Archives pour la catégorie Cloud

Nous publierons ici les nouveautés sur la sécurité du cloud, les logiciels malveillants qui piratent vos données privées et qui par la suite sont revendus par les hackers sur le darkweb.

Si la question de sécurité était un frein au développement du Cloud

Aujourd’hui il est facile à observer ce fait.

La majorité des organisations arrivent peu à améliorer leur sécurité informatique en utilisant les services Cloud. Pourtant les choses ne semblent pas si faciles sous un point de vue technique. Une récente étude publiée par Aptum, l’un des plus grands fournisseurs de service cloud au monde, l’a clairement démontré.

Cet article va aussi vous intéresser : Trouver une solution au problème de la cybersécurité dans le Cloud pour l’année 2021

Le rapport est intitulé « La Barrière de sécurité et de conformité ». Dans l’étude la société a recensé toutes les difficultés qui sont communes en matière de cybersécurité et de la conformité ainsi que de la gouvernance. Elle a aussi étudié leur impact sur la transformation de l’entreprise vers le Cloud. On peut retenir de cette étude que :

– 51 % des personnes interrogées estime que les entreprises adoptent majoritairement le Cloud pour des raisons de sécurité.

– 38 % des personnes interrogées estiment que la protection des données et la sécurité informatique font partie des éléments qui ralentissent la transformation des entreprises envers le Cloud.

– Plus de 50 % des répondants affirme qu’il prévoit adopter une approche hybride dans la construction de leur infrastructure Cloud.

– 59 pourcents des personnes interrogées prévois de réduire infrastructures physiques, pour augmenter le déploiement de cloud public d’ici les 2 années à venir.

– 66 % des répondants ont pour projet d’accroître leur charge de travail lorsqu’ils seront sur des Clouds privés.

Au regard des données fournies par le rapport, tous ces éléments mettent en évidence un problème assez délicat. L’augmentation des problèmes de sécurité ainsi que la conformité au cadre informatique. Pour 82 %, au niveau de la gouvernance et du contrôle. Pour 81 pourcents, ce serait le problème de visibilité. Pour 80 %, on parle de la capacité à satisfaire les exigences liées aux audits de conformité.

Craig Tavares, directeur mondial du cloud chez Aptum explique la situation. « Les entreprises bénéficient d’une nouvelle flexibilité en adoptant des solutions cloud hybrides, toutefois les charges de travail éparpillées posent un problème de sécurité. La sécurité d’un environnement est équivalente à celle des politiques et des contrôles mis en place par une entreprise, c’est pourquoi ils doivent être intégrés dans l’élaboration de toute stratégie cloud. Bien qu’aucune solution ne puisse garantir à elle seule une sécurité à 100 %, spécifiquement dans une approche de type multi cloud ou cloud hybride, des partenaires expérimentés peuvent aider les entreprises à choisir la bonne combinaison de technologies de sécurité qui apporteront un complément à leurs charges de travail, quel que soit le choix de leur hébergement, et qui assureront une visibilité sur des environnements distincts ».

« Les équipes de sécurité sont chargées de protéger une surface d’attaque qui s’élargit de plus en plus, la plupart du temps avec des budgets et des ressources restreintes, contre les mauvais acteurs qui utilisent les mêmes techniques sophistiquées que les principaux fournisseurs de cybersécurité », ont précisé de son côté, Dan Webb, le vice-président commercial des partenaires et des alliances d’Alert Logic.

« Avec l’omniprésence des environnements cloud et hybrides, de la conteneurisation et des dispositifs mobiles, de l’IdO et d’autres périphériques, la notion traditionnelle de périmètre n’existe plus. Pour être efficaces, les solutions de sécurité doivent permettre une visibilité totale dans l’ensemble du parc informatique d’une entreprise afin qu’elles soient en mesure d’identifier, de prioriser et de répondre rapidement à toutes les menaces qui surgiront ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Trouver une solution au problème de la cybersécurité dans le Cloud pour l’année 2021

Selon une analyse publiée par le cabinet Gartner, le marché de la cybersécurité au plan mondial avait connu une évolution de plus de 2,4 % durant l’année 2020.

Une évolution qui se situe bien au deçà même des espérances des professionnels du secteur. En effet, ce dernier avait prévu une augmentation de près de 8,4 % par rapport à l’année 2019. Pourtant, la crise sanitaire ne peut pas être considérée comme une raison suffisante pour expliquer ce manque, mais on peut dire qu’elle a participé de manière active. Le marché de la sécurité informatique s’est alors trouvé par tout ceci.

Cet article va aussi vous intéresser : Faut-il retarder la migration vers le Cloud pour une meilleure appréhension du secteur

Cette réduction de l’élan met en évidence une certaine tendance lorsqu’on observe tout cela de plus près. Au niveau du secteur de Cloud, la sécurité informatique a été sollicitée mais à cours terme. On peut alors d’une certaine mesure, se rendre compte de la manière dont ce secteur évolue, en particulier lorsqu’on l’approche de plus près au Cloud.

« Les services cloud fleurissent mais la sécurité informatique peine à suivre le rythme. Ce décalage est problématique, car à mesure que l’impact de la pandémie se fait sentir, l’élaboration d’une stratégie « cloud-first » sera une priorité pour les entreprises. C’est pourquoi j’invite ces dernières à affiner leur cycle de vie de développement de logiciels (SDLC). Notre dernier rapport sur l’état de la sécurité des logiciels (SoSS) a en effet révélé que la « dette de sécurité », qui se manifeste par des vulnérabilités critiques latentes dans les applications utilisées par les entreprises, émerge de façon inquiétante. Pourtant, la migration vers le cloud est en soi une opportunité donnée aux équipes de sécurité des logiciels, puisqu’elle permet d’examiner la robustesse des applications existantes, tout en sécurisant le développement de nouvelles applications cloud ». Explique Nabil Bousselham, architecte de solution informatique à Veracode, une entreprise spécialisée dans la sécurité informatique.

C’est ce qui justifie le fait qu’il faudrait recourir à une plate-forme de sécurité spécialement dédiée au Cloud, surtout qu’elle soit adéquate. Les entreprises pourront alors paliers facilement aux failles de sécurité qui sont imputables logiciels tiers.

« Lorsque vous travaillez avec des logiciels tiers, une plate-forme de sécurité au sein même du cloud peut aider toute équipe de développement à s’assurer que le code conçu est exempt de vulnérabilités et respecte les normes de sécurité requises par l’entreprise. Mais malgré les promesses des fournisseurs tiers, on ne sait jamais exactement le niveau de rigueur dans la remédiation des failles du code qu’ils livrent. Les tests sont-ils intégrés dans l’ensemble du cycle de vie du logiciel ? Quel type d’outils de sécurité applicative utilisent-ils ? Quelle est la rigueur dans leur protocole de test ? Autant de questions qui laissent planer le doute. En revanche, si l’on détient la bonne plateforme de sécurité cloud, les réponses à ces questions ne comptent pas, car on peut alors tester soi-même les logiciels tiers et s’assurer qu’ils sont conformes aux attentes en matière de sécurité. L’utilisation d’une plateforme de sécurité dans le cloud en mode SaaS visant à évaluer le code d’un tiers permet ainsi de garder le contrôle de la qualité d’une application tout en allant de l’avant avec la certitude que le logiciel acheté répond à ses propres normes de sécurité », déclare Nabil Bousselham.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Faut-il retarder la migration vers le Cloud pour une meilleure appréhension du secteur

Depuis l’année dernière, disons depuis beaucoup plus longtemps, la migration vers le Cloud a toujours été perçue comme une solution pour les entreprises dans le cadre de l’optimisation du traitement informatique dans sur le plan de la flexibilité, de la sécurité que sur le plan de la résilience.

Il apparaît de manière effective, que la majorité des responsables des services informatiques ont pour projet l’assurer une migration vers le Cloud. Et cela a déjà débuté avec le choix des fournisseurs en la matière. Une transformation qui est déjà visible sur les 6 prochains mois.

Avec la pandémie à coronavirus, les choses se présentent beaucoup plus facilement, pour confirmer cette situation. Cette migration se présente alors comme étant une alternative assez alléchante, dans un contexte où l’utilisation de l’informatique est devenue non seulement nécessaire mais aussi massive. Pourtant les choses ne semblent pas aussi faciles qu’elle en a l’air. En effet, selon certaines observations, la pandémie à coronavirus qui a favorisé l’explosion d’un certain basculement vers le numérique, horaires dans certaines conditions frais mais plutôt la transition vers le Cloud. À ce propos, Sarah Hachi-Duchêne, Directrice France de Colt Technology Services notait : « C’est un fait, face aux nombreuses restrictions sanitaires, dont le confinement a été l’une des principales manifestations, nombre d’entreprises ont été contraintes de reporter leur migration vers le cloud. Les acteurs du secteur informatique s’étaient préparé à un tel retard, invoquant les répercussions économiques dues à la crise sanitaire. En revanche, l’année 2020 n’a pas pour autant laissé de côté cette tendance. Si bien qu’en cas de retour à la « normale », on peut s’attendre à une exigence croissante de flexibilité et de résilience des entreprises, et donc à une accélération des projets de migration vers le cloud. Cette accélération ne montre même aucun signe de ralentissement, le marché mondial du cloud computing devrait atteindre 295 milliards de dollars d’ici 2021, soit une croissance de 12,5 % par rapport à 2019. ».

En d’autres termes si la migration a connu un certain ralentissement, il faudrait mentionner le fait qu’elle est toujours d’actualité et même beaucoup plus. « L’accélération des projets d’informatique dématérialisés sera en partie déterminée par le degré d’avancement des entreprises dans leur transformation numérique. Pour celles qui ont déjà adopté des plates-formes et des systèmes basés sur le cloud, ce changement sera assez naturel. Pour celles qui s’appuient sur les infrastructures existantes, le passage au travail à distance peut au contraire rencontrer d’importants obstacles. », ajoute le responsable de Colt Technology Services.

Elle note par la suite : « La sensibilisation croissante du public à la capacité d’une entreprise à répondre à l’évolution des besoins en matière de service à la clientèle, de travail à distance et de résilience de la chaîne d’approvisionnement peut entraîner une accélération de la migration vers le cloud. Avec l’impact économique prolongé de la pandémie, les entreprises chercheront en effet à faire des économies, dont la migration pourrait être une composante. ».

Par ailleurs, les entreprises devront tenir compte d’une situation. Le fait de devoir adapter l’ensemble de leurs infrastructures au chemin qui devra répondre aux exigences du Cloud. Surtout lorsqu’on sait que le basculement vers le télétravail s’est opéré de manière abrupte, sans que les entreprises concernées n’ont eu le temps de pouvoir sécuriser au mieux l’ensemble de leurs infrastructures, cet aspect devras alors prendre en compte une meilleure appréhension de la question de la cybersécurité.

« Les entreprises ont déjà commencé à donner la priorité à la migration des « fonctions orientées client » vers le cloud et on peut s’attendre à ce que cette tendance se poursuive. En fin de compte, l’adoption du cloud continuera à se développer à mesure que les entreprises adopteront la flexibilité et la facilité d’accès à distance, sous l’impulsion des défis actuels qui certes avortent la migration effective mais imposent la mise en place de solutions permettant de combler le retard occasionné. Le multi-cloud en est un exemple. » explique Sarah Hachi-Duchêne. Dans un contexte actuel, le multi cloud a présente l’avantage d’être moins risqué sur le plan de la sécurité informatique. Il permet aussi à l’entreprise de pouvoir négocier avec plusieurs fournisseurs à la fois, sans oublier la vitesse de calcul que cela procure aux infrastructures informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurisation des entreprises à travers la protection des infrastructures Cloud

La technologie Cloud est sans nulle doute l’une des avancées les plus importantes dans le secteur informatique.

Les avantages sont réels et personne ne dira le contraire. Avec la crise sanitaire, et toutes les conséquences que cela a pu entraîner tel que le confinement général et l’explosion du télétravail, l’utilisation du cloud a connu un certain boom. Surtout pour faciliter les échanges et l’accès aux informations pour les employés qui travaillent désormais depuis chez eux.

