Qu’est-ce que la protection de la charge de travail ? La protection de la charge de travail est l’ensemble des contrôles et des protocoles de sécurité du cloud qui sécurisent les communications de la charge de travail entre les environnements. Liée à la sécurité de la charge de travail dans le cloud, la protection de la charge de travail atténue les vulnérabilités causées par les risques de sécurité inhérents tels que les erreurs de configuration. Il s’agit également d’un élément clé de la gestion de la posture de sécurité du cloud (CSPM).

protection de la charge de travail
Regarder

Pourquoi la protection de la charge de travail est-elle importante ?

Les applications cloud sont devenues fondamentales pour les opérations de l’entreprise, et les employés seraient bien en peine de faire leur travail sans y avoir accès. Pour augmenter la productivité des départements, les entreprises adoptent des services cloud comme l’infrastructure cloud de fournisseurs tels que Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform. Souvent, les entreprises combinent des services SaaS, PaaS et IaaS provenant d’un amalgame de fournisseurs, créant ainsi un environnement multicloud.

Comme les entreprises du monde entier ont déplacé leurs opérations des sites vers le cloud, la protection de la charge de travail dans le cloud est devenue une priorité absolue pour les équipes de sécurité.

Un focus sur la sécurité

Les fournisseurs de services cloud précités (en particulier les plus grands) disposent d’une cybersécurité solide et intégrée et font souvent valoir leurs infrastructures sécurisées comme un avantage concurrentiel. Cependant, ces fournisseurs de services cloud utilisent des modèles de responsabilité partagée, en vertu desquels les fournisseurs de services cloud sont responsables de la sécurité de l’infrastructure cloud elle-même, tandis que les clients du cloud conservent la responsabilité de ce qui réside dans le cloud et de ce qui communique, à savoir les applications, les charges de travail et les données.

À cette fin, le marché propose une pléthore de solutions de sécurité destinées à protéger les charges de travail qui circulent depuis le cloud et vers celui-ci. Elles sont de plus en plus populaires, car il est devenu évident que les architectures de sécurité traditionnelles ne peuvent pas faire face aux menaces modernes. Pour en comprendre la raison, examinons rapidement la manière dont les charges de travail étaient sécurisées par le passé, et comment leurs besoins de protection ont évolué au fil du temps.

Comment nous sécurisions traditionnellement nos charges de travail

Les technologies de réseau traditionnelles, telles que les pare-feu ou les machines virtuelles, assuraient une protection adéquate de la charge de travail à une époque où les activités se déroulaient sur site et où les équipes informatiques devaient se soucier d’un volume de données bien moindre. Ces méthodes ont relativement bien fonctionné car les cyberattaques n’étaient pas aussi avancées ni intrusives qu’aujourd’hui et, de surcroît, les applications cloud n’étaient pas encore omniprésentes.

Il va sans dire que le monde s’est quelque peu transformé depuis le début de la décennie. Non seulement les employés travaillent désormais en tout lieu, mais aussi les applications cloud et cloud native sont devenues indispensables à la productivité quotidienne.

Les professionnels de l’informatique et de la sécurité ont compris que les technologies traditionnelles s’adaptent mal aux environnements cloud. Ces environnements sont élastiques, ne sont que faiblement couplés à l’infrastructure et ne disposent pas d’un périmètre statique sur lequel placer des contrôles de sécurité. En outre, la plupart des entreprises utilisent une combinaison de fournisseurs de services cloud et de data center pour héberger les applications et communiquer les flux de travail, ce qui complique leur capacité à obtenir une visibilité cohérente sur ceux-ci.

Ainsi, les applications et les services doivent être au centre, plutôt qu’en marge, de la planification de la sécurité.

Une dynamique en mutation permanente

Au lieu d’être liés aux chemins de réseau que les applications traversent, les contrôles doivent être directement liés à l’identité des applications et des services qui communiquent. Il ne suffit plus de définir un logiciel par son adresse ou son chemin de trafic, les contrôles basés sur les adresses sont susceptibles de changer, surtout dans un environnement cloud, ce qui oblige les équipes de sécurité à élaborer un nombre croissant de règles pour compenser.

La nature éphémère du cloud pose de nombreux défis aux équipes de sécurité. Les anciennes technologies de sécurité sont basées sur un modèle de confiance qui n’est plus valable dans le paysage des menaces actuel. Les périmètres ont pratiquement disparu, le chiffrement rend l’inspection du trafic difficile et la classification des données distribuées est gourmande en ressources. Parallèlement, tous ces défis confèrent au cloud un attrait particulier pour les hackers.

Les entreprises qui utilisent des plateformes de protection des terminaux (EPP), conçues uniquement pour protéger les appareils des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables), afin d’assurer la protection de la charge de travail des serveurs, mettent en danger les données et les applications de l’entreprise.

Gartner, Guide du marché des plateformes de protection des charges de travail dans le cloud

Menaces courantes relatives à la protection de la charge de travail

Le cloud s’est développé, tout comme le nombre de menaces pesant sur ses données. Le paysage actuel des menaces présente un large éventail d’attaques insaisissables et puissantes qui, sans une protection appropriée de la charge de travail, peuvent facilement causer des ravages dans une entreprise. Voici quelques-unes de ces menaces :

  • Ransomwares cloud : les environnements cloud ne sont pas à l’abri des attaques de malwares et de ransomwares, qui s’y infiltrent pour prendre en otage des données sensibles en échange du paiement d’une rançon.
  • Attaques de la chaîne d’approvisionnement : ces attaques cherchent à s’introduire en implantant une porte dérobée dans les produits, généralement des logiciels, que les entreprises ciblées utilisent. Cela permet aux hackers de diffuser des correctifs automatiques ou des mises à jour logicielles contenant un cheval de Troie qui ouvrent la porte à des malwares et autres attaques.
  • Perte de données : bien qu’il ne s’agisse pas d’une « menace » au sens propre, il s’agit de l’un des plus grands risques du cloud computing. La perte de données est le plus souvent causée par des angles morts dans la protection, ce qui peut conduire à l’exposition de ces données, soit du fait d’une erreur de l’utilisateur, soit d’une action malveillante.

Outre la prévention de ces risques et d’autres risques liés au cloud, la protection de la charge de travail offre d’autres avantages substantiels, que nous allons aborder dans la section suivante.

Avantages en termes de sécurité de la protection de la charge de travail

En ajoutant des contrôles sur des applications spécifiques, plutôt que sur chaque appareil ou utilisateur, la protection de la charge de travail vous aide à répondre à des questions telles que :

  • Quelles applications communiquent ?
  • Lesquelles devraient communiquer ?
  • Les systèmes appropriés communiquent-ils entre eux sans permettre au trafic malveillant de persister ?

En répondant à ces questions, vous pouvez autoriser uniquement les charges de travail vérifiées à communiquer dans votre environnement de cloud public, privé ou hybride, en atténuant les risques et en offrant le plus haut niveau de protection contre les violations de données. Voici quelques-unes des façons qui illustrent comment une protection efficace de la charge de travail procure à votre équipe un avantage en matière de sécurité :

Complexité réduite

Le suivi des actifs et des inventaires de politiques est compliqué, et le mappage des flux de données dans un cloud est complexe car les services peuvent changer d’emplacement, ce qui augmente le nombre de points de données à surveiller et à gérer. La protection de la charge de travail simplifie le suivi et la protection, et anticipe l’impact du changement en se concentrant sur les applications plutôt que sur l’environnement au sein duquel elles communiquent.

Protection cohérente indépendante de l’emplacement

Les outils de sécurité traditionnels qui se basent sur les adresses IP, les ports et les protocoles comme plan de contrôle ne sont pas adaptés aux environnements cloud. La nature dynamique du cloud rend ces contrôles de sécurité statiques peu fiables, car ils peuvent changer à tout moment, plusieurs fois, au cours d’une même journée. Pour pallier ce problème, les plateformes de protection de la charge de travail déterminent la protection en fonction des propriétés du logiciel lui-même.

Évaluation continue des risques

Les experts en sécurité savent que leurs réseaux d’entreprise sont vulnérables, mais la majorité ne peut pas quantifier le niveau de risque que ces réseaux font courir à l’entreprise, notamment en ce qui concerne l’exposition des applications. La solution de protection de la charge de travail adéquate peut mesurer la surface d’attaque de votre réseau visible en temps réel pour comprendre le nombre de voies de communication possibles utilisées entre les applications.

Dans tous les cas, la solution doit prendre en charge le besoin croissant de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust).

Gartner, Guide du marché des plateformes de protection des charges de travail dans le cloud

Grâce au mapping topologique de Zscaler Workload Segmentation, je dispose d’une représentation précise de notre environnement en constante évolution et je peux éliminer les chemins d’attaque potentiels qui mettent en danger les données des clients.

John Arsneault, DSI, Goulston & Storr

Bonnes pratiques pour la protection de la charge de travail

La protection des charges de travail commence par le choix de la bonne plateforme. Voici quelques conseils pour vous aider à vous orienter vers un logiciel de protection de la charge de travail efficace :

  • Intégrez les pratiques DevSecOps : une stratégie DevSecOps intègre la sécurité tout au long du cycle de développement du logiciel (SDLC). Ainsi, les équipes DevOps n’auront pas à s’inquiéter des vulnérabilités potentielles lors de la création et du déploiement des applications.
  • Recourez à la segmentation avec Zero Trust : la segmentation constitue déjà une stratégie éprouvée pour aider à freiner l’infiltration et le déplacement des cybermenaces. La segmentation appliquée avec des politiques de Zero Trust permettra d’éliminer ces déplacements en se basant sur les principes du moindre privilège et de l’authentification contextuelle.
  • Adoptez une plateforme de protection de la charge de travail dans le cloud (CWPP) : une CWPP efficace peut offrir un contrôle et une visibilité cohérents pour les machines physiques, les machines virtuelles, les conteneurs tels que Kubernetes et les charges de travail sans serveur, où qu’ils se trouvent.

Rôle d’une plateforme de protection de la charge de travail dans le cloud (CWPP)

La segmentation de la charge de travail est une stratégie de protection essentielle pour les charges de travail, car elle élimine l’accès excessif autorisé par les réseaux plats. De tels réseaux permettent aux hackers de se déplacer latéralement et de compromettre les charges de travail dans les environnements cloud et de data center. En segmentant ou en isolant les applications et en éliminant les voies d’accès inutiles, toute compromission potentielle sera limitée à la ressource concernée, ce qui réduit considérablement le rayon d’action.

La segmentation des applications et des charges de travail, également appelée microsegmentation, vous permet de créer des groupes intelligents de charges de travail en fonction des caractéristiques des charges de travail qui communiquent entre elles. En tant que telle, la microsegmentation ne dépend pas de l’évolution dynamique des réseaux ni des exigences commerciales ou techniques qui leur sont imposées, de sorte qu’elle constitue une sécurité à la fois plus solide et plus fiable.

Comment Zscaler peut vous aider

Zscaler Workload Segmentation (ZWS) est une nouvelle façon, beaucoup plus simple, de segmenter les charges de travail des applications en un seul clic. ZWS applique une protection basée sur l’identité à vos charges de travail, sans aucune modification du réseau. Zscaler Workload Segmentation fournit les avantages suivants :

  • Une solution qui empêche les mouvements latéraux des logiciels malveillants et des ransomwares sur les serveurs, les charges de travail cloud et les ordinateurs de bureau, et bloque les menaces avec une sécurité Zero Trust.
  • Microsegmentation d’une simplicité unique, optimisée par l’apprentissage automatique, qui automatise la création de politiques et la gestion continue
  • Visibilité unifiée sur la communication des applications sur site et dans les clouds publics

Il quantifie également l’exposition au risque en fonction de la criticité des logiciels communicants, et fait appel à l’apprentissage automatique pour recommander le plus petit nombre possible de politiques de sécurité Zero Trust, ce qui réduit considérablement la probabilité d’une violation de vos données tout en restant facile à gérer.

Demandez une démonstration de Zscaler Workload Segmentation et voyez comment une CWPP prête pour le cloud peut faire la différence.

Ressources complémentaires

  • Zscaler Workload Protection

    Découvrez nos solutions
  • Qu’est-ce qu’une plateforme de protection des charges de travail dans le cloud (CWPP) ?

    Lire l'article
  • Déplacement en amont et vers les niveaux inférieurs avec CWPP

    Lire le blog
  • CNAPP et protection de la charge de travail dans le cloud

    Regarder la vidéo