Le cloud a bouleversé les règles de l’informatique et sa sécurisation appelle une nouvelle approche. La sécurité du cloud est en passe de devenir un marché estimé à 100 milliards de dollars. Aux prémices du cloud il y a quelques années, nous savions qu’il existait un besoin non satisfait, mais l’ampleur de ce besoin, qui dépasse même la détection et la réponse des endpoints (EDR) et les pare-feux de nouvelle génération, reste supérieure à toutes les prévisions de l’époque !
Par Loris Degioanni, fondateur et CTO de Sysdig
L’essor de la sécurité du cloud
Les dernières évolutions du secteur, comme le refus de l’offre de rachat à 23 milliards de dollars de Google par une société de sécurité cloud-native, soulignent la demande du marché en matière de sécurité du cloud. Bien que nous vivions encore les premiers jours du cloud, celui-ci est déjà devenu le principal environnement informatique au sein des entreprises. Mais gérer la sécurité du cloud ne se fait pas sans difficultés. En effet, nombreuses sont les entreprises éprouvant des difficultés à assurer la sécurité du cloud en tentant d’étendre leurs solutions de sécurité traditionnelles à ce nouvel environnement.
Autrement dit, les solutions traditionnelles ne sont pas conçues pour sécuriser ce nouveau paysage. Les outils EDR traditionnels, conçus pour les environnements on-premises, ne peuvent pas gérer la vitesse ou la complexité des systèmes cloud-natifs.
Bien que la gestion de la posture (le verrouillage des accès) soit essentielle et qu’elle ait constitué la première étape de la sécurité du cloud, elle ne suffit pas à résoudre tous les problèmes. Les attaquants dénichent des failles, des ouvertures et d’autres vulnérabilités par lesquelles ils peuvent se faufiler. Les défenseurs doivent donc tout faire pour les empêcher d’entrer, ce qui nécessite une protection en temps réel contre les attaques sophistiquées et rapides.
Les acteurs du marché sont à la recherche d’une solution de sécurité complète pour le cloud, capable de répondre à ces deux besoins : aider les organisations à prévenir le maximum d’attaques, ainsi que détecter et répondre en temps réel au maximum d’attaques. C’est pourquoi les plateformes de protection des applications cloud-natives (CNAPP) ont été conçues : pour offrir une solution de sécurité cloud de bout-en-bout.
Pourquoi la sécurité traditionnelle n’est pas à la hauteur ?
Les attaquants peuvent pénétrer dans un système cloud en moins de 10 minutes, ce qui signifie que les organisations doivent être prêtes à les détecter, à les analyser et à y répondre en temps réel. La détection et la réponse dans le cloud jouent ici un rôle crucial : elles sont conçues pour les architectures modernes et cloud-natives, telles que Kubernetes et les conteneurs. Soulignons que les conteneurs représentent une évolution non seulement du cadre d’exécution de nos applications, mais aussi de la manière dont nous les écrivons, les structurons, les testons, les déployons et, plus important encore, les sécurisons.
Les solutions traditionnelles telles que les EDR, en revanche, manquent de visibilité étendue sur le cloud et sont incapables de collecter et de corréler la grande quantité d’informations entre les environnements (différents clouds, conteneurs, Kubernetes, machines virtuelles, etc.) dans les délais nécessaires pour identifier et comprendre une attaque sur le cloud et exécuter une réponse adaptée.
Aujourd’hui, les attaquants gagnent en rapidité, tirent parti de l’automatisation et exploitent l’IA pour augmenter l’échelle, la vitesse et la complexité de leurs opérations. Les défenseurs ont besoin d’outils capables de suivre ce rythme, ce qui exige des solutions cloud-natives qui ne soient pas des adaptations de produits on-premises obsolètes.
Le cloud et l’IA ont convergé pour créer un niveau d’automatisation inédit, donnant aux acteurs de la menace les moyens et l’équipement nécessaires pour repousser des limites que nous ne soupçonnions même pas il y a quelques années. La complexité, la rapidité et le volume même des attaques ont entièrement changé la donne. Nous avons largement dépassé les capacités des outils traditionnels tels que les EDR.
Les solutions de sécurité du cloud doivent être conçues pour le cloud, et non pas adaptées à celui-ci. Voilà pourquoi les outils traditionnels ne sont pas à la hauteur : ils ne sont pas en mesure de relever les défis de sécurité inhérents au cloud.
La révolution de l’IA au service de la sécurité du cloud
L’IA est sur le point de remodeler la cybersécurité, tant au niveau de la défense que de l’attaque, et des logiciels d’IA de pointe sont déjà construits presque exclusivement autour de Kubernetes. Les acteurs de la menace utilisent désormais l’automatisation pilotée par l’IA pour pénétrer plus rapidement que jamais dans les systèmes cloud. En voici un exemple concret : nous avons découvert le LLMjacking, qui consiste pour les attaquants à exploiter les informations d’identification du cloud et à voler les ressources des grands modèles de langage (LLM), entraînant des pertes quotidiennes pour les victimes pouvant atteindre 46 000 dollars.
Mais les acteurs de la menace ne se contentent pas d’exploiter les accès, ils exploitent également les modèles d’IA pour divulguer des données secrètes et sensibles. Faute de protection, l’ensemble des informations que nous saisissons ou que nous transmettons à un LLM peut faire l’objet d’une attaque.
La convergence de l’IA et de la sécurité du cloud signifie que nous devons disposer de solutions plus avancées. Les problématiques liées à l’IA dans le cloud requièrent des solutions cloud-natives, élaborées dans un souci de rapidité et de visibilité. Ici encore, les outils de sécurité hérités ne maîtrisent pas suffisamment les comportements liés au cloud et à l’IA, ou ne sont pas assez rapides pour être réellement efficaces.
Toutefois, l’IA peut également se révéler bénéfique dans le domaine de la sécurité du cloud. Au-delà du simple copilote, l’IA peut décupler la capacité de traitement des données et de détection des anomalies. Il existe une réelle opportunité de surpasser le rythme de la réponse humaine grâce à un support d’IA multiplateforme capable de faire des liens et de suggérer des étapes de remédiation au profit des équipes de sécurité.
La puissance des logiciels libres
La sécurité est un combat qui ne doit pas obligatoirement être asymétrique. Les attaquants collaborent et les défenseurs devraient faire de même. Le cloud repose sur des logiciels open-source, comme Kubernetes, et la sécurité se doit de suivre le mouvement. Prenons l’exemple de Falco, un moteur de détection open-source. Falco compte des centaines de contributeurs à travers le monde, a récemment obtenu sa graduation auprès de la Cloud Native Computing Foundation (CNCF) et est devenu la norme en matière de détection des menaces cloud-natives.
L’approche « open-source » implique que chaque règle de détection est examinée et améliorée par une communauté internationale. Cette veille collaborative permet une adaptation et un perfectionnement en temps réel que les solutions « boîte noire » ne peuvent tout simplement pas égaler.
A contrario, de nombreuses plateformes de sécurité propriétaires masquent leur fonctionnement interne, rendant difficile pour les utilisateurs d’en comprendre les limites ou de développer des solutions sur mesure. Les outils libres tels que Falco, OPA et TUF donnent aux défenseurs les moyens d’agir en assurant la transparence, la flexibilité et la capacité d’évoluer au fur et à mesure de l’évolution des menaces.
La demande en matière de sécurité du cloud est en hausse, et les outils traditionnels ne sont tout simplement pas en mesure de faire face aux menaces actuelles, qui évoluent rapidement et sont pilotées par l’IA. Pour sécuriser le cloud, les organisations ont besoin de plateformes cloud-natives qui offrent une détection et une réponse en temps réel. La collaboration open-source, combinée aux dernières avancées en matière d’IA, permettra aux défenseurs de garder une longueur d’avance sur les attaquants.
Étant donné que le cloud ne cesse d’évoluer, notre approche de la sécurité doit suivre cette évolution, en misant sur la rapidité, la transparence et l’innovation.