Les identités des développeurs doivent être prises en compte !

Quels sont les nouveaux vecteurs d’attaque que vous observez et qui gagnent en popularité ?

Le nouveau vecteur d’attaque que nous avons observé est le développeur. Si vous pensez à certaines des failles les plus médiatisées, que ce soit LastPass, Microsoft ou Okta, elles sont toutes passées par des développeurs.

Il s’agit d’une prise de conscience émergente. Nous constatons que de nombreuses entreprises ont transféré leur fonctionnement sur site et leur modèle de sécurité dans le cloud. Il y a 15 ans, si vous produisiez des logiciels sur site, vous n’aviez pas à vous soucier de la sécurité de vos développeurs parce que c’était eux qui étaient chargés de générer le code.

Ce que nous avons vu, c’est que les attaquants ont compris que lorsque vous développez une application en cloud, comme une application microservice, c’est votre développeur qui l’écrit et la déploie. C’est la même personne qui traverse maintenant les trois catégories d’un environnement informatique sur site. Les attaquants se sont donc rendu compte que les identités des développeurs n’étaient pas sécurisées.

Comment nous trouvons-nous dans cette situation ? Est-ce dû aux entreprises qui essaient de migrer les cadres traditionnels de sécurité des identités dans le cloud, ce qui crée des failles ?

C’est exact, parce qu’elles appliquent le même état d’esprit qu’il s’agisse d’informatique traditionnelle ou de cloud, or les deux sont très différents. Personnellement, je n’ai jamais eu à acheter un logiciel de sécurité des identités supplémentaire pour que mes développeurs puissent évoluer en toute sécurité, mais cela représente désormais un point central, puisqu’ils ont accès à l’infrastructure. On ne reconnaît pas à quel point l’environnement peut changer en se contentant de passer d’un type d’informatique à l’autre.

Face à un client, comment lui expliquer à quel point un environnement cloud est différent ? Et comment l’amener à en prendre conscience ?

Dans un environnement classique, sur site, vous avez plusieurs strates, que représentent le bâtiment, le serveur sur lequel sont stockées les données, et le réseau informatique, et chacune de ces couches dispose de sa propre sécurité. Ainsi, je dois m’infiltrer dans le bâtiment qui contient votre datacenter et effectuer les tâches manuellement simplement pour pouvoir me créer un espace de stockage où déposer des fichiers. En revanche, l’utilisation du plus petit service fonctionnant via le cloud supprime tous les aspects de la sécurité sur site auxquels vous êtes habitués.

CyberArk est l’entreprise qui a inventé la gestion des accès à privilèges et le concept de coffre-fort numérique. Notre premier réflexe, lorsque nous pensons à sécuriser le cloud, est de trouver qui sont les administrateurs, afin de les différencier de l’utilisateur. Aujourd’hui, l’informatique possède une nature plus élastique, ce qui signifie qu’elle a créé des configurations qui n’existaient pas auparavant. La combinaison du changement d’environnement, du fait que chaque utilisateur est aussi un administrateur, et de cette troisième dimension de nouvelles configurations est la raison pour laquelle la sécurité dans le cloud nécessite une approche complètement différente de la sécurité informatique traditionnelle.

Qu’en est-il des ingénieurs de fiabilité des sites ? Eux aussi ont-ils également accès à une grande partie de l’infrastructure en nuage ?

Tout à fait. Les ingénieurs de fiabilité des sites (SRE) peuvent se rendre quotidiennement à différents endroits de votre infrastructure, et de nombreux services IT ont effectué cette transition. Il y a, d’une part, des administrateurs systèmes, et un deuxième groupe configure et approvisionne d’autre part les environnements.

Dans les organisations modernes les plus performantes, 85 % à 90 % des employés sont des développeurs, et non des SRE et des personnes chargées du DevOps, ce qui représente un risque important.

Pourriez-vous m’en dire un peu plus sur les zéros privilèges permanents ?

De l’anglais « Zero Standing Privileges », on pourrait également l’appeler « zéro privilège permanent » ou « zéro permissions permanentes ». Si vous considérez cela comme une pyramide, le Single Sign-On (SSO) et l’authentification multifacteurs (MFA) se situent au niveau de la couche inférieure. Par exemple, les permissions d’Outlook ne changent jamais, mais sont simplement étroitement contrôlées. Le niveau suivant est l’accès juste-à-temps, qui peut être vu comme un interrupteur marche-arrêt. Avec celui-ci, le client Outlook est accessible à tout moment, il suffit de prouver son identité au préalable.

Le concept de « zéro privilège permanent » est radicalement différent. CyberArk peut supprimer complètement toutes les permissions de chaque utilisateur. C’est le niveau de protection le plus élevé, car même si quelqu’un vole mes mots de passe et mes informations d’identification, cet attaquant n’a pas le droit de faire ou de voir quoi que ce soit. Le cloud lui-même considère que vous ne possédez aucune permission.

Comment déployer un tel système ? Quelles sont les meilleures pratiques pour le mettre en œuvre ?

La première étape consiste à intégrer tout le monde dans notre produit Zero Standing Privilege, qui est un accès sécurisé au cloud. La protection se met en place instantanément : si quelqu’un se fait voler ses identifiants, les attaquants ne pourront rien voir ni faire. En mettant en œuvre le système de « zéro privilège permanent », vous identifiez les rôles au sein du système.

Ensuite, la deuxième étape, une des « meilleures pratiques » que nos clients mettent en œuvre, consiste à commencer par sécuriser leurs comptes de production ou leurs abonnements, parce que c’est la partie la plus visible.

L’utilisation d’identités synthétiques posera-t-elle un problème ?

Absolument, car il existe des identités synthétiques ou des identifiants de service qui sont couramment utilisés dans le cloud. Le fournisseur de services cloud n’y prête pas attention, puisqu’il s’agit d’une identité à laquelle est attribué un ensemble de permissions.

Avoir la capacité de gérer cet environnement est une préoccupation croissante pour nous tous, en particulier lorsque vous créez des applications de microservices.

Il est souvent question du rôle de l’intelligence artificielle dans la gestion des identités, quelle est la perspective de CyberArk sur le sujet ?

Nous l’envisageons sous trois ou quatre angles différents. Premièrement, notre priorité étant d’aider nos clients à accroître leur productivité, nous cherchons à implémenter l’IA dans nos produits pour renforcer notre capacité à atteindre cet objectif. C’est ainsi qu’est apparu notre propre outil d’IA, que nous avons appelé Cora AI, et qui peut aider nos clients à allouer leurs ressources.

La deuxième dimension, liée à la plateforme cloud de CyberArk, concerne la compréhension des comportements et la détection des risques potentiels et des violations.

Enfin, la dernière catégorie est l’identification des types de violations qui peuvent se produire. CyberArk dispose d’une équipe de test qui expérimente en permanence, notamment à travers la manipulation éthique de ChatGPT pour créer des logiciels malveillants polymorphes – faisant d’elle la première entreprise à le faire.

Pensez-vous que l’IA puisse aider les entreprises à progresser plus rapidement vers le « zéro privilège permanent » via la suppression de règles et l’utilisation potentielle d’un algorithme pour les reproduire temporairement ?

Oui, il s’agit d’une combinaison de la première et de la deuxième catégorie évoquées précédemment : la manière dont nous aidons nos clients à devenir plus efficaces et plus productifs.

Le principe du « zéro privilège permanent » constitue un progrès exponentiel en termes de sécurité, mais c’est à l’IA qu’il revient de l’améliorer.