Chaque semaine apporte son lot de nouvelles faisant état de violations de données sensibles de clients dans un conteneur de stockage en ligne non sécurisé. En termes de gravité, certaines de ces violations sont stupéfiantes, à l’image ce qui s'est passé en novembre 2020 sur une plateforme cloud espagnole, où plus de 10 millions de fichiers contenant des données utilisées par des voyagistes avaient été exposés à partir d'un Bucket AWS S3 mal configuré. Et cette mésaventure peut arriver à n'importe qui : début mai, un conteneur de stockage mal configuré sur Azure, relevant de la responsabilité de Microsoft, a aussi été exposé. Selon une récente enquête mondiale menée par Proofpoint auprès de 1400 chefs de la sécurité, un tiers des répondants ont déclaré que la compromission de comptes cloud était la seconde cybermenace la plus répandue. Un rapport plus ancien de Gartner, souvent mentionné, indiquait que « presque toutes les attaques réussies sur les services cloud étaient le résultat d'une mauvaise configuration et d'erreurs de la part des clients ». Les conclusions des recherches de Check Point, le fournisseur mondial de services de sécurité du SI, vont dans le même sens : en 2020, ce dernier a constaté que les deux tiers des menaces citées par les personnes interrogées résultaient d’erreurs de configuration des plateformes de cloud.

Gartner prévoit également que, jusqu'en 2023, au moins 99 % des défaillances de la sécurité du cloud seront imputables au client. Près de la moitié des entreprises interrogées par le cabinet d’études ont commis des erreurs qui ont exposé des données, des API ou des segments de réseau à Internet. À titre d'exemple, cette liste (https://businessinsights.bitdefender.com/worst-amazon-breaches) établie Bitdefender récapitule les 10 violations de données les plus graves qui se sont produites en 2017 et 2018 sur Amazon S3 à cause de conteneurs de stockage mal sécurisés. Cette liste, vieille de trois ans, est rapidement devenue obsolète. Ces erreurs de configuration involontaires ont pris une nouvelle importance. Par le passé, de nombreux produits de sécurité s'efforçaient de tenir les méchants à l'écart, en bloquant les personnes extérieures et les initiés malveillants. La méthode restait pertinente tant que l'infrastructure cloud ne comptait que pour une petite part des opérations d'une entreprise classique. Mais aujourd’hui, des outils capables de trouver et de corriger ces erreurs involontaires sont indispensables.

Qu'est-ce que le CSPM ?

La gestion de la posture de sécurité dans le cloud (Cloud Security Posture Management, CSPM) combine de l'intelligence sur les menaces, sur la détection et sur la remédiation et peut s’appliquer sur des ensemble complexes d'applications basées dans le cloud. Les CSPM complètent les agents de sécurité des accès au cloud (Cloud Access Security Brokers, CASB) et les produits de protection des charges de travail dans le cloud et comblent le vide entre les deux. Certains fournisseurs CASB et de produits de protection des charges de travail dans le cloud incluent désormais des modules CSPM complémentaires dans leurs gammes de produits existantes. Les technologies cloud ont été classées en infrastructure-en-tant-que-service (IaaS), plate-forme-en-tant-que-service (PaaS) et logiciel-en-tant-que-service (SaaS). Mais les différences entre ces trois technologies se sont estompées au point que ces dénominations distinctives n'ont plus beaucoup de sens. À mesure que les entreprises diversifient leurs achats de services cloud, l'idée de disposer d'un outil de Cloud Security Posture Management (CSPM) unique couvrant toutes ces bases devient attractive. Selon une étude, la taille du marché mondial de la CSPM devrait passer de 4 milliards de dollars en 2020 à 9 milliards de dollars en 2026. C’est donc une catégorie à laquelle il convient de prêter une attention particulière.

Ces dernières années, les fournisseurs de solutions CSPM ont multiplié les acquisitions, notamment :

- Cloudguard de Checkpoint a intégré des fonctionnalités résultant de l’acquisition, il y a plusieurs années, de Dome9.

- Zscaler a acheté l'outil CSPM de Cloudneeti en 2020.

- Trend Micro a acheté Cloud One de Cloud Conformity.

- Palo Alto Networks a acquis Prisma de Redlock pour en faire ce qu’il appelle Prisma Cloud et un modèle de protection des charges de travail de Twistlock.

- Aqua Security a acquis CloudSploit.

- Sophos a acquis Avid Secure.

Parmi les autres fournisseurs CSPM, on peut citer aussi Accurics, Falcon Horizon de CrowdStrike, DivvyCloud de Rapid7, la startup Orca Security, Sysdig Secure et SecureSky Active Protection Platform. Le tableau récapitulatif et les descriptions ci-dessous donnent plus de détails sur certains de ces fournisseurs.

Pourquoi les CSPM sont-ils nécessaires ?

Le problème de toutes les technologies basées sur le cloud, c’est qu'elles n’ont pas de périmètre. Cela signifie que, même si l’on peut bénéficier d'une certaine protection (comme avec un CASB), aucune méthode simple ne permet de déterminer quels processus ou quelles personnes sont censés y avoir accès et d'exclure ceux qui n'ont pas de droits d'accès. Pour y parvenir, il faut combiner plusieurs mesures de protection. L'autre défi, c’est que les processus manuels ne sont pas adaptés à la mise à l'échelle, aux conteneurs et aux API. C'est la raison pour laquelle ce que l'on appelle aujourd'hui l'infrastructure-en-tant-que-code, où l'infrastructure est gérée et approvisionnée par des fichiers de définition lisibles par une machine, s'est imposée. Ces fichiers dépendent d'une approche axée sur les API, qui fait partie intégrante des environnements cloud-first, car elle permet de modifier facilement l'infrastructure à la volée, mais aussi de créer facilement des configurations erronées qui exposent l'environnement aux vulnérabilités.

Concernant les conteneurs, leur suivi reste est également difficile dans les nombreuses offres cloud disponibles. Amazon Web services (AWS) dispose à lui seul de son Elastic Container Service, de son moteur de calcul sans serveur Fargate et de son Elastic Kubernetes Service. Les services de conteneurs publics comme Docker et Terraform peuvent être pris en charge ou non par chaque CSPM. La visibilité est également difficile sans beaucoup d'intégration. Une source unique de vérité sur la posture de sécurité du cloud est indispensable. Cela signifie qu'un tableau de bord CSPM devra se frayer un chemin dans le Security Operations Center (SOC) de l’entreprise - un espace déjà encombré - et que l’équipe SOC devra s'habituer à intégrer ses données dans ses playbooks existants. Cela signifie également que le CSPM doit pouvoir se connecter à ces outils existants et partager des indicateurs de compromission potentielle ou la notification d'une attaque active sur l’infrastructure.

Certains outils, comme Falcon de CrowdStrike et d’Orca, poussent l'intégration un peu plus loin. Tous deux peuvent envoyer des alertes vers des canaux Slack, lancer des flux de travail Jira et émettre des tickets d'assistance dans ServiceNow pour résolution.  Selon Gartner, « les architectes utilisent le CSPM pour valider et appliquer les contrôles des données et des applications natives du cloud ». Ces derniers ont identifié cinq différentes fonctionnalités communes aux CSPM :

- L'évaluation de la conformité ;

- La surveillance des logs opérationnels et des flux d'alertes et de détection des menaces ;

- L’intégration DevOps et le déploiement continu de mesures correctives ;

- La réponse aux incidents en temps quasi réel ;

- L’évaluation et la visualisation uniformes des risques.

Quelques questions posées par les clients aux fournisseurs CSPM :

- Comment calculer sa base de référence pour suivre les modifications apportées à ses actifs basés sur le cloud ?

- La solution fonctionne-t-elle pour les trois principaux clouds publics que sont AWS, Azure et Google Cloud Platform et pour les diverses implémentations de Kubernetes et autres conteneurs ? Qu'en est-il de la prise en charge des applications SaaS courantes comme Box, Salesforce, Workday et ServiceNow ? Comme le montre le tableau ci-dessous, la couverture de chaque produit varie. Certains produits placent des agents dans le cloud de l’entreprise, d'autres utilisent un accès en lecture seule pour analyser son environnement et ses ressources, et d'autres encore ont un accès en écriture pour pouvoir effectuer des modifications et remédier aux problèmes dans les comptes. 

- Quel est le degré de temps réel pour les notifications concernant ces changements, les violations de politiques et autres événements inhabituels ? Ce temps réel assure-t-il le suivi des groupes de sécurité faibles et mal configurés, le suivi des accès à distance, des erreurs de contrôle des applications et des modifications du réseau ? Tous les fournisseurs de cloud proposent une surveillance intégrée de l'activité, mais une entreprise qui utilise plusieurs clouds préfèrera que son CSPM puisse analyser cette riche source de données et en tirer des conclusions.

- L'automatisation de la remédiation se fait-elle en temps réel ? Les meilleurs CSPM analysent en permanence les systèmes vulnérables et certains proposent des solutions pour détecter, par exemple, si une nouvelle machine virtuelle a créé une situation d'insécurité.

- Avec quels autres outils de sécurité et de notification le CSPM s'intègre-t-il, comme les SIEM (Security Information and Event Management ou Gestion des informations et des événements de sécurité) et les SOAR (Security Orchestration, Automation and Response, ou Orchestration, automatisation et réponse dans le domaine de la sécurité) ?

- Combien de frameworks de rapports de conformité/audit sont supportés par chaque fournisseur de cloud ? Chaque outil prend en charge une série de frameworks différents, qui n'est pas nécessairement la même sur tous les clouds non plus, ce qui complique aussi les choses pour l’entreprise.

- Quel est le coût ? Certains fournisseurs proposent un essai gratuit ou un niveau limité ; d'autres facturent par hôte ou appliquent des tarifs plus complexes, ce qui peut donner lieu à des coûts inattendus. Rares sont ceux qui, comme Sysdig, proposent une page web de tarification publique et transparente. 

5 produits CSPM et leurs caractéristiques notables : 

CrowdStrike Falcon Horizon

CrowdStrike Falcon Horizon prend en charge un ensemble de services différents entre AWS et Azure. Il dispose d'une console unique qui permet de gérer les groupes de sécurité sur les deux clouds et peut informer sur les risques des clusters Kubernetes gérés sur les deux services. Falcon Horizon peut servir à identifier de manière proactive les menaces dans le cadre du cycle de vie du développement logiciel en utilisant des agents pour surveiller l'activité. 

Orca Security

La start-up Orca est un jeune fournisseur de CSPM dont l’offre sans agent prend en charge les trois principales plateformes de cloud public. Son outil comprend des fonctions de protection des charges de travail et permet une inspection approfondie des conteneurs présents dans chacun des services cloud.

SecureSky Active Protection Platform

SecureSky Active Protection Platform prend en charge les trois principaux fournisseurs de clouds publics et supporte une variété d'applications SaaS, notamment Office 365, Workday, Salesforce, ServiceNow et Box. La plateforme s'intègre avec un SIEM et divers outils de conformité et comprend une réponse intégrée aux menaces gérées.

Sysdig Secure

Sysdig a commencé par offrir un support pour AWS, mais la version bêta actuelle supporte le cloud de Google et l’ajout d’Azure est prévu plus tard cette année. Le service peut analyser jusqu'à 250 images de conteneurs gérées à la fois dans AWS Fargate et ECR. Sysdiq Secure propose un seul compte gratuit. Les comptes payants comportent, en plus, des fonctionnalités comme la surveillance des conteneurs. Le tarif démarre à 24 dollars HT par hôte et par mois, avec des réductions sur l’achat annuel.

Zscaler

Le produit CSPM de Zscaler provient de l’acquisition de Cloudneeti l'année dernière. Celui-ci est disponible sous forme d’essai gratuit de 30 jours. Depuis le rachat, Zscaler a ajouté des inventaires d'actifs, de nombreuses politiques prédéfinies et un langage de requête pour les configurer, sans oublier l’ajout du support de Google Cloud Platform en plus d’AWS et Azure. L’offre comprend également 13 frameworks de conformité, même si chaque cloud prend en charge un ensemble quelque peu différent.