Amit Yoran, RSA : « l’informatique généraliste que nous utilisons ne peut pas être sécurisée »
Le patron de RSA appelle à l’utilisation de nouvelles technologies pour accélérer la détection des incidents de sécurité. Mais il encourage surtout à ne pas se reposer sur celles-ci.
C’est une édition quelque peu particulièrement de la RSA Conference qu’a ouvert, hier, Amit Yoran, président de RSA, la division sécurité d’EMC. Celle-ci fête cette année son 25e anniversaire, avec près de 40 000 participants… après un an d’incidents de sécurité majeurs et fortement médiatisés. Ce qu’il n’a pas manqué de rappeler pour souligner une vérité qu’il est parfois trop tentant d’oublier : « l’informatique généraliste que nous utilisons ne peut pas être sécurisée […] nos environnements numériques sont, en leur cœur, non déterministes ». Dès, alors que les entrées sur ces environnements se multiplient, il devient « impossible de prédire l’univers des issues potentielles avec un quelconque degré de certitude ». Et pour le patron de RSA, l’avènement de l’Internet des objets ne va que rendre la situation « exponentiellement pire ».
L’illusion de la prévention
Le problème, selon Amit Yoran, est que les investissements sont encore largement orientés vers la prévention, « en prétendant que nos technologies préventives […] vont nous protéger alors que nous savons qu’elles ne le feront pas ». La détection et la remédiation, alors ? Oui, mais les solutions traditionnelles de détection ne semblent pas satisfaisantes. La réorientation des budgets apparaît d’ailleurs en marche : selon Gartner, d’ici à 2020, 60 % des budgets sécurité des entreprises seront alloués à la détection et à la réponse rapide… contre 10 % l’an passé. Pas surprenant, dans un tel contexte, qu’IBM ait justement récemment annoncé le rachat de Resilient Systems, ou encore que Phantom Cyber vienne de remporter l’Innovation Sandbox de RSA Conference.
Mais pour Amit Yoran, la visibilité sur les identités est essentielle, de même que l’authentification multifacteurs : « l’authentification et la gestion des identités reviennent au premier plan des conversations parce que l’usurpation d’identité est devenue un composant clé de virtuellement toute attaque avancée […] je n’ai pas besoin de vous dire que les mots de passe ont complètement échoué ».
L’impératif d’une assistance informatique
Surtout, c’est d’une visibilité complète sur l’infrastructure et d’assistance informatique qu’a besoin la sécurité informatique. Ainsi, pour le patron de RSA, « la clé du futur de la sécurité tient à une visibilité complète […] la base pour obtenir des analyses véritablement éclairantes et pour identifier correctement des incidents complexes ». Et c’est là qu’entrent en jeu l’analyse comportementale, l’intelligence artificielle et l’apprentissage machine. Des technologies qui ont émergé, dans le domaine de la sécurité informatique, l’an passé et qui devraient occuper le devant de la scène lors de cette édition 2016 de RSA Conference, voire pour encore plusieurs années. Et c’est sans surprise que le patron de la division sécurité d’EMC annonce alors le lancement de sa propre plateforme d’analyse comportementale.
Mais si elle peut aider, il n’y a pour autant pas de miracle à attendre d’une énième brique technique : « notre problème n’est pas un problème technologique. Nos adversaires ne nous battent pas parce qu’ils ont une meilleure technologie. Ils nous battent parce qu’ils sont plus créatifs, patient et persistants ».
Experts ou geignards ?
Ce serait donc de créativité qu’auraient besoin, en retour, les experts de la défense. Mais avant que l’audience ne revient encore une fois la pénurie de talents, Amit Yoran joue la provocation : « je vais vous dire la même chose qu’à mes enfants. Arrêtez de geindre ! »
Et d’inviter l’assistance à faire émerger les talents de « chasseurs » dont elle a besoin, à les équiper des outils dont ils ont besoin pour trouver la menace, mais également à encourager les « esprits libres », curieux : « adoptez la liberté de traquer activement les attaquants ; vous attirerez la bonne équipe, et ainsi créerez la bonne culture ».
Et l’alerter sur la tentation de la facilité, celle de la boîte noire, dont se méfiait aussi Balasz Scheidler, de Balabit, dans nos colonnes, à l’automne dernier : « les entreprises ont aussi besoