Re:Inforce 2022 : AWS appelle à accélérer l’adoption d’authentification multifactorielle

Les dirigeants d’Amazon ont exhorté les entreprises à adopter l’authentification multifactorielle (MFA) pour mieux protéger les comptes alors que les surfaces d’attaque en mode cloud ne cessent de s’étendre.

À l’occasion de la session d’ouverture de l’édition 2022 de la conférence re:Inforce, qui se déroule actuellement à Boston, Steve Schmidt, CSO d’Amazon, et Kurt Kufeld, vice-président en charge de la plateforme AWS, ont discuté passage à l’acte, notamment l’activation de l’authentification à facteurs multiples et le blocage de l’accès public, aux côtés de nouvelles initiatives, telles que la distribution de clés de sécurité gratuites, en soutien à cet appel. Les intervenants ont souligné l’importance du contrôle d’accès pour sécuriser les environnements cloud.

Steve Schmidt a ainsi assuré que l’une des leçons les plus importantes retirées de son passage chez AWS est de savoir se demander qui a accès à quoi et pourquoi : « un environnement trop permissif garantit des maux de tête », juge-t-il. « De quoi vos employés ont-ils besoin pour faire leur travail ? Le besoin est le mot clé ici, et il doit être strictement appliqué ».

Cela devient encore plus important lorsqu’on se penche sur l’impact croissant des attaques potentielles. Selon Steve Schmidt, AWS suit actuellement des quadrillions d’événements chaque mois.

Activer le MFA est l’un des moyens les plus simples et les plus efficaces d’ajouter une couche supplémentaire de sécurité pour l’accès aux ressources en mode cloud, a surenchéri Kurt Kufeld. Par exemple, si les informations d’identification sont accidentellement exposées sur GitHub, les utilisateurs seront toujours protégés si le MFA est actif.

Il a recommandé de l’activer pour les comptes AWS tout autant que pour dans sa vie personnelle quotidienne : « le MFA est une nécessité », estime ainsi Kurt Kufeld, car « les comptes protégés par MFA sont nettement plus sécurisés que ceux qui ne le sont pas ».

Mais Kurt Kufeld a également souligné l’importance du blocage des accès publics. Activer cette fonctionnalité lorsque les utilisateurs n’ont pas besoin d’un accès public à un bucket S3 est essentiel. Et dans certains cas, insiste Kurt Kufled, « cela vous sauvera absolument la vie ».

« La surface d’attaque s’étend parce qu’il y a tellement de services en mode cloud. »

Les nouveaux buckets et points d’accès n’autorisent pas l’accès public par défaut, mais Kurt Kufeld estime possible que des clients des utilisateurs puissent l’autoriser par inadvertance. Il conseille de restreindre l’accès dans un premier temps puisque les utilisateurs peuvent ajouter des clients et des ressources si nécessaire.

Jess Burn, analyste principale chez Forrester Research, concède que ces appels à passer aux actes sont nécessaires, car de nombreuses entreprises ont encore du mal à activer le MFA à grande échelle et à bloquer l’accès public à leurs instances de cloud. En outre, juge-t-elle, l’élargissement de la surface d’attaque en mode cloud ajoute à l’urgence pour les entreprises et les entités du secteur public : « la surface d’attaque s’étend parce qu’il y a tellement de services en mode cloud – il ne s’agit pas seulement d’instances et d’infrastructures, mais aussi de petites applications et de services. Et vous ne saurez pas si une application cloud présente une vulnérabilité ou une mauvaise configuration des accès, si vous ne savez pas que vous l’utilisez ».