Cet article va aussi vous intéresser : Les problèmes liés à la transformation du cloud

« Le cloud offre l’avantage de permettre le provisionnement dynamique de machines virtuelles (VM), d’espaces de stockage, de containers, et autres ressources. Depuis le début de la crise sanitaire et avec le recours au télétravail, les organisations l’utilisent massivement afin d’offrir aux salariés et aux fournisseurs un accès aux outils d’entreprise performant, flexible et ajustable à la volée, en fonction des besoins. Toutefois, alors que les cyberattaques prolifèrent et ont connu une hausse importante depuis le début de la pandémie, ces déploiements doivent s’accompagner de mesures de sécurité adéquates (…) Dès lors qu’une machine virtuelle ou ressource est créée de manière dynamique, elle se voit attribuer des identifiants à privilèges, tels que les clés SSH. Ce type de processus de provisionnement n’est pas nécessairement automatisé. Les administrateurs peuvent en effet utiliser une console de gestion afin de lancer de nouvelles machines virtuelles et leur attribuer les niveaux de privilèges appropriés. », explique Ketty Cassamajor, Responsable Avant-Vente Europe du Sud de CyberArk.

Face à tout ceci, il devient important voire nécessaire de protéger l’ensemble de l’infrastructure Cloud. Car qui dit multiplication, dit croissance de la menace. Pour cela il faudra suivre plusieurs étapes.

Tout d’abord nous avons l’identification des différentes infrastructures. « Pour une entreprise, sécuriser les comptes à privilèges de manière manuelle devient quasi impossible à mesure que l’environnement cloud s’étend. L’automatisation, les scripts et les différents outils de gestion du cloud permettent la création dynamique d’identifiants privilégiés, les rendant ainsi plus difficiles à gérer et à suivre. Afin de mieux comprendre le périmètre des risques associés aux privilèges, des outils permettent de découvrir les identifiants privilégiés en continu, incluant les clés SSH, les mots de passe ou encore les clés d’accès AWS. », décrit Ketty Cassamajor.

La seconde étape est d’utiliser des moyens de stockage sécurisés et centralisés. Pour l’ensemble des identifiants ayant plusieurs privilèges supérieurs. « En exploitant des APIs robustes, des intégrations éprouvées et des mécanismes d’injection de secret permettant la récupération et la rotation des identifiants privilégiés depuis un coffre-fort numérique sécurisé, les entreprises peuvent mettre sous contrôle leurs comptes à privilèges de manière automatique, c’est-à-dire au moment même de leur création. » note l’expert de CyberArk.

La prochaine étape, elle veut pouvoir intégrer de manière automatique de nouvelles infrastructures de sécurité, pour accroître la protection des comptes qui sont associés à des statuts de privilège. « Une fois qu’une entreprise découvre l’ensemble des comptes à privilèges présents dans son infrastructure cloud, elle peut envisager une gestion programmatique des nouvelles entités en exploitant des APIs. Cette approche permet de simplifier considérablement la gestion des accès dans le cloud et d’améliorer l’efficacité opérationnelle qui en découle. Cette étape est particulièrement importante dans le cloud où l’infrastructure est automatisée et où les conteneurs, serveurs et autres ressources ne sont provisionnés et utilisés que pour quelques minutes, voire heures, afin de compléter une tâche spécifique. Cette mise à l’échelle automatique est répétée plusieurs fois par jour, et ce sans aucune interaction humaine. Afin de sécuriser efficacement les accès à privilèges, les clés SSH utilisées pour accéder programmatiquement aux VM doivent être automatiquement intégrées et sécurisées dans un coffre-fort numérique, puis mises en rotation dès lors que de nouvelles instances cloud sont créées. », note notre expert.

