ECUE.3.

22

Section 3. Solutions Complémentaires pour

la sécurité des Données dans le Cloud

Leçon 1. Data Security Intelligence

Détection, réponse et récupération suite à
des incidents de sécurité
Définitions
Un log (journal) , ou événement, est un enregistrement d'un élément spécifique qui
s'est produite. Par exemple, votre environnement peut générer un enregistrement
de journal chaque fois que quelqu'un s'authentifie, ou fait une demande Web, ou que
l'utilisation du processeur est élevée pendant cinq minutes, ou un certain nombre
d'autres éléments qui pourraient se produire dans un environnement complexe.
Une alerte est un type d'événement où le système décide qu'il vaut la peine d'en
informer quelqu'un. Le fait que le logiciel antivirus ait extrait les définitions mises à
jour est un événement. Le fait qu'il ait effectivement trouvé un malware devrait être
une alerte!
Les métriques sont un ensemble de chiffres qui donnent des informations sur un
élément quelconque. Les métriques sont généralement basées sur le temps, vous
pouvez donc avoir une métrique collectée chaque minute pour le nombre de
demandes d'authentification qui se sont produites, la quantité d'espace disque
disponible ou le nombre de demandes Web effectuées.
Les journaux et les métriques peuvent être utiles pour détecter les incidents de sécurité et
générer des alertes, et les métriques peuvent parfois être un meilleur choix pour alerter
lorsqu'il y a trop d'entrées de journal à traiter.
Détection des incidents de sécurité
Si vous exécutez un serveur de secrets,, vous devez superviser tous les accès aux
secrets. Voici quelques exemples d'activités inhabituelles sur lesquelles vous pouvez
alerter et enquêter:

Échecs d'authentification ou d'autorisation sur le serveur secret, ce qui peut indiquer une
attaque
Une quantité inhabituelle d'activité pour la récupération des secrets
L'utilisation des informations d'identification administratives
Etapes de détection des incidents de
sécurité
Une fois les événements et le métriques utiles collectées, Il est nécessaire de les
utiliser efficacement pour détecter et réagir aux intrusions. La figure ci-dessous
montre les différentes étapes de ce processus. Ces étapes peuvent toutes être
effectuées par un seul produit ou service, tel qu'un SIEM (Security Information and
Event Management) ou par plusieurs produits et services agissant ensemble.

agréger les
rechercher et alerter ou
journaux à un analyser les
corréler éventuellement
emplacement journaux pour
efficacement répondre à des
central et les extraire des
entre plusieurs événements
conserver (par informations
sources de importants
exemple importantes
journaux
pendant un an)

Assurez-vous que l'heure est synchronisée sur tous vos systèmes, généralement en utilisant le
Network Time Protocol (NTP)
Security Information and Event Managers
Les règles d’intelligence d’un SIEM peuvent être utilisées pour détecter un
mauvais comportement potentiel, parfois en corrélant des événements
survenus à deux endroits différents ou en comparant des données actuelles
et historiques.
Exemples:
o Le trafic de base de données a augmenté de 200% par rapport à la moyenne mensuelle. Peut-
être que l'application est vraiment très populaire en ce moment, mais quelqu'un vole-t-il
systématiquement nos données?
o Il y a eu 150 tentatives de connexion infructueuses sur un compte, suivies d'un succès. Est-ce une
attaque réussie par force brute?
o Nous avons vu une seule tentative de connexion échouée sur 300 comptes différents, suivie d'un
succès sur le compte # 301. Est-ce une attaque par pulvérisation de mots de passe réussie?
o John ne se connecte pas normalement à 3 h 00 HE, ni depuis ce pays. Peut-être que ce n'est pas
vraiment John?
o Trois comptes différents se sont connectés à partir du même système en 30 minutes. Il semble
peu probable que toutes ces personnes utilisent réellement ce système, alors peut-être que le
système et ces comptes sont compromis? »
o Un nouveau compte administratif vient d'être créé en dehors des heures normales de bureau.
Peut-être que quelqu'un travaille tard, mais peut-être qu'il y a un problème?
Exemples d'outils de détection, de réponse et
de récupération
Amazon GuardDuty peut rechercher une activité inhabituelle ou suspecte dans votre
compte ou vos systèmes AWS.
Amazon CloudWatch Logs, Azure Monitor, Google Stackdriver Logging et IBM Cloud Log
Analytics vous permettent tous de stocker et de rechercher dans vos journaux.
Amazon CloudWatch, Azure Monitor, Google Stackdriver Monitoring et IBM Cloud
Monitoring fournissent des mesures de performances.
AWS CloudTrail, Azure Monitor et IBM Cloud Activity Tracker peuvent surveiller l'activité
des utilisateurs privilégiés dans les comptes cloud.
Azure Security Center peut collecter des données de sécurité dans un emplacement
central, ainsi que la surveillance de l'intégrité des fichiers et d'autres fonctions de sécurité.
Cisco, McAfee et Snort sont des fournisseurs de services de détection d'intrusion réseau
populaires qui disposent d'appliances basées sur le cloud.
CloudFlare, Akamai et Signal Sciences fournissent des solutions de pare-feu d'applications
Web basées sur le cloud.
OSSEC, Tripwire, AIDE, NT Change Tracker, CloudPassage Halo, Qualys fournissent des
solutions de surveillance d'intégrité de fichiers traditionnelles ou basées sur le cloud.
Les SIEM tels qu'IBM QRadar, Splunk Security Intelligence Platform, LogRhythm collectent
les événements de journal, les analysent et déclenchent des alertes.
QRadar – User Bahavior Analytics
QRadar – Discovering Shadow IT
CASB (Cloud Access Security Broker)
En raison du risque de fuite de données dans le cloud, l'utilisation de CASB est
nécessaire afin de maintenir la visibilité sur les données qui ont dépassé la portée
des outils on-premise.

Journaux d'activité
En ce qui concerne les données sensibles, une organisation doit
avoir une visibilité et des connaissances complètes sur la façon
dont elles sont utilisées. Les CASB fournissent des journaux
détaillés sur toutes les transactions cloud, de sorte que toutes
les connexions ou téléchargements sont toujours enregistrés.
Les comportements spécifiques aux applications tels que le
partage de fichiers externes sont également consignés, aidant
les organisations à savoir où se trouvent les données si elles
sont partagées. Ces journaux permettent également aux
équipes informatiques de les filtrer afin d'avoir plus de visibilité
sur l'activité au sein de l'entreprise.
CASB (2)
Shadow IT
Egalement connu sous le nom « d'applications non sanctionnées», est classé en
fonction du risque - permettant aux organisations de décider ce qui doit être
bloqué. Certains CASB plus traditionnels concentrent leurs ressources sur la
détection et le catalogage manuels des applications cloud non autorisées. Cela se
fait généralement par le biais d'équipes de personnes qui parcourent Internet pour
évaluer de manière réactive les applications lorsqu'elles se présentent ou sont
mises à jour. D'autres CASB se concentrent sur la création d'un système qui
détecte, examine et classe automatiquement toute application. Ce système
automatisé, appelé Zero-day Shadow IT Discovery, utilise une approche
d'apprentissage automatique pour évaluer les applications à la volée.
CASB (3)
CSPM
la gestion de la posture de sécurité dans le cloud (CSPM: cloud security posture
management) détecte les mauvaises configurations IaaS, qui nécessitent souvent des
configurations étendues afin de s'assurer qu'elles fonctionnent correctement. Avoir
une posture de sécurité cloud solide sur ces plateformes est une étape critique
pour éviter les fuites de données. Les solutions de stockage, comme AWS par
exemple, doivent être configurées correctement, sinon elles peuvent rendre les
données sensibles accessibles au public. C'est précisément ce qui s'est produit lors
de la violation de Capital One.

Les organisations utilisant CSPM permettent d'identifier et de corriger les erreurs

de configuration.
CASB (4)
Protection des données au-delà du pare-feu
Si quelqu'un sur un appareil non géré se connecte à Office 365 via wifi depuis un
café, quel produit de sécurité dans votre pile protège cette session? Si vous êtes
perdu, vous n'êtes pas seul.

Avec l'introduction du cloud dans nos environnements d'entreprise, les employés

accèdent désormais aux données de l'entreprise en dehors des quatre murs du
bureau avec des applications comme Office 365, GSuite, Box, Salesforce, etc. Les
CASB sont architecturés pour garantir la sécurité de n'importe quelle application,
n'importe où
Utilisateurs malveillants
Les CASB permettent la détection et la correction des logiciels malveillants, le géo-
repérage, le chiffrement des données, la gestion des sessions, …
CASB (5)
Bring Your Own Device - BYOD
Une fois que les employés ont découvert
à quel point il était facile d'accéder aux
informations de leur entreprise à partir du
cloud, ils ont commencé à le faire à partir
de leurs propres appareils personnels
(ordinateurs portables, smartphones,
tablettes, etc.). Alors que de nombreuses
organisations souhaitent offrir de la
flexibilité et permettre aux employés de
travailler à partir de n'importe quel
appareil, elles frémissent à l'idée d'une
synchronisation des données d'entreprise
sensibles vers un appareil personnel
totalement non géré (et potentiellement
non sécurisé ou compromis). Une fois que
les informations se trouvent sur l'appareil
de l'utilisateur, il devient très difficile
d'avoir un contrôle – d’où le CASB.