSA16/ISAE3402, apportent des niveaux de garanties complémentaires, il est difficile d’avoir une certitude forte sur le niveau de sécurité.</em></p>
<p><span id="more-3747"></span></p>
<h2>Le chiffrement « classique » : une réponse partielle aux inquiétudes</h2>
<p>Dans ce cadre, l’envie de conserver une mainmise sur les données de l’entreprise émerge rapidement, et les technologies de chiffrement font leur retour sur le devant de la scène. L’idée serait de traiter au niveau du cloud des données chiffrées afin de limiter les risques d’écoute. Ceci est possible par exemple pour un service de stockage en ligne. Les données sont chiffrées dans l’entreprise puis envoyées sur le serveur, lors de l’accès elles sont déchiffrées localement par l’utilisateur. Cependant se pose rapidement la question de la capacité à traiter les données, en effet les attentes métiers vis-à-vis du cloud vont bien au-delà d’un simple espace de stockage !</p>
<p>Il est alors possible d’envisager un chiffrement uniquement au moment du stockage chez le fournisseur. Lors d’un traitement interne au service cloud (recherche de données, édition de bulletin de paye, calcul scientifique…) le fournisseur pourrait déchiffrer les données, réaliser le traitement puis chiffrer à nouveau. Cette méthode fonctionne techniquement mais elle ne répond pas aux multiples interrogations. En effet, pour que ce mécanisme fonctionne, le fournisseur doit disposer des clés de chiffrement. Mais qui nous assure alors qu’elles ne sont pas utilisées à mauvais escient ? Et ceci aussi bien par des employés du fournisseur, que des tiers (autorités ou pirates par exemple) qui auraient accès aux systèmes de gestion de clés.</p>
<h2>Une solution à suivre : le chiffrement homomorphique</h2>
<p>Depuis des années, une solution à ce problème mûrit dans la tête des chercheurs : le chiffrement homomorphique. Derrière ce terme complexe se cache une idée simple : pouvoir réaliser des traitements directement sur des données chiffrées, sans avoir besoin de les déchiffrer ! Depuis 2009, de nombreuses avancées ont été réalisées dans ce domaine en particulier au MIT. Récemment, une équipe d’IBM a même mis à disposition une implémentation concrète (code source à l’appui) de cette méthode. Aujourd’hui, il existe encore un grand nombre de limitations, en particulier par rapport à la vitesse de traitement ou les opérations réalisables. Il faudra également que cette méthode et son implémentation soient analysées par des experts en chiffrement pour en garantir la robustesse.  D’autre part, il faudra toujours que l’entreprise fasse l’effort de gérer correctement ses clés de chiffrement. Le quotidien nous montre qu’aujourd’hui c’est encore rarement le cas !</p>
<h2>Une avancée à suivre de près !</h2>
<p>Le chiffrement homomorphique représente une avancée importante dans l’industrialisation de l’informatique. Les annonces récentes ont été largement saluées dans les différentes communautés sécurité. Sa mise en œuvre pourrait lever les nombreux freins qui existent encore aujourd’hui par rapport à la localisation des données ou encore aux fournisseurs. Même s’il faudra encore attendre quelques années avant une possible démocratisation, il s’agit clairement d’un sujet à garder dans le radar de la veille !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/05/chiffrement-la-cle-dun-cloud-computing-securise/">Chiffrement : la clé d’un cloud computing sécurisé ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>SaaS et sécurité : entreprises, ne mettez pas vos responsabilités dans les nuages !</title>
		<link>https://www.riskinsight-wavestone.com/2013/03/saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages/</link>
		
		<dc:creator><![CDATA[zephSolucomBO]]></dc:creator>
		<pubDate>Tue, 19 Mar 2013 12:30:42 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[données]]></category>
		<category><![CDATA[gestion des identités]]></category>
		<category><![CDATA[messagerie]]></category>
		<category><![CDATA[SaaS]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3528</guid>

					<description><![CDATA[<p>A l’heure où le SaaS est le mode de Cloud computing le plus représenté au sein des grands comptes, quelques années de recul sur le sujet amènent à un constat clair en termes de sécurité : choisir « le bon » fournisseur SaaS...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/03/saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages/">SaaS et sécurité : entreprises, ne mettez pas vos responsabilités dans les nuages !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>A l’heure où le SaaS est le mode de Cloud computing le plus représenté au sein des grands comptes, quelques années de recul sur le sujet amènent à un constat clair en termes de sécurité : choisir « le bon » fournisseur SaaS ne suffit pas.  L’entreprise n’externalise pas sa responsabilité avec sa messagerie…  Elle reste la garante du maintien de son niveau de sécurité dans le temps.</em></p>
<h2>La sécurité, une question négligée après la phase de contractualisation</h2>
<p>Les limites posées par le SaaS sont aujourd’hui bien connues : difficultés d’adaptation du service aux besoins de l’entreprise, absence de possibilités d’audit, questions réglementaires, etc.</p>
<p>Pourtant, de plus en plus de services cloud sont adoptés, sans que la sécurité ne soit nécessairement un frein. Pour cela, une démarche classique d’analyse de risque est menée en évaluant les contraintes légales / réglementaires,  les mécanismes de protection des données, la gestion de la sécurité par le fournisseur, ou encore les conditions de réversibilité de la donnée.</p>
<p>Cette démarche est de plus en plus maîtrisée : de nombreux retours d’expérience et un outillage qui se professionnalise<strong>*</strong> amènent à faire des choix éclairés, en toute connaissance de cause des risques encourus, et donc parfois acceptés.</p>
<p>Malheureusement, la démarche sécurité s’arrête souvent là : à partir du moment où le sujet a été traité lors de la contractualisation, on considère qu’un bon niveau est assuré, puisque l’on a exigé du prestataire de s’en occuper !</p>
<p>Le maintien de la sécurité dans le temps est un enjeu régulièrement oublié, alors même qu’il est en partie du ressort de l’entreprise, et pas seulement à la charge du fournisseur.</p>
<h2>Des sujets à inscrire dans la durée</h2>
<p>Pour s’assurer que la solution cloud est déployée avec le bon niveau de sécurité, et maintenir celui-ci dans le temps, quatre grands thèmes sont à aborder en priorité. S’il s’agit de bonnes pratiques habituelles sur un SI d’entreprise, il faut aujourd’hui les adapter, voire les renforcer pour le SaaS.</p>
<p><figure id="attachment_3529" aria-describedby="caption-attachment-3529" style="width: 424px" class="wp-caption aligncenter"><a href="http://www.solucominsight.fr/2013/03/saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages/schema-cloud-saas/" rel="attachment wp-att-3529"><img loading="lazy" decoding="async" class=" wp-image-3529" title="schéma cloud saas" src="http://www.solucominsight.fr/wp-content/uploads/2013/03/schéma-cloud-saas.png" alt="" width="424" height="275" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2013/03/schéma-cloud-saas.png 4617w, https://www.riskinsight-wavestone.com/wp-content/uploads/2013/03/schéma-cloud-saas-294x191.png 294w, https://www.riskinsight-wavestone.com/wp-content/uploads/2013/03/schéma-cloud-saas-60x39.png 60w" sizes="auto, (max-width: 424px) 100vw, 424px" /></a><figcaption id="caption-attachment-3529" class="wp-caption-text"><span style="font-size: x-small;"><em>Les responsabilités de l’entreprise pour le maintien de la sécurité du SaaS dans le temps</em></span></figcaption></figure></p>
<ul>
<li> La <strong>gouvernance</strong> : les services SaaS doivent être intégrés aux procédures de sécurité et des processus liés au service fourni. Il peut par ailleurs être utile de mener des actions de sensibilisation dans certaines situations.</li>
</ul>
<ul>
<li><strong>L’administration fonctionnelle</strong> du service est bien du ressort de l’entreprise : le fournisseur n’est pas en mesure de faire les choix fonctionnels à votre place (et ce n’est souvent pas ce qu’on lui demande) ! Pour l’aspect sécurité plus encore, c’est à l’entreprise de définir  et mettre en œuvre les fonctionnalités avancées disponibles, de restreindre les services au minimum requis par l’utilisateur, de former ses administrateurs… Ces aspects sont souvent les plus négligés, comme nous le constatons lors des audits que nous réalisons.</li>
<li>Des <strong>contrôles</strong> réguliers peuvent et doivent aussi être mis en œuvre sur les parties auditables des services. Il s’agit en particulier de vérifier que les paramètres de sécurité sont inchangés, d’exploiter les <em>logs</em> sécurité, et de revoir les habilitations. S’il le permet, enfin, ne pas hésiter à auditer son fournisseur (visites de site, voire tests d’intrusion).</li>
<li>Il reste enfin à traiter le sujet de l’<strong>IAM</strong>, enjeu transverse du Cloud, souvent peu ou mal maîtrisé de par sa complexité. Même si cette voie est souvent suivie, il faut pourtant éviter de recréer un compte dans le Cloud pour chaque utilisateur. Pour « synchroniser » les identités de l’entreprise dans le Cloud, il faut également éviter la multiplication des connecteurs  (et notamment ne pas en redévelopper un par fournisseur), sous peine de créer une situation ingérable. Deux approches sont aujourd’hui à prioriser : soit l’utilisation d’un outil de fédération d’identités interne (qui réalise la connexion avec la majorité des fournisseurs de SaaS), soit l’externalisation de l’IAM… dans le Cloud (!) en « Identity as a Service »</li>
</ul>
<h2><strong></strong>Le RSSI, garant de la cohérence des projets</h2>
<p>Dans le cas du SaaS, le rôle des responsables sécurité de l’information est double.</p>
<p>D’une part, il s’agit d’accompagner les projets, en leur apportant des solutions transverses : un certain nombre de points peuvent être mutualisés en amont. C’est tout particulièrement le cas des sujets tels que l’IAM, qui doivent faire l’objet d’une approche unifiée et cohérente &#8211;  et surtout pas projet par projet.  C’est également le cas des questions légales qui doivent faire l’objet d’une réflexion globale amont.</p>
<p>D’autre part, la SSI demeure la garante du niveau de sécurité dans le temps : la Gestion Opérationnelle de la sécurité devra faire l’effort de partir à la conquête des nuages !</p>
<p><strong>*</strong> <em>On peut citer notamment </em><a href="http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html" target="_blank" rel="noopener noreferrer"><em>le guide publié par l’ANSSI</em></a><em> et </em><a href="https://cloudsecurityalliance.org/research/ccm/" target="_blank" rel="noopener noreferrer"><em>la « Cloud Control Matrix » maintenue par la Cloud Security Alliance</em></a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/03/saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages/">SaaS et sécurité : entreprises, ne mettez pas vos responsabilités dans les nuages !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</title>
		<link>https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/</link>
		
		<dc:creator><![CDATA[Yannick Neff]]></dc:creator>
		<pubDate>Fri, 28 Dec 2012 08:30:49 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie & projets IT]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[datacenter]]></category>
		<category><![CDATA[PCI]]></category>
		<category><![CDATA[RaaS]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2778</guid>

					<description><![CDATA[<p>Quand l’ouragan « Katrina » a frappé la Côte du Golf des États-Unis, en Août 2005, ravageant une bonne partie de l’infrastructure de télécommunications, seule une poignée de datacenters a pu tenir le choc. « Katrina » n’a pas seulement anéanti ces centres de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/">Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Quand l’ouragan « Katrina » a frappé la </em><em>Côte du Golf des États-Unis, en Août 2005, ravageant une bonne partie de l’infrastructure de télécommunications, seule une poignée de datacenters a pu tenir le choc. « Katrina » n’a pas seulement anéanti ces centres de données, mais a également mis en défaut un nombre important de plans de continuité informatique (PCI).</em></p>
<p><em>Des sinistres de cette ampleur ont permis d’alerter les DSI sur leur exposition face aux risques naturels. La régularité et la violence de ces évènements climatiques ont poussé les entreprises à prendre des mesures pour faire face à de futures tempêtes de la dimension de «Sandy». Les leçons du passé ont-elles pour autant été retenues ? Ont-elles toutes réussi ce test grandeur nature ? si oui, comment y sont- elles parvenues ?</em></p>
<p><span id="more-2778"></span></p>
<h2>Les conséquences de l’ouragan « Sandy »</h2>
<p>Annoncé comme une catastrophe majeure dans l’histoire des États-Unis, l’ouragan « Sandy » a capté l’attention de la plupart des DSI des acteurs économiques de la côte Est qui ont mobilisé leurs efforts pour déclencher leurs plans de continuité informatique. Ces PCI, mis à niveau depuis les attentats du 11 Septembre 2001, sont fondés notamment sur des procédés de géo-réplication.</p>
<p>Les acteurs du web et plus largement du marché du cloud sont plus enclins à communiquer sur leur capacité de reprise et à faire des retours sur les incidents subis que les entreprises traditionnelles. Les informations disponibles proviennent donc essentiellement de ces acteurs.</p>
<p>De nombreuses pannes d&rsquo;électricité causées par la tempête, ont entraîné une indisponibilité partielle ou totale de services (Huffington Post, Gawker, Cafemon, Gizmodo, Buzzfeed, etc.) dans bon nombre de datacenters. Les hébergeurs et fournisseurs de services cloud <strong>Datagram</strong> et<strong> 75 Broad</strong> ont été indisponibles à causes d’inondations ou réserves insuffisantes de carburant pour le fonctionnement des groupes électrogènes.</p>
<p>« Sandy » a ainsi rendu apparente la vulnérabilité des nombreux datacenters présents dans cette zone (New York, New Jersey, et Virginie) des États-Unis. En effet, plusieurs centres de données géo-répliqués n’étaient distants que d’une centaine de kilomètres (150 datacenters) et donc dans le rayon d’impact de Sandy.</p>
<p>Ces dysfonctionnements mettent en exergue la nécessité, même pour des PCI bien pensés comme ceux de Wall Street, d’être mis à l’épreuve dans des conditions proches de la réalité, avant d’être jugés comme fiables.</p>
<h2><strong> Des PCI à l&rsquo;épreuve des ouragans </strong></h2>
<p>Certains opérateurs de datacenter, comme <a href="http://searchcloudprovider.techtarget.com/news/2240170482/Hurricane-Sandys-wake-How-did-providers-data-center-DR-plans-do"><strong>Telx</strong></a>, ont résisté à Sandy car ils avaient appliqué précédemment des tests simulant jusqu’au bout un sinistre. Par cette initiative, Telx a pu identifier certaines insuffisances dans son PCI comme la surchauffe de ses générateurs en mode dégradé et a donc pu limiter l’impact de Sandy.</p>
<p>Un cas d’école est celui de Buzzfeed qui, malgré le crash de Datagram qui hébergeait ses serveurs primaires, a réussi à réduire considérablement le temps d’indisponibilité de ses services. Cette réussite s’explique par :</p>
<ul>
<li>la mise en cache de la plupart de ses pages chez Akamai, le gestionnaire et diffuseur de contenu</li>
<li>l’hébergement dans un second datacenter des données répliquées en temps réel.</li>
</ul>
<p>La réplication de ces données a permis le rétablissement des services de Buzzfeed chez Amazon Web services (AWS). Quelques heures ont suffi pour assurer la migration complète des données vers AWS et ainsi basculer leur service sur les infrastructures d’Amazon. Cet exploit est à relativiser car il a nécessité la configuration manuelle d’une bonne partie du socle technique de Buzzfeed et reste donc peu applicable en l’état à un SI complexe.</p>
<h2>Les leçons de « Sandy »</h2>
<p>Chaque incident majeur est une façon pour les Grands Comptes d’apprendre par le réel et d’anticiper les futures catastrophes. Au-delà d’une stratégie multi-datacenters, Sandy a  mis en exergue la nécessité d’anticiper, de tester et d’adapter le PCI.</p>
<p>Elle a aussi révélé le cloud comme une alternative envisageable pour réaliser un PCI. Alternative que les offreurs cloud commencent à mettre en avant par le biais de leurs offres packagées de <a title="Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?" href="http://www.solucominsight.fr/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Disaster Recovery As A Service.</a></p>
<p>Les entreprises européennes et notamment françaises, qui ont moins l’occasion de mettre à l’épreuve de la réalité leur PCI, devraient néanmoins s’inspirer des retours d’expériences plus nombreux acquis par les américains. D’autant plus que les hébergeurs de cloud ne rechignent pas à communiquer sur leur stratégie PCI gagnante afin d’en faire un argument marketing. En effet, même si moins fréquentes, l’Europe n’est pas à l’abri de catastrophes équivalentes en termes d’impact à « Sandy ».</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/">Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/</link>
		
		<dc:creator><![CDATA[Mickael Avoledo]]></dc:creator>
		<pubDate>Mon, 25 Jun 2012 11:55:33 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[RaaS]]></category>
		<category><![CDATA[recovery]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=1960</guid>

					<description><![CDATA[<p>Non contents d’avoir déjà décliné une bonne partie des lettres de l’alphabet à la sauce « As A Service », les fournisseurs de service en ont trouvé un nouveau : le « Recovery-as-a-Service » ou RaaS [1]. Arrivées vers la fin 2009 aux États-Unis par...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Non contents d’avoir déjà décliné une bonne partie des lettres de l’alphabet à la sauce « <em>As A Service</em> », les fournisseurs de service en ont trouvé un nouveau : le « <em>Recovery-as-a-Service</em> » ou <em>RaaS</em> [1]. Arrivées vers la fin 2009 aux États-Unis par le biais de startups, les offres <em>RaaS</em> y sont désormais proposées par les principaux acteurs de la continuité informatique, Sungard Availability Services et IBM BC&amp;RS en tête. Alors le <em>RaaS</em>, révolution ou pas ?</p>
<h2>Le <em>RaaS </em>: fer de lance des « <em>Cloud Recovery Services</em> »</h2>
<p>Comme pour beaucoup de ce qui tourne autour du cloud, il est parfois difficile de donner une définition précise de ce dont on parle, tant une même appellation peut cacher des offres différentes. Nous utiliserons la définition suivante : <em>« Cloud Recovery Service =&gt; </em><em>secours d’un système d’information sur une infrastructure virtualisée, hébergée par un tiers, disponible à la demande et facturée à l’utilisation. »</em></p>
<p>L’éventail des possibilités est très large :</p>
<ul>
<li> d’une sauvegarde externalisée des données critiques en mode cloud (« <em>Backup-as-a-Service</em> ») …</li>
<li> …en passant par la construction par le client lui-même de son secours sur la base d’une prestation de type « <em>IaaS</em> » [2] …</li>
<li>  …jusqu’à une offre complètement managée intégrant le suivi du SI nominal et des mécanismes de bascule planifiés. C’est ce type de prestations que l’on retrouve sous l’appellation « <em>Recovery-as-a-Service</em> ».</li>
</ul>
<h2> Quel est l’intérêt de passer au <em>RaaS</em> ?</h2>
<p>L’utilisation du <em>RaaS</em> résulte avant tout d’un choix économique. Sur le papier du moins, le secours paraît adapté au modèle de facturation du cloud (pas de sinistre &gt; allocation limitée de ressources &gt; coût d’utilisation réduit), alors qu’un secours traditionnel implique de stocker, héberger et faire évoluer des infrastructures, des serveurs et des applications sur un site de secours.</p>
<p>Mais à y regarder de plus près, les économies ne sont pas toujours au rendez-vous et varient grandement en fonction des applications. Si certaines d’entre elles, peu consommatrices de données, sont les candidates idéales pour le <em>RaaS</em> (des études indépendantes font état d’environ 80% d’économies [3] pour leur secours par rapport à l’approche traditionnelle), le ROI pour les applications plus lourdes et/ou pour lesquels les exigences de continuité sont plus fortes s’avère discutable. En effet, plus les RTO et RPO seront exigeants, plus le niveau de service devra être élevé (allocation renforcée de ressources, mécanismes de réplication des données site-à-site, liens sécurisés, supervision 24/7, etc.) entraînant une envolée des coûts à la clef.</p>
<p>Le <em>RaaS</em> s’assimile, à ce stade de sa maturité, au mieux à du « <em>warm recovery</em> ». En effet, il est aujourd’hui illusoire de penser que les solutions proposées permettront de la haute-disponibilité : délais d’activation, délais relatifs aux opérations de bascule notamment au niveau du réseau, délais de restauration en cas de corruption des données, etc.</p>
<p>En outre, le RaaS repose essentiellement sur des mécanismes de virtualisation de serveurs (le plus souvent restreints aux architectures Intel x86, à l’exception de quelques fournisseurs), que ne supportent pas tous les progiciels du marché, a fortiori les applications propriétaires des clients.</p>
<p>Ainsi, le fait de vouloir tirer pleinement parti de la compétitivité économique du RaaS tout en répondant aux besoins Métiers réduit son utilisation à une certaine catégorie d’applications. Ce faisant, il cantonne le RaaS en tant que solution complémentaire à un secours traditionnel, ce qui peut paradoxalement devenir une source de complexité, du fait de la cohabitation de deux SI de secours. Néanmoins, deux cas d’usage du RaaS émergent pour les organisations concernées :</p>
<ul>
<li> La couverture des applications virtualisées ou éligibles à la virtualisation à coût optimisé</li>
<li> L’extension du secours à des périmètres qui n’auraient pas pu être intégrés au Plan de Continuité Informatique de l’organisation, pour une meilleure couverture au meilleur coût.</li>
</ul>
<p>&nbsp;</p>
<h2>A qui s’adressent les offres <em>RaaS</em> ?</h2>
<p>Étant donné son modèle économique et sa structure technique, le <em>RaaS</em> semble plus adapté aux moyennes structures (qui n’ont pas souvent la surface financière pour mettre en œuvre et gérer en propre un site de secours) et notamment à celles qui ont opéré la virtualisation de leur SI. Les études prospectives [4] le montrent : ce sont elles qui tireront la croissance de ce marché dans les prochaines années.</p>
<p>Les grandes organisations déjà dotées de Plans de Continuité Informatique seront probablement moins intéressées mais pourront néanmoins trouver dans le <em>RaaS</em> des réponses ciblées à certains de leurs besoins.</p>
<h2>Le <em>RaaS</em> : une offre mature ?</h2>
<p>Comme pour nombre de <em>cloud services</em>, le <em>RaaS</em> n’a pas encore atteint sa pleine maturité : en témoigne le foisonnement des offres et des prestataires notamment aux États-Unis et au Royaume-Uni. Au-delà des acteurs historiques de la continuité informatique se positionnent des <em>pure-players</em> des <em>cloud recovery services</em> et de plus en plus des hébergeurs informatiques, convertis au <em>cloud</em>.</p>
<p>Le marché se structure, les offres évoluent en recherchant notamment de la complémentarité avec les <em>cloud services</em> : des initiatives d’interopérabilité entre services <em>IaaS</em> et <em>RaaS</em> se font jour pour assurer du secours « cloud-to-cloud » par exemple.</p>
<p>A ce stade et en terme de couverture de risques, le <em>RaaS</em> doit faire ses preuves. Concrètement les infrastructures dévolues au <em>RaaS</em> reposent sur encore peu de datacenters. Le client qui souhaitera se prémunir de sinistres affectant des zones géographiques particulières (ou étendues) devra se rapprocher du fournisseur de service <em>RaaS</em> qui l’intéresse pour vérifier que son ou ses sites ne sont pas exposés aux mêmes risques.</p>
<p>En France, le marché reste jeune et sans retour d’expérience significatif de déploiement. Les grands offreurs français s’appuient, aujourd’hui, sur les infrastructures anglo-saxonnes ou nord-américaines de leur maison-mère (ce qui potentiellement impacte la qualité de service, le niveau de sécurité, les engagements contractuels, etc.). Reste donc aux acteurs, anciens comme nouveaux, à démontrer toute la pertinence de leurs offres, en particulier sur la gamme des services managés, probablement les plus recherchés par les DSI.</p>
<p>&nbsp;</p>
<p><em>[1] On rencontre également l’acronyme DRaaS (Disaster Recovery-as-a-Service)</em></p>
<p><em>[2] IaaS : Infrastructure-as-a-Service</em></p>
<p><em>[3] « </em><a href="http://static.usenix.org/event/hotcloud10/tech/full_papers/Wood.pdf"><em>Disaster Recovery as a Cloud Service : Economic Benefits &amp; Deployment Challenges</em></a><em> »</em></p>
<p><em>[4] « Gartner Says 30 Percent of Midsize Companies Will Use Recovery-as-a-Service by 2014 »</em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>ISO 27001,  un passage obligé pour les fournisseurs de services dans le cloud ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/06/iso-27001-un-passage-oblige-pour-les-fournisseurs-de-services-dans-le-cloud/</link>
		
		<dc:creator><![CDATA[Marion Couturier]]></dc:creator>
		<pubDate>Thu, 07 Jun 2012 11:26:03 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[ISO 27001]]></category>
		<category><![CDATA[SMSI]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=1887</guid>

					<description><![CDATA[<p>Google a la semaine passée annoncé en grande pompe l’obtention de la certification ISO 27001 pour ses services Google Apps for Business. Mais quels sont donc les bénéfices d’une telle certification pour un fournisseur de service comme Google ? Certifier le...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/iso-27001-un-passage-oblige-pour-les-fournisseurs-de-services-dans-le-cloud/">ISO 27001,  un passage obligé pour les fournisseurs de services dans le cloud ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Google a la semaine passée annoncé en grande pompe l’obtention de la certification ISO 27001 pour ses services Google Apps for Business. Mais quels sont donc les bénéfices d’une telle certification pour un fournisseur de service comme Google ?</p>
<h2><strong>Certifier le management de la sécurité, pas un niveau de sécurité</strong></h2>
<p>Tout d’abord, bref retour sur un point majeur trop souvent oublié : la norme ISO 27001 ne certifie pas un niveau de sécurité, mais son management. Cette norme, qui énonce les exigences à mettre en œuvre pour l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI), vise à mettre en place le management de la sécurité et à s’assurer de son amélioration continue sur le périmètre de la certification.</p>
<p><span id="more-1887"></span>Le choix des mesures et du niveau de sécurité en place est donc fait en réponse aux risques et exigences identifiés par les parties prenantes : un choix nécessairement validé par le management ! Contrairement à un standard « catalogue » comme PCI-DSS où toutes les mesures doivent être implémentées pour arriver à la certification, l’audit ISO 27001 ne vérifiera que les mesures sélectionnées comme apportant une réponse aux risques. Une différence de taille, qui pousse vers une sécurité pragmatique mais en contrepartie nécessite une analyse des risques de sécurité de qualité et une attention particulière de l’auditeur externe.</p>
<h2>U<strong>n périmètre solide</strong></h2>
<p>De nombreuses entreprises affichent des certifications, mais il est souvent nécessaire pour les clients de s’attarder sur la lecture du périmètre pour en connaître la valeur : un périmètre très limité par rapport à l’utilisation de leurs données peut être trompeur !</p>
<p>Ce n’est pas le cas ici, puisque Google présente une certification ISO 27001 qui couvre l’ensemble des systèmes, collaborateurs, processus et datacenters qui permettent de délivrer le service Google Apps. Cela inclut les services  GMail, Google Talk, Google Calendar, Google Docs (documents, spreadsheets, presentations), Google Sites, Control Panel (CPanel), Google Contacts, Google Video, Google Groups, mais aussi les briques support (Directory Sync, Provisioning API, SAML-Based SSO API, Reporting API, Audit API). C’est un périmètre impressionnant au vu de la couverture des services, tant sur le plan fonctionnel que géographique !</p>
<h2><strong>Développer la confiance et diminuer le nombre d’audits</strong></h2>
<p>A l’heure où de plus en plus d’entreprises se posent la question de l’opportunité d’externaliser les services de bureautiques comme la messagerie, l’édition de documents, etc., rassurer les responsables de la sécurité en garantissant les meilleures pratiques de management de la sécurité ne peut qu’être positif en termes marketing. Au-delà de l’apport de confiance, c’est également pour Google la garantie d’une reconnaissance externe, sanctionnée par un organisme de certification indépendant, qui pourra diminuer le nombre ou la charge d’audits des clients. Un bénéfice opérationnel non négligeable &#8211; même si Google n’était pas très enclin à se faire auditer !</p>
<p>Si Google a largement communiqué sur l’obtention de la certification, la firme de Mountain View n’a pas été la première à se lancer dans l’aventure : Amazon web services et Microsoft Office 365 ont déjà fait l’objet de la mise en place de SMSI certifiés. Après les infogérants, l’ISO 27001 serait donc en passe de devenir le standard de référence pour la sécurité des services dans le Cloud : on ne peut que se réjouir de ce mouvement qui rassurera les entreprises clientes de ces services. Celles-ci ne doivent cependant pas considérer la certification comme un niveau de sécurité « garantie » et rester attentive aux périmètres et aux mesures mises en place concrètement.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/iso-27001-un-passage-oblige-pour-les-fournisseurs-de-services-dans-le-cloud/">ISO 27001,  un passage obligé pour les fournisseurs de services dans le cloud ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Panne Facebook : symptomatique de la résilience du cloud computing ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/03/panne-facebook-symptomatique-de-la-resilience-du-cloud-computing/</link>
		
		<dc:creator><![CDATA[Frederic Chollet]]></dc:creator>
		<pubDate>Tue, 13 Mar 2012 11:08:58 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[continuité d'activité]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=1609</guid>

					<description><![CDATA[<p>Après les 3 jours d’arrêt du service BlackBerry en octobre dernier, la panne majeure du service Microsoft Windows Azure le 29 février dernier, voilà que l’emblématique site du social networking aux 850 millions d’abonnés connait lui aussi une interruption ce...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/03/panne-facebook-symptomatique-de-la-resilience-du-cloud-computing/">Panne Facebook : symptomatique de la résilience du cloud computing ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Après les 3 jours d’arrêt du service BlackBerry en octobre dernier, la panne majeure du service Microsoft Windows Azure le 29 février dernier, voilà que l’emblématique site du social networking aux 850 millions d’abonnés connait lui aussi une interruption ce mardi 7 mars. Qui, parmi les innombrables nouveaux acteurs du <em>cloud</em>, nouvel eldorado économique de la sphère IT, sera le prochain concerné ?</p>
<h2><strong>En matière de disponibilité, les promesses du <em>cloud</em> n’engagent que ceux qui y croient !</strong></h2>
<p>L’Hyper Cycle 2011 du Gartner a positionné en août dernier <a href="http://www.silicon.fr/gartner-classement-2011-de-maturite-des-technologies-le-cloud-decroche-58084.html" target="_blank" rel="noopener noreferrer">le cloud dans sa phase de « désillusion »</a>. Force est de constater que les incidents à répétition que rencontrent les grands noms du cloud depuis l’année passée ne font que confirmer cette état de « disgrâce ».  Petit rappel des deux faits marquants de ce début d’année.</p>
<p>Le 29 février à 1h45 (GMT), la plate-forme de cloud services Windows Azure tombe sur 4 de ses 6 plaques mondiales pendant une durée oscillant entre 12h et 48h. Cette interruption de services a son origine dans un bogue logiciel générant une erreur de calcul de dates sur les années bissextiles ; à la décharge de Microsoft,  il est vrai qu’Azure ouvert en 2010 n’a pas connu d’autre année bissextile que 2012. Cette panne a laissé sur le carreau plusieurs sites clés, dont la fameuse place de marché du gouvernement britannique, le «<a href="http://www.govstore.net" target="_blank" rel="noopener noreferrer"> CloudStore</a> ».</p>
<p>Ce 7 mars vers 5h (GMT), le service Facebook tombe en panne plus de 3 heures sur les plaques  Europe, Afrique et Moyen-Orient. Principale cause avancée, celle de la défaillance des serveurs DNS européens de Facebook entraînant l’inaccessibilité du site. Pointés du doigt, les Anonymous ont démenti être mêlés à cet incident. En tout état de cause, le communiqué officiel de Facebook ne laisse filtrer aucune explication. Rappelons-nous que Facebook avait déjà rencontré un problème de configuration BGP en août 2010.</p>
<p>Ces deux incidents majeurs font écho aux non moins médiatiques pannes rencontrées par les promoteurs du <em>cloud computing</em> ; remémorons-nous les incidents de Google (trois en 2009, celle de 05/2010, puis de 02/2011 et 09/2011), d’Amazon et de son service EC2 (12/2010, 04/2011, 08/2011), du précurseur Salesforce.com (02/2008, 01/2009, 01/2010) et du plus récent VMware Cloud Foundry (05/2011).</p>
<p>S’agissant de « résilience », les atouts du cloud ont maintes fois été présentés, on citera en substance :</p>
<ul>
<li>Taux de disponibilité avantageux (Salesforce.com affiche 99,9%)</li>
<li>Répartition et duplication des ressources sur des lieux géographiques différents</li>
<li>Accessibilité permanente, en tout point du globe</li>
<li>Standardisation de l’offre technique, facilitant sa reproductibilité sur les datacenters</li>
</ul>
<p>Pour autant, le <em>cloud</em> n’en reste pas moins une machinerie complexe par construction ; du fait de l’empilement des services qui le composent, du volume des ressources qui le constitue et, paradoxalement, de leur répartition sur le globe.</p>
<p>Au-delà de cette complexité qui impacte les gestes d’exploitation et de maintenance au quotidien s’ajoutent également les risques posés par le modèle de standardisation retenu. Les effets d’une erreur de manipulation, d’un bogue ou d’une vulnérabilité se font ressentir rapidement sur tout ou partie des infrastructures sous-jacentes.</p>
<p>Difficile dans ces conditions, face à des offres « boîtes noires » peu dissertes sur leur fonctionnement interne, d’accorder un crédit sans limite aux niveaux de disponibilité avancés. Du reste, le cloud public, universel dans son usage et par sa fréquentation, ne permet pas de préjuger de la manière et avec quelle priorité seront traitées, en cas de sinistre, les entreprises (grandes ou petites) en regard des individuels que nous sommes.</p>
<h2><strong>Des axes de progrès pour une meilleure résilience du <em>cloud</em></strong></h2>
<p>Ces incidents à répétition témoignent d’une maturité encore insuffisante du marché et des fournisseurs, qui fonctionnent encore pour certains « au coup par coup ». Pour autant, le tableau n’est pas si noir, le modèle vertueux d’amélioration continue se met en place, sous l’impulsion notamment de l’alliance <a href="http://www.cloudsecurityalliance.org" target="_blank" rel="noopener noreferrer">CSA</a> (cloud security alliance)  qui promeut de bonnes pratiques en matière de sécurité et de résilience du cloud, des exigences d’acteurs clefs et /ou de gouvernements (PCI DSS, FISMA, HIPAA, etc.) et, il faut bien le dire, au gré des incidents vécus.</p>
<p>D’autant que la problématique de continuité tout comme de sécurité est au cœur des préoccupations des fournisseurs de service ; en affectant la confiance de leurs clients, présents et futurs, elle touche directement leur business model. Rappelons-nous enfin que l’une des promesses essentielles du <em>cloud computing</em> est d’améliorer la résilience du service rendu, parce qu’il est précisément « partout dans le nuage ».</p>
<p>A y regarder de plus près, le nombre d’incidents rencontrés par les acteurs du <em>cloud</em> est équivalent sinon inférieur à ce que rencontrent les entreprises. Le principal facteur aggravant tient au fait que la surface d’impact est sans commune mesure avec celles des SI des entreprises (ce sont des dizaines de milliers voire de millions d’usagers qui sont touchés).</p>
<p>Les fournisseurs de service entrent doucement dans la phase de maturation de leurs offres ; ils renforcent progressivement leurs dispositifs de continuité, prennent davantage en compte le facteur humain (source indéfectible d’erreur !) et apprennent aussi à mieux communiquer auprès de leurs clients.</p>
<p>Mais il ne faut pas croire au <em>cloud</em> « infaillible ». Aussi, les entreprises consommatrices de services cloud doivent-elles prévoir des processus de continuité de leurs métiers les plus sensibles et de préservation de leurs données les plus critiques.</p>
<p>C’est enfin le prochain challenge des fournisseurs que de prouver et démontrer les performances de leurs services cloud face à ceux des SI des grandes organisations !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/03/panne-facebook-symptomatique-de-la-resilience-du-cloud-computing/">Panne Facebook : symptomatique de la résilience du cloud computing ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Trois questions à Gérôme Billois sur les Assises 2011</title>
		<link>https://www.riskinsight-wavestone.com/2011/10/bilan-des-assises-2011/</link>
		
		<dc:creator><![CDATA[SolucomINSIGHT]]></dc:creator>
		<pubDate>Wed, 12 Oct 2011 08:19:05 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Assises]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=789</guid>

					<description><![CDATA[<p>Les Assises de la sécurité et des systèmes d’information viennent de se tenir du 5 au 8 octobre à Monaco. Quel est votre retour sur cet événement ? Une fois de plus les Assises sont un succès, un succès à la...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/10/bilan-des-assises-2011/">Trois questions à Gérôme Billois sur les Assises 2011</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><strong>Les Assises de la sécurité et des systèmes d’information viennent de se tenir du 5 au 8 octobre à Monaco. Quel est votre retour sur cet événement ?</strong></p>
<p>Une fois de plus les Assises sont un succès, un succès à la fois grâce à une organisation de grande qualité mais aussi du fait de la présence de l’ensemble de la communauté française. RSSI, responsables des risques, DSI, éditeurs, constructeurs et cabinets de conseil, tous étaient là dans une optique de partage et d’échange toujours aussi fructueuse.</p>
<p><strong>Quels sont les sujets d’actualités et les nouveautés rencontrées ?</strong></p>
<p>Les sujets ont tellement été diversifiés qu’il est quasiment impossible de tous les citer. Si je devais le résumer les 3 mots clés les plus rencontrés, je dirais : cloud, consumersation et cybercriminalité. Ils ont été largement débattus et ont fait l’objet de nombreuses annonces innovantes. A l’inverse, je noterais une  plus faible représentation des sujets attenant à la sécurité applicative, pourtant au cœur de la protection aujourd’hui. Enfin, des sujets plus atypiques et prospectifs comme l’IPv6, ont fait leur apparition.</p>
<p>Finalement la gestion de risques et l’évolution du rôle du RSSI ont, une fois de plus, été l’objet de nombreuses discussions dans plusieurs ateliers, dont celui animé par Solucom. Le débat s’est élargi, touchant alors à des problématiques hors « sécurité », avec notamment une intervention de premier plan de Luc Ferry sur la multiplication des peurs dans notre société. J’en retiendrai que la peur ne doit pas être le premier élément de nos réflexions et que la gestion du risque ne doit pas être un frein au développement ou à l’innovation !</p>
<p><strong>L’ANSSI a animé une plénière pour alerter la communauté et lui demander de revenir aux fondamentaux de la sécurité, quelle est votre analyse ? </strong></p>
<p>Je pense qu’aujourd’hui la communauté sécurité connaît bien ces fondamentaux (gestion d’identité, correctifs, antivirus, durcissement…), mais elle est confrontée depuis plus d’une dizaine d’année à la difficulté de les faire appliquer. Les équipes techniques et les métiers rechignent, les directions ne comprennent pas.</p>
<p>Cet état de fait a amené la communauté à s’orienter d’une part autour de la gestion des risques, afin de  concrétiser et d’expliciter en termes « métier » les impacts potentiels, mais aussi d’autre part dans la publication de nombreuses normes ou réglementations pour aider ou « forcer » l’application de ces mesures. Pourtant, cela n’a marché qu’un temps et la plupart de ces initiatives se sont transformées en sécurité « cache sexe » comme le disait Patrick Pailloux. Cela est un vrai drame car ces démarches pourtant de qualité sont trop souvent dévoyées !</p>
<p>A mon sens, aujourd’hui, la communauté sécurité manque de leviers pour convaincre les directions et les métiers. Elle manque également de support managérial pour réellement sanctionner et faire évoluer des pratiques déviantes souvent rencontrées. Les récents incidents médiatiques sont une aide mais la logique du « cela n’arrive qu’aux autres » est encore trop répandue</p>
<p>L’ANSSI, grâce à son message « back to basics », joue un rôle de premier plan. Mais elle pourrait aller plus loin en faisant part régulièrement de leur « thermomètre » du risque tel qu’évoqué durant la plénière afin de faciliter la sensibilisation des donneurs d’ordre.</p>
<p>Il faut arrêter de minimiser l’exposition de la France aux menaces cybercriminelles. L’illusion de sécurité est bien trop répandue aujourd’hui et j’espère que  les messages forts de la plénière aideront à changer cette situation.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/10/bilan-des-assises-2011/">Trois questions à Gérôme Billois sur les Assises 2011</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La guerre des réglementations aura-t-elle raison du cloud computing?</title>
		<link>https://www.riskinsight-wavestone.com/2011/08/cloud-computing-la-guerre-des-reglementations-aura-t-elle-raison/</link>
		
		<dc:creator><![CDATA[Marianne Benichou]]></dc:creator>
		<pubDate>Wed, 03 Aug 2011 12:33:12 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[protection des données]]></category>
		<category><![CDATA[Règlementation]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=534</guid>

					<description><![CDATA[<p>[Article rédigé en collaboration avec Gérôme Billois] Une nouvelle bataille juridique s’ouvre entre les États-Unis et l’Europe. En jeu cette fois-ci, le Cloud Computing. L’’affiche ? USA Patriot Act Vs. Directive Européenne de protection des données à caractère personnel. D’un côté,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/08/cloud-computing-la-guerre-des-reglementations-aura-t-elle-raison/">La guerre des réglementations aura-t-elle raison du cloud computing?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>[Article rédigé en collaboration avec Gérôme Billois]</em></p>
<p>Une nouvelle bataille juridique s’ouvre entre les États-Unis et l’Europe. En jeu cette fois-ci, le Cloud Computing. L’’affiche ? USA Patriot Act Vs. Directive Européenne de protection des données à caractère personnel.</p>
<p>D’un côté, l’USA Patriot Act. Véritable épouvantail de l’externalisation et fer de lance de la lutte antiterroriste US, il autorise les écoutes et la capture de données par les autorités américaines, avec un encadrement judiciaire permettant de le faire à l’insu de leur propriétaire… Il constitue l’argument le plus précieux des opposants de l’hébergement de données aux Etats-Unis.</p>
<p>De l’autre, la Directive européenne pour la protection des données à caractère personnel. Mère européenne de la Loi Informatique et Libertés française, elle encadre fortement le traitement de données en dehors de frontières de l’Union et, plus généralement, leur accès non légitime et non autorisé par le responsable de traitement. Bien plus, elle le rend pénalement responsable de tout accès tiers non signalé aux propriétaires des données.</p>
<p>Au centre, Microsoft. Le géant de Redmond consent des efforts importants pour être en conformité avec les réglementations sur les données à caractère personnel. En particulier, leur adhésion aux principes du<a href="http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/safe-harbor/" target="_blank" rel="noopener noreferrer"> Safe Harbor</a> , qui, en dépit de certaines limites, constitue une garantie jugée suffisante par l’Europe pour que soit autorisé le transfert de données à caractère personnel vers une entreprise américaine. D’autre part la mise en place d’un Cloud européen, aux serveurs dédiés et localisés strictement au sein des frontières de l’Union ensuite, offre une solution simple pour la conformité.</p>
<p>A l’origine de la bataille, une conférence dédiée au lancement d’Office 365. Le directeur Royaume-Uni de Microsoft a alors reconnu tout haut ce que bon nombre de spécialistes du secteur murmuraient déjà : son siège social étant domicilié aux Etats-Unis, Microsoft est soumis au droit national… et doit donc appliquer l’USA Patriot Act y compris sur le sol européen.</p>
<p>Et ceci est vrai pour l’ensemble des fournisseurs américains de services de Cloud computing ! Ils pourraient ainsi être amenés à communiquer aux autorités américaines des données de leurs clients européens, en dehors de tout cadre légal national ou communautaire.</p>
<p>Cette transparence soudaine signe-t-elle le début de la fin du Cloud computing <em>made in</em> USA ? ou s’agit-il d’une opportunité de croissance inespérée pour les fournisseurs européens ? Doit-on s’attendre à une migration massive des premiers vers les seconds ?</p>
<p>Ce qui est vécu comme une ingérence américaine sur le terrain législatif communautaire est aujourd’hui examiné par la Commission Européenne, qui s’est saisie du sujet.</p>
<p>Sans préjuger en rien des conclusions des débats d’ores et déjà très animés sur le sujet, cette bataille mérite d’être suivie avec attention.  Et permet de rappeler l’importance d’une analyse de risques, y compris juridiques, avant tout recours à un fournisseur externe&#8230;</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/08/cloud-computing-la-guerre-des-reglementations-aura-t-elle-raison/">La guerre des réglementations aura-t-elle raison du cloud computing?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>2010 – 2011 : protéger les infrastructures ou protéger les données ?</title>
		<link>https://www.riskinsight-wavestone.com/2011/02/2010-2011-proteger-les-infrastructures-ou-proteger-les-donnees/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Fri, 25 Feb 2011 15:16:50 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[data protection]]></category>
		<category><![CDATA[données]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=80</guid>

					<description><![CDATA[<p>2010, une actualité riche pour la sécurité De nombreux incidents ont rythmé l’année. Deux cas ressortent particulièrement : Stuxnet, premier virus ciblant spécifiquement des équipements industriels, Wikileaks et la fuite de données gigantesque qui a touché les Etats-Unis. 2010 a...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/02/2010-2011-proteger-les-infrastructures-ou-proteger-les-donnees/">2010 – 2011 : protéger les infrastructures ou protéger les données ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>2010, une actualité riche pour la sécurité</h2>
<p>De nombreux incidents ont rythmé l’année. Deux cas ressortent particulièrement : Stuxnet, premier virus ciblant spécifiquement des équipements industriels, Wikileaks et la fuite de données gigantesque qui a touché les Etats-Unis. 2010 a également été une année où de nouveaux usages se sont développés! La virtualisation, qui est maintenant définitivement entrée dans les datacenters, le cloud computing, qui fait ses premières preuves ou encore les smartphones et autres tablettes avec des premiers déploiements métiers mais également des premiers usages innovants d’utilisation d’équipements personnels.</p>
<h2><span id="more-80"></span>Une nouvelle approche pour de nouveaux enjeux</h2>
<p><strong><br />
</strong>L’ensemble de ces évènements a aussi montré la limite des approches sécurité classiques. Celles-ci sont basées avant tout sur une protection de l’infrastructure du SI. Nous ajoutons des mécanismes de sécurité sur les différentes briques que sont le poste de travail, le réseau d’entreprise, l’accès Internet, voir le datacenter. Mais cette approche ne permet plus de répondre aux nouveaux enjeux ! En effet l’information est de moins en moins traitée sur les infrastructures de l’organisation. Elle est de plus en plus partagée, avec des partenaires et des clients, accédées depuis des équipements mobiles voir personnels, parfois encore traitées sur des systèmes aux contours plus ou moins connus comme dans le cadre du cloud computing.<br />
Une nouvelle stratégie de réponse doit être envisagée face à ces évolutions, une stratégie qui devra être basé sur un principe simple : protéger au plus près les informations les plus sensibles. En effet pour être efficace et pérenne la sécurité doit se rapprocher de l’information, voir être portée par l’information elle-même, pour pouvoir être mieux partagée tout en étant toujours sécurisée.</p>
<h2>Quelles en sont les conséquences ?</h2>
<p>Ceci nécessite de planifier des chantiers ambitieux, lié par exemple à la classification des informations les plus sensibles, à la mise en place de mécanismes de protections des données (chiffrement, DRM, DLP…) ou encore à l’inclusion des mesures de sécurité dans les applications (chiffrement, scellement, authentification, processus projet…). Bien entendu les fondamentaux de la gestion des identités jouent un rôle essentiel et devront être encore renforcés pour y ajouter la gestion des partenaires et des clients. Mais il faudra aussi faire évoluer les habitudes, en ayant un focus particulier sur les équipes en charge des applications au cœur de cette nouvelle problématique de protection.L’objectif de 2011 est de faire évoluer nos principes pour aller de la protection de l’infrastructure à une vraie protection des données. Voici une année qui s’annonce donc riche en projets et en challenge !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2011/02/2010-2011-proteger-les-infrastructures-ou-proteger-les-donnees/">2010 – 2011 : protéger les infrastructures ou protéger les données ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
