Au-delà de la perfection de la configuration : Redéfinir la "sécurité deCloud

20 mars 2025

Pendant des années, la définition de la "sécurité ducloud " a tourné autour de la correction des mauvaises configurations des ressources et de l'application de l'accès au moindre privilège. Ces pratiques sont intuitivement logiques : après tout, si un cloud est configuré correctement en tenant compte du moindre privilège, il doit être sûr, n'est-ce pas ?

Mais que se passe-t-il si cette focalisation nous égare ?

En réalité, l'obsession de la perfection de la configuration n'a peut-être pas autant d'impact que nous le pensons. S'il est utile de remédier aux erreurs de configuration, cela peut aussi créer un faux sentiment de sécurité et dépenser beaucoup d'énergie, ce qui détourne l'attention d'un traitement holistique des risques liés à l'cloud .

Le piège caché de la "pensée rapide" en matière de sécurité de Cloud

Et si notre instinct en matière de sécurité des cloud nous avait conduits dans la mauvaise direction ?

Il est essentiel de comprendre la tendance du cerveau à se fier à l'intuition pour limiter les erreurs dans la prise de décision basée sur le risque. Comme le montrent les travaux de Daniel ^Kahneman1, l'intuition peut souvent conduire à une fausse confiance, ce qui est particulièrement dangereux lorsqu'il s'agit de gérer un environnement complexe de sécurité cloud .

J'observe que de nombreuses organisations fonctionnent à l'instinct, pensant que les mauvaises configurations et la recherche de l'accès le moins privilégié définissent le champ d'application des activités de sécurité du cloud . Cet instinct est un exemple de ce que Kahneman appelle la pensée du système 1 - rapide, intuitive et souvent erronée.

S'il semble naturel de se concentrer sur la correction des erreurs de configuration des ressources, cette approche peut créer des angles morts dans la stratégie de sécurité. Une confiance excessive dans cette méthode peut conduire à négliger d'autres contrôles critiques.

Pourquoi la "posture parfaite" est-elle si bien perçue ?

La résolution des erreurs de configuration du cloud crée une boucle de rétroaction immédiate. Chaque problème résolu donne un sentiment de progrès, semblable à l'effet dopaminergique de l'accomplissement d'une tâche sur une liste de contrôle. Les équipes de sécurité se sentent productives et les tableaux de bord montrent des tendances à la baisse, ce qui renforce la conviction que le risque diminue.

Mesurer quelque chose ne le rend pas automatiquement significatif. La sécurité du Cloud va au-delà des corrections de configuration - elle exige une compréhension approfondie de l'évolution du paysage des menaces, de l'expansion de la surface d'attaque et des tactiques utilisées par les adversaires. En fin de compte, ces efforts devraient servir un objectif plus important : minimiser le risque cybernétique réel de l'organisation, et non pas simplement cocher des cases de conformité.

Le problème du biais de confirmation

Ne prenons-nous en compte que les données qui confirment ce que nous croyons déjà ?

Le biais de confirmation conduit les équipes de sécurité à se concentrer sur les activités qui s'alignent sur les croyances existantes. Lorsque les organisations supposent que la résolution des erreurs de configuration et la recherche du moindre privilège sont les seules activités nécessaires pour un cloud sécurisé, elles peuvent négliger d'autres possibilités de réduction des risques, telles qu'une bonne gouvernance du cloud , la capacité de récupération ou la réponse aux incidents.

Ce parti pris est renforcé par les rapports annuels sur les tendances du secteur, les outils de sécurité et les listes de contrôle de la conformité, qui donnent la priorité aux travaux définis par les fournisseurs plutôt qu'aux mesures de lutte contre les cyber-risques, avec des contrôles variés - une approche de type "ceinture et bretelles".

En conséquence, les équipes de sécurité peuvent passer trop de temps à remédier à des problèmes mineurs, en se concentrant sur la longue traîne de la remédiation, tout en laissant d'autres fonctions de leur organisation immatures et non préparées à un incident de sécurité dans cloud .

Quand les indicateurs nous induisent en erreur

Les mesures sont censées répondre à la question "Où en sommes-nous ?", mais elles peuvent aussi renforcer les préjugés, en particulier lorsqu'elles mesurent les progrès accomplis dans une tâche particulière plutôt que par rapport à un objectif plus large. De même, les tableaux de bord mettent souvent en évidence la réduction des mauvaises configurations ouvertes ou l'amélioration des scores de conformité, mais ces chiffres ne sont pas nécessairement en corrélation avec la réduction des risques dans le monde réel.

Par exemple, un outil CSPM peut montrer une baisse significative des mauvaises configurations au fil du temps, mais cela n'indique pas si les attaquants ont moins d'occasions d'exploiter l'environnement. Sans contexte approprié, ces mesures peuvent être trompeuses.

Corrélation ≠ Causation : Rapports annuels sur la sécurité de l'Cloud

Combien de statistiques sur la sécurité sont sorties de leur contexte ?

Les rapports de l'industrie mettent souvent en évidence des statistiques alarmantes, telles que

"61% des organisations ont un utilisateur root ou un propriétaire de compte sans MFA".
"82% des utilisateurs d'AWS Sagemaker ont un ordinateur portable exposé à l'internet.

‍

‍

Ces déclarations impliquent que les organisations courent un risque important. Toutefois, le contexte est important.

Les utilisateurs racine sans MFA configuré peuvent être le modèle sécurisé d'une organisation AWS bien gouvernée. Un service exposé publiquement peut avoir des contrôles supplémentaires basés sur l'identité ou des contrôles de détection qui atténuent le risque d'un endpoint exposé.

‍

Le danger des échantillons de données volatiles dans les rapports sur les menaces

Les équipes de sécurité réagissent souvent aux changements dans les rapports de l'industrie sans remettre en question leur signification statistique. Une technique classée 46e vecteur d'attaque le plus courant une année peut passer à la 4e place l'année suivante, ce qui déclenche l'alarme et la mobilisation des ressources.

Cependant, les données qui sous-tendent ces classements sont souvent basées sur un échantillon limité de la base de clients d'un seul fournisseur de sécurité. En outre, si le nombre de clients analysés change considérablement d'une année à l'autre, la tendance peut être trompeuse.

Même des rapports très respectés comme le Verizon Data Breach Investigations Report (DBIR) reconnaissent les limites des sources de ^données2, citant la participation fluctuante d'une année à l'autre. Par conséquent, les organisations doivent évaluer de manière critique les tendances tirées de sources de données instables avant de les utiliser pour prendre des décisions en matière de sécurité.

Prendre des décisions en matière de sécurité de Cloud en mode "réflexion lente

Pour prendre des décisions durables pour votre organisation de sécurité, vous devez passer à ce que Daniel Kahneman décrit comme la pensée du système 2 - lente, délibérée et logique.

Contrairement au système 1, rapide, subconscient et sujet aux erreurs, le système 2 permet une prise de décision complexe, consciente, laborieuse et fiable. Au lieu de réagir à chaque alerte de mauvaise configuration par une réponse du système 1, les organisations doivent prendre du recul et faire appel au système 2 pour évaluer les risques de manière globale.

Cela signifie que :

Impliquer toutes les fonctions de votre organisation de sécurité, de la gouvernance à la détection en passant par la réponse et la récupération, consciemment et délibérément.
Prioriser les efforts en tenant compte de la probabilité et de l'impact des menaces par le biais d'une analyse de l'effort.
En passant d'un état d'esprit réactif à une approche stratégique, les équipes de sécurité peuvent prendre des décisions mieux informées et plus fiables en fonction des risques réels.

‍

Le coût d'opportunité d'une posture parfaite

Chaque décision a un coût d'opportunité, ce qui est tout aussi vrai lorsqu'il s'agit de hiérarchiser les efforts au sein d'une organisation de sécurité. Lorsqu'un nombre excessif de cerveaux est consacré à la remédiation des erreurs de configuration et au moindre privilège, ils peuvent avoir moins de capacité pour :

Détection des menaces et réponse aux incidents.
Automatisation et orchestration de la sécurité.
Gouvernance et gestion des risques.

Au-delà de la posture parfaite

Les entreprises doivent reconnaître que toute approche unique de la sécurité du cloud est de moins en moins rentable. La recherche incessante de la perfection en matière de configuration doit être équilibrée par une perspective plus large.

Soyez sceptique à l'égard des mesures qui renforcent les préjugés existants, comme le simple décompte des mauvaises configurations corrigées. Au lieu de cela, élaborez des indicateurs qui mesurent la réduction globale des risques et la résilience, reflétant ainsi votre position en matière de sécurité.

Pour guider l'affectation des ressources et la prise de décision dans des environnements complexes, il convient de s'appuyer sur des cadres établis tels que le cadre de cybersécurité du NIST, afin de garantir une approche holistique de la sécurité. En outre, il convient d'éviter de créer une équipe isolée chargée de la sécurité du Cloud . Favorisez plutôt une culture de responsabilité partagée, en impliquant l'ensemble de l'organisation dans la prise en charge des risques liés au cloud .

Références

_{[1] : Daniel Kahneman Penser : Rapide et Lent :}_{https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow}

_{[2] : Rapport de Verizon sur les violations de données -2024 : https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf}

‍

Vous voulez en savoir plus ?

Vectra AI est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra AI couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra AI pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous