État de la Sécurité Cloud en 2024 : Analyse des Menaces Émergentes

Contexte Stratégique

Le paysage de la cybersécurité cloud connaît une transformation rapide et complexe. Le rapport annuel de Datadog offre un aperçu approfondi des dynamiques de risques actuelles, révélant des tendances préoccupantes dans la gestion des identités et des accès. La GIA, et plus particulièrement la gestion des permissions, est une préoccupation majeure dans le cadre de l’infonuagique, voyons pourquoi.

Analyse Approfondie des Accès

Ampleur du Problème

Les accès définis représentent aujourd’hui le principal vecteur de compromission des environnements cloud. Dans son rapport. aux pages 13 et 14 (Fact 6 : “Most cloud incidents are caused by compromised cloud credentials”), voici ce que l’on retrouve :

• 74% des incidents cloud sont causés par des identités compromises
• Coût moyen : 4,8 millions de dollars
• Temps médian de détection : 280 jours

J’ai l’occasion d’investiguer régulièrement des environnements compromis dans mon travail, et il arrive parfois que l’entreprise découvre que cela fait plusieurs années que ces données sont exfiltrées… Pour se protéger, c’est assez simple dnas l’absolu (mais compliqué à mettre en oeuvre) :

• Appliquez le principe du moindre privilège
• Renouvellez régulièrement vos clés d’accès permanentes de vos IAM users
• Évitez comme la peste les IAM users, mais privilégiez les accès fédérés fournisseurs de clés d’accès temporaires

Mécanismes d’Attaque Sophistiqués

Les techniques d’attaque gagnent en sophistication et surtout en originalité, exploitant les capacités de la plateforme Cloud.

1. Pivotage Identitaire Les attaqueurs utilisent des techniques comme :
   • Génération de tokens de fédération
   • Énumération des services Amazon SES (les services SNS et SMS sont également visés de par mon expérience)
   • Revente d’accès sur les marchés secondaires
2. Cryptominage et Détournement de Ressources
   • Création de clusters ECS dédiés au minage
   • Ouverture de cas de support AWS pour augmenter les quotas

En clair, en plus de l’exfiltration par défaut de vos données, les attaquants vont vous faire mal en termes de réputation et en termes de coûts portés sur votre carte de crédit pour votre consommation Cloud…

Vous trouverez ces détails dans la page 13 du rapport.

Répartition des Risques par Fournisseur Cloud

Analyse Comparative

Étonnament on retrouve des spécificités d’attaque par plateforme (page 13 du rapport également) :

• AWS : Principale plateforme de compromission (la richesse des services et l’existence de ces fameuses clés d’accès permanentes non protégées doivent y être pour beaucoup)
• Microsoft 365 : Techniques d’accès via OAuth (merci EntraID…)
• Google Cloud : Émergence de menaces via VPN/Tor (peut être un heads up pour les équipes de GCP en charge de la surveillance du trafic réseau ?)

Recommandations Stratégiques

Gouvernance des Identités

En termes de GIA comme précisé plus haut les recommandations de Datadog sont sans surprises :

1. Limitation des Credentials Permanents
   • Éviter les utilisateurs IAM statiques
   • Utiliser des mécanismes d’authentification fédérée
   • Implémenter des credentials à durée limitée
2. Authentification Multi-Facteurs
   • Généralisation du MFA
   • Utilisation de mécanismes comme AWS IAM Identity Center

Pour le MFA, je mettrai en avant également l’importance de le mettre en place pour tous vos accès, y compris vos accès console !

Monitoring et Détection

En page 28 et 29 nous retrouvons des recommandations sur la surveillance et détection :

• Déploiement de solutions de monitoring d’identités : le CIEM, normalement inclus dans votre CNAPP, n’est pas une option !!!
• Analyse des logs CloudTrail : vérifiez le niveau de journalisation Cloudtrail et surtout validez que vous avez des use cases de détection associés
• Surveillance des changements d’API : les nouveaux chemins d’attaques apparaissent avec les nouveaux services et méthodes, il faut faire une veille

Conclusion

Le cloud continue sa transformation, avec une complexification croissante des mécanismes de sécurité. C’est parfois épeurant mais il faut l’accepter et embarquer. Pour cela, il est essentiel de reconsidérer vos processus et mécanismes de défense en fonction de l’infonuagique, et non pas d’essayer d’adapter votre sécurité Cloud en fonction de vos procédés existants… La sécurité cloud n’est plus un choix, mais une nécessité stratégique impliquant une transformation culturelle et technologique continue.