Interview d’Adrien Bouteiller, consultant sécurité chez Intrinsec
Bonjour Adrien. Peux-tu nous présenter l’offre “Audit d’environnement AWS” ?
Adrien : Il faut voir un environnement Amazon Web Services (AWS) comme une composition de nombreux services de constitutions et de natures très variées.
AWS propose des gestionnaires de bases de données, des solutions de stockage, ou encore des services permettant d’établir un lien avec une infrastructure physique. Mais, ce qui nous intéresse particulièrement, ce sont les services de sécurité. Pour n’en citer que trois, nous avons :
- Identity and Access Management (IAM), qui permet notamment de définir des permissions et de contrôler les accès aux différentes ressources ;
- Key Management System (KMS), un gestionnaire de clés de chiffrement utilisé par de nombreux autre services ;
- CloudTrial, CloudWatch et GuardDuty, une suite de journalisation, de surveillance et de détection d’intrusion.
Ce que nous proposons, dans notre démarche d’audit, c’est d’évaluer le niveau de sécurité d’un environnement AWS, au travers de l’analyse de la configuration des différents services impliqués et de son architecture. L’objectif de ce travail est de répondre aux deux questions suivantes :
- Un attaquant extérieur peut-il s’introduire dans l’environnement ?
- Un collaborateur ou prestataire malveillant peut-il élever ses privilèges, ou bien accéder de manière illégitime à des ressources sensibles de l’environnement ?
Nous réalisons également une étude de conformité, en analysant la cohérence entre la configuration effective de l’environnement et les exigences définies dans la politique de sécurité de l’entreprise. Cette approche intègre des composantes organisationnelles, au travers d’entretiens avec les équipes en charge de l’infrastructure.
En complément, nous établissons des préconisations concrètes, adaptées et priorisées, dans le but d’établir un plan d’action à court et à moyen terme.
Sur quel type d’environnement intervenons-nous ?
Adrien : En entreprise, nous rencontrons à la fois des environnements de faible étendue, centrés autour d’une infrastructure réseau de type « hébergement Web », et des environnements bien plus vastes, incluant une partie du système d’information de l’entreprise et exploitant de nombreux services AWS.
Cette partition est très générique et admet sans doute quelques singularités, mais permet tout de même de distinguer les deux grandes familles observables.
Nous intervenons le plus souvent sur des infrastructures de type « hébergement Web », mais avons aussi l’occasion, bien que cela soit plus rare, de travailler sur des environnements de plus grande envergure.
Pourquoi avoir imaginé cette offre ? Quelle est la valeur ajoutée de la conduite de ce type d’audit pour une entreprise ?
Adrien : Sans surprise, c’est la croissance du marché des cloud providers qui nous a amenés à nous intéresser à ce sujet.
« By 2020, a corporate no-cloud policy will be as rare as a no-internet policy is today »
Gartner Inc.
En effet, il est courant de voir des entreprises faire le choix de positionner une partie de leur infrastructure chez AWS ou chez un concurrent, notamment pour des raisons de flexibilité. Malgré tous les avantages que présente cette pratique, un inconvénient majeur persiste : la grande complexité des services proposés.
Chacun le sait : la sécurité est un métier. Nous avons donc considéré qu’il était nécessaire de construire notre expertise sur le sujet, afin d’accompagner nos clients dans cette transition et de leur permettre d’exploiter tout le potentiel de l’offre de services orientés sécurité d’AWS.
Quelles sont les perspectives d’évolution ?
Adrien : Aujourd’hui, nous avons essentiellement une approche offensive de la sécurité des environnements AWS. Nous prévoyons, tout au long de ces prochains mois, d’étendre notre champ de compétences aux aspects défensifs. Notre SOC et notre CERT engagent actuellement des cycles de recherche et développement qui vont dans ce sens, et auront sans doute l’occasion de communiquer prochainement sur leurs activités.
Sur un plan plus formel, nous disposons à ce jour de deux certifications : la certification Solutions Architect Associate, qui justifie une compréhension globale des services AWS, et la certification Security Specialty, qui traite en profondeur des sujets liés à la sécurité. Nous prévoyons de passer d’autres certifications plus fonctionnelles, notamment dans le but de comprendre davantage les contraintes métier propres à AWS.
Enfin, dans une perspective plus large, nous souhaitons étendre notre activité aux autres principaux fournisseurs de cloud computing (à savoir Microsoft Azure et Google Cloud Plateform), à l’horizon 2020.