La sécurité dans le Cloud est l'affaire de tous. Scaleway oeuvre au quotidien pour implémenter les briques de sécurité les plus pertinentes - dans nos datacenters, sur notre stack applicative et avec un ensemble de services et fonctionnalités mis à disposition dans notre écosystème.

Chacune de ces trois strates sont les maillons d'une même chaîne de sécurité, articulée autour du "principe de responsabilité partagée dans le cloud". Et cette chaîne ne sera aussi solide que le son maillon le plus faible, d'où l'importance de ce saisir, en tant qu'utilisateur, de ce principe fondateur.

19 % des violations malveillantes sont dues à des données d’identification compromises, autant qu’à des clouds mal configurés.  
Source : Rapport 2020 sur le coût d’une violation de la confidentialité des données, IBM.


Dans cet article, nous allons vous donner 5 conseils facilement et rapidement applicables pour améliorer la sécurité de votre compte. A mettre en oeuvre sans plus attendre !


Quick-win #1 : gardez vos infos à jour

La première mesure de sécurisation de votre compte n’est pas aussi technique que vous pourriez le penser, et pour cause: il suffit… de mettre et garder à jour les informations de votre compte !

Ces données sont indispensables pour que nos équipes puissent vous contacter en cas de soucis pouvant impacter la sécurité de votre compte (activité suspecte, augmentation soudaine de votre facture, vérification de votre identité en cas de besoin, alertes relatives à des patchs de sécurité...) ou la disponibilité de vos services (moyens de paiements expirés, problèmes de TVA, fin de vie de produits, etc.).

Notamment :

  • Une adresse mail à jour, que vous et vos équipes consultez régulièrement. On privilégiera un alias du type “production@votreentreprise.fr” à condition que la liste des destinataire soit bien à jour, et que ces mails soient lus. On évitera donc de parasiter cet alias avec des alertes récurrentes - de monitoring un peu sensibles par exemple - ou des mails commerciaux qui peuvent “spammer” les équipes.
  • Un numéro de téléphone à jour, de préférence pérenne dans le temps : on évitera au maximum les numéros de portables personnels, où les numéros pouvant changer dans le temps, par exemple lors d’un changement de locaux commerciaux.
Le principe d’escalade des astreintes entre différentes équipes. Illustration: Pager Duty community forums

La Best-Practice que nous vous recommandons est de mettre un place un numéro de téléphone “de garde” couplé à un outils de gestion d’astreinte tel que Pagerduty. Ce dernier pourra escalader les alertes de vos outils de monitoring - Pingdom, Grafana, Datadog pour ne citer qu’eux - et les appels de vos fournisseurs d’infrastructures - partenaires intégrateurs ou hebergeurs.


🚀 À VOUS DE JOUER !
Pour mettre vos informations à jour, rendez-vous dans l’espace “Votre Profil” de votre console Scaleway: https://console.scaleway.com/account/organization/profile


Quick-win #2 : utilisez la fonctionnalité Multi-User

Une fois vos informations mises à jour, vous devez paramétrer les accès à votre compte, et plus précisément les rôles des utilisateurs.
Le but est d’éviter le cauchemar de tous les responsables en sécurité : le partage d’identifiants et de mots de passe entre différentes personnes par messagerie, mails ou petits Post-its ! Outre le risque d’interception de ces informations capitales, il vous est par la même impossible de savoir qui se connecte et, plus grave, qui ne se connecte pas ou plus: ancien collaborateur, prestataire externe, freelance...

59 % des utilisateurs du cloud ont déjà été victimes d’attaques de phishing pour obtenir leurs Credentials.
Source : Rapport « Oracle and KPMG Cloud Threat Report 2020 », KPMG

Avec la fonctionnalité Multi-Users de Scaleway, vous aurez entre autres la possibilité de révoquer des accès lorsque un salarié quitte l’entreprise ou que la mission d’un prestataire est terminée. Ou si un de vos collaborateurs perd ses identifiants ou est victime d’une attaque au “phishing” se traduisant par le vol de ses identifiants de connexion par un tiers malintentionné.

Vous avez le choix de répartir vos utilisateurs en 4 catégories :

  • Owner: L’Owner, ou propriétaire du compte, a un accès total sur le compte, y compris la possibilité de supprimer ce dernier. Dès lors, nous vous conseillons de conserver précieusement les informations relatives au compte “Owner”, et de ne pas vous en servir au quotidien: il doit rester accessible en dernier recours et seulement en cas de besoin spécifique. Pensez cependant à bien activer le 2FA (3ème point de cet article) avant d’enfermer les codes d’accès Owner à double tour dans votre coffre fort !
  • Administrator: il a le droit de gérer et d'accéder aux projets, aux informations de facturation et à toutes les autres autorisations de l’owner, à l'exclusion de la possibilité de modifier les rôles des membres et de les supprimer, de gérer le plan de support de l'organisation et de supprimer l'organisation. Le compte Administrator est donc le compte privilégié pour les postes de direction informatique à qui incombe la gestion des équipes et des projets.
  • Editor: idéal pour développeurs et DevOps de votre organisation, l’accès “Editor” permet la création et à la gestion de la plupart des ressources de l'organisation, la création de clés API, mais n'a pas accès aux informations de facturation ni le droit de gérer les autorisations des membres ou de modifier les plans de support.
  • Billing Administrator: Comme son nom l’indique, l’accès d’administrateur de la facturation s’adresse davantage aux fonctions financières / gestion de projet..

Votre compte ainsi structuré, et en gardant le contrôle des accès à votre compte et à vos ressources informatiques, vous vous prémunissez au maximum contre les erreurs humaines ou les actions mal intentionnées qui peuvent survenir.

🚀 À VOUS DE JOUER !
Pour activer la fonction Multi-Users, rendez-vous dans l’espace “Organization” de votre console Scaleway, puis sur l’onglet “Members” : https://www.scaleway.com/en/docs/scaleway-organizations/


Quick-win #3 : activez l'Authentification Multi-Facteurs (ou “2FA”)

Nous avons évoqué dans la partie Multi-User la possibilité d’activer le “2FA” pour les membres de votre organisation. Sans entrer forcément dans les détails. C’est désormais le moment d’en discuter.

49 % des utilisateurs n’ont pas activé les fonctions d’authentification multi-facteurs (MFA) pour leurs services Cloud les plus critiques.
Source : Rapport « Oracle and KPMG Cloud Threat Report 2020 », KPMG

Le 2FA, aussi appelé l'authentification à deux facteurs, est un moyen simple d'améliorer la sécurité de votre compte car une fois activée, vous devrez fournir un code à usage unique pour vous connecter à la console Scaleway. Le but est d'empêcher une personne mal intentionnée d'accéder à votre compte en utilisant un mot de passe compromis.
S’il existe plusieurs moyens de s’authentifier via 2FA, nous vous recommandons d'utiliser Google Authenticator comme application 2FA disponible pour les appareils iOS et Android.

Lorsque vous aurez activé l'authentification à deux facteurs sur votre compte, une liste de Tokens vous sera proposée. Faites attention à bien la conserver dans un endroit sécurisé : ces tokens à usage unique seront vos seuls moyens de vous connecter à votre compte en cas de soucis avec votre identification à 2 facteurs.


🚀 À VOUS DE JOUER !
Pour activer l’authentification à 2 facteurs proposée par Scaleway, rendez-vous dans l’espace “Mon profil” de votre console Scaleway : https://blog.scaleway.com/introducing-two-factor-authentication-on-scaleway/


Quick-win #4 : tirez profit de Scaleway Project


Project est la fonction de gestion des ressources de Scaleway qui permet d'isoler certains environnements entre eux. Concrètement, Project permet de grouper des ressources dans des projets avec des clés API et SSH distinctes entre chacun de vos espaces de travail.

Dès lors, vos différents projets ou différentes Business Units peuvent évoluer sur des environnements hermétiques - ce qui vous permet donc une gestion des accès plus granulaires. Ces fonctionnalités sont par exemple particulièrement recommandées pour des agences de développements qui ont plusieurs clients ou plusieurs équipes (mobile et site web par exemple).

Source: Documentation Scaleway

Notez par ailleurs la bonne pratique suivante concernant le SSH: même si le paramétrage d’une “passphrase” est optionnel, nous vous recommandons fortement d’en utiliser une, et de la conserver bien précieusement dans votre coffre-fort !


🚀 À VOUS DE JOUER !
Pour activer Scaleway Project, rendez-vous sur : https://www.scaleway.com/en/docs/scaleway-project/


Quick-win #5 : assurez-vous d’avoir le plan de support adapté

Le support est souvent sous-estimé, et il est parfois tentant de ne pas souscrire à un plan qui correspond pourtant à ses besoins. A la manière de la souscription à une assurance, on ne se rend souvent compte que trop tard de son importance !

Nous avons refondu et repensé nos plans de supports, de manière à répondre à vos attentes et à vos besoins de la manière la plus efficiente possible. Avec une relation privilégiée aux Technical Account Managers et à nos Cloud solutions Architects pour des tarifs proportionnés et prévisibles, puisque fixés indépendamment de votre consommation.



🚀 À VOUS DE JOUER !
Pour consulter les plans de support Scaleway, rendez-vous dans l’espace “Plans de support” de votre console Scaleway : https://console.scaleway.com/support/plans


Vous voilà désormais plus en sécurité que vous ne l'étiez en commençant la lecture de cet article !

Vous souhaitez aller plus loin ? Ne loupez pas notre Livre Blanc: Comprendre les enjeux de sécurité dans le Cloud. Vous y apprendrez notamment:

  • qu'est ce que le principe de responsabilité partagée dans le Cloud ?
  • comment se traduit concrètement ce principe chez Scaleway ?
  • des bonnes pratiques d'architecture Scaleway pour renforcer encore davantage la sécurité de votre infrastructure.