Lors de l’évaluation de la sécurité d’une infrastructure déployée dans un cloud public, quelle action vous semble la plus efficace pour détecter des configurations inappropriées susceptibles de compromettre la sécurité des données ?
[A] La réalisation d’un audit de sécurité in-situ
[B] La réalisation d’un test de pénétration annuel
[C] La vérification automatisée des configurations via un outil spécialisé (type CSPM)
[D] La vérification des certificats de sécurité du fournisseur (ISO 27001, SOC2, etc…)
Proposition [A] : Les audits de sécurité « in-situ » c’est-à-dire à l’intérieur des datacenters ne sont généralement pas autorisés par les fournisseurs cloud pour des raisons liées à la sécurité et la nature même des architectures Cloud. En effet, les infrastructures de cloud public sont basées sur un modèle multi-locataires (multi-tenancy) où les ressources physiques et les infrastructures sont partagées entre plusieurs clients. Un audit physique pourrait compromettre la confidentialité et la sécurité des données d’autres clients qui utilisent la même infrastructure.
Proposition [B] : Un test d’intrusion peut s’avérer utile pour identifier les vulnérabilités exploitées dans un environnement cloud. Toutefois, en se limitant à une fréquence annuelle, cette option ne sera pas suffisamment réactive pour répondre aux changements rapides dans les configurations cloud.
Proposition [C] : L’utilisation de scanners de configuration automatisés est recommandée pour identifier les configurations inappropriées dans les environnements cloud. Il existe pour cela tout une gamme de produits appelés CSPM (Cloud Security Posture Management). Ces outils peuvent évaluer en continu une infrastructure cible afin de détecter les écarts par rapport aux meilleures pratiques de sécurité et assurer ainsi une conformité à des référentiels de sécurité pertinents comme par exemple les benchmarks CIS (Center for Internet Security).
Proposition [D] : Les certificats de sécurité du fournisseur (ISO 27001, SOC2, etc…) permettent d’attester un certain niveau de sécurité des services Cloud mais n’adressent pas les problèmes liés à des mauvaises configurations dans le déploiement qui sont par définition du ressort des clients et non pas du fournisseur IaaS.
La bonne réponse est la proposition [C]
Pour en savoir plus sur l’évaluation de la sécurité des services Cloud, nous vous recommandons de suivre le module n°16 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE