Une directive contraignante de la CISA ordonne la mise en œuvre par les agences fédérales de configurations de base pour les plateformes SaaS.
La directive contraignante de cette semaine adressée aux ministères américains pour mettre en œuvre des configurations sécurisées dans les applications cloud, à commencer par Microsoft 365 (M365), rappelle à tous les RSSI que les plateformes cloud, même celles des principaux fournisseurs, ne sont pas complètement sécurisées dès le départ.
« Les éléments cloud sont faciles à gérer et à déployer », a déclaré Ed Dubrovsky, directeur de l’exploitation et associé directeur de Cypfer, une société internationale de réponse aux cyber-incidents.
« Le problème est que la plate-forme M365 n’est pas vraiment sécurisée par défaut. Nous, professionnels de la sécurité, crions depuis des années (chez Microsoft) : « Pourquoi ne dites-vous pas que l’authentification multifacteur (MFA) doit être activée ? » Pourquoi est-ce une option ? C’est tout simplement faux.’
Récemment, Microsoft a rendu MFA obligatoire pour les connexions via Azure.
« La définition de contrôles pour) des choses comme la nécessité de conserver des journaux pendant un certain temps en cas d’enquête médico-légale (sur une violation des contrôles de sécurité) sont encore plus fondamentales… Ce que nous trouvons dans de nombreuses options d’abonnement de M365, ce sont les journaux. sont conservés moins de 30 jours. Ce qui n’est pas du tout suffisant», a-t-il ajouté.
«Tous ces petits ajustements que vous devez faire pour renforcer le M365 ne sont pas exploités. Et cela crée un afflux d’infrastructures faibles de M365 déployées dans des organisations de plus en plus grandes – y compris des gouvernements et des agences sensibles – parce que les gens se concentrent toujours sur la fonctionnalité plutôt que sur la sécurité de M365. C’est un problème séculaire : la sécurité passe au second plan par rapport à la fonctionnalité, au lieu d’avoir véritablement une place à la table (de la haute direction) et de discuter de ce à quoi ressemble un déploiement sécurisé de M365. »
« Et d’ailleurs », a-t-il déclaré, « il existe des tonnes de guides de bonnes pratiques expliquant comment déployer cela en toute sécurité. Ce que je ne comprends pas, c’est pourquoi vous ne le faites pas par défaut, Microsoft ? »
Les commentaires de Dubrovsky sont intervenus après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une directive opérationnelle contraignante sur la mise en œuvre de pratiques sécurisées pour les services cloud à l’intention du pouvoir fédéral, de l’exécutif, des ministères et des agences. Toutefois, cela n’inclut pas les systèmes de sécurité nationale ou les systèmes gérés par les communautés de la défense ou du renseignement.
Les services informatiques concernés doivent mettre en œuvre un ensemble de configurations de base définies par le projet Secure Cloud Business Applications (SCuBA) pour certaines plates-formes de logiciels en tant que service (SaaS). Jusqu’à présent, note la directive, le seul ensemble de références de configuration finale concerne Microsoft 365.
Il existe également une configuration de base pour Google Workspace répertoriée sur le site Web de SCuBA qui n’est pas mentionnée dans la directive de cette semaine. Cependant, l’ordonnance indique qu’à l’avenir, CISA pourrait publier des lignes de base de configuration sécurisées SCuBA supplémentaires pour d’autres produits cloud. Lorsque les lignes de base seront publiées, elles entreront également dans le champ d’application de la directive de cette semaine.
Pour donner à la CISA une meilleure gestion des actifs cloud fédéraux, l’ordonnance stipule que les agences concernées doivent fournir les noms des locataires du cloud à la CISA d’ici le 21 février 2025, déployer tous les outils d’évaluation SCuBA pour eux et commencer la création de rapports continus d’ici le 25 avril.
D’ici le 20 juin, les agences doivent mettre en œuvre toutes les politiques obligatoires de SCuBA, telles que les configurations requises.
Un porte-parole de la CISA a déclaré qu’il ne pouvait pas commenter la raison pour laquelle la directive a été publiée cette semaine, mais Dubrovsky estime qu’il s’agit « plutôt d’un avertissement générique » adressé aux ministères fédéraux et non lié à un événement.
Interrogé sur la manière dont les RSSI du secteur privé devraient sécuriser les plateformes cloud, Dubrovsky a répondu qu’ils devraient commencer par les bases de la cybersécurité. Cela implique la mise en œuvre de politiques strictes de gestion des identités et des accès, notamment la MFA, ainsi que la surveillance du réseau et l’alerte en cas d’anomalie, avant de passer au cloud.
« Réparez les éléments de base à la maison avant de commencer à installer de nouvelles portes », a-t-il déclaré.
Les analystes principaux de Forrester Research, Andras Cser et Geoff Cairns, ont noté que la directive signifie que la CISA demande aux agences fédérales d’effectuer la découverte des actifs cloud, l’évaluation continue et la création de rapports sur le cloud, ainsi que la gestion de base de la configuration de la sécurité du cloud.
Les méthodes manuelles permettant de répondre aux exigences ci-dessus sont peu pratiques, voire impossibles, estime Forrester. Il s’attend donc à ce que les plates-formes de protection des applications cloud natives (CNAPP) et les fournisseurs de sécurité SaaS améliorent leurs modèles de sécurité d’infrastructure cloud CISA et FedRAMP pour répondre aux nouvelles exigences. FedRAMP est le programme fédéral de gestion des risques et des autorisations, créé en 2011 pour fournir une approche basée sur les risques pour l’adoption et l’utilisation des services cloud par le gouvernement fédéral.