En 2020, plusieurs sociétés ont entamé véritablement leur transformation vers le digital. Cela malheureusement, ne s’est pas fait sans conséquences.  De manière pratique, les choses auraient pu mieux se passer, si la crise sanitaire n’avait pas bousculé les habitudes, en contraignant dans un certain sens, un basculement forcé sur le tout digital. Mais cela n’est pas une excuse pour se morfondre. Il est temps aujourd’hui de se relever et de préparer sa défense contre ce nouveau monstre qu’est la cybercriminalité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les problèmes liés à la transformation du cloud

Selon une récente étude menée par Zettaset, une entreprise spécialisée de la protection des données dans le cloud, les entreprises ont du mal à gérer leurs problèmes de sécurité liées à la transformation vers le cloud.

On peut toujours du mal à mesurer les impacts de cette innovation, surtout au niveau de la protection des données numériques « Les entreprises ont adopté le déplacement de multiples applications vers le cloud en utilisant des conteneurs et utilisent des Kubernetes pour l’orchestration. Mais les conclusions d’un nouveau rapport confirment également que beaucoup d’entre elles ne sécurisent pas correctement les données stockées dans ces nouveaux environnements natifs du cloud. » note Zettaset dans son rapport. Selon cette dernière, les entreprises qui ont décidé de migrer vers le cloud continue toujours d’utiliser des solutions existantes pour se protéger. Avec tous les inconvénients qui peuvent aller avec cette situation.

Pourtant, dans un sens assez pratique, l’adoption de micro services, de conteneurs et de Kubernetes se présente comme un aspect important du processus de numérisation des entreprises et de leur basculement vers le cloud. Cependant, elles ont du mal à mesurer avec précision les avantages que cela pourrait leur apporter une telle innovations en matière informatique, par rapport à la gestion de la sécurité informatique liées aux technologies native du cloud. Ce qui se traduit malheureusement par une confrontation incessante aux soucis de sécurité informatique auxquels elles doivent faire face. À ce propos Zettaset note que : « Les entreprises accélèrent la transformation du cloud mais sont confrontées à des problèmes de sécurité et ne mesurent pas avec précision les avantages de l’innovation informatique ».

« La sécurité des données devrait être une exigence fondamentale pour toute entreprise et l’adoption de nouvelles technologies ne devrait pas changer cela », relève Tim Reilly, le PDG de Zettaset. Il ajoute par la suite : « Notre objectif avec cette recherche était de déterminer si les entreprises qui passent activement du DevOps au DevSecOps investissent dans une technologie de sécurité et de protection des données appropriée. Et si les résultats confirment que les entreprises prennent effectivement la décision stratégique de passer à des environnements natifs du cloud, elles sont actuellement mal équipées pour sécuriser l’actif le plus essentiel de leur entreprise : les données. Les entreprises doivent investir dans une protection des données performante afin de sécuriser les informations critiques en temps réel, quelle que soit l’architecture. ».

L’enquête a été réalisée auprès de 200 professionnels du secteur de l’informatique. On a pu retenir que 39 % d’entre eux affirme que leurs entreprises on déployer plusieurs logiciels de production sur les plateformes Kubernetes. Plus de la moitié d’entre eux ont reconnu utilisé cette plateforme en mode Open Source généralement disponible via la Cloud Native Computing Foundation (CNCF).  34 % de ces professionnels affirment utiliser des Kubernetes proposés par un fournisseur cloud notamment Google, Microsoft Azure, IBM ou Amazon Web Services.

Pourtant les problèmes de sécurité demeurent et se font de plus en plus évidents.  Selon 60,1 pourcents des professionnels interrogés lors du rapport, les personnes généralement impliquées dans l’ensemble du processus manquent cruellement de sensibilisation et la formation à propos des risques informatiques. En particulier le stockage de données dans un environnement cloud. Par ailleurs selon 43,2 pourcents de ces professionnels, les surfaces d’attaques des pirates informatiques se sont accrues depuis l’introduction des Kubernetes.

Par ailleurs, les stratégies de sécurisation ou les politiques de sécurité n’évoluent pas selon les contextes. Par exemple, il a été découvert lors de l’étude 46,5 pourcents des personnes interrogées continue d’utiliser des outils traditionnels pour chiffrer les informations sur les clusters Kubernetes alors que près de 20 % des professionnels ont affirmé que ça ne fonctionne jamais comme prévu.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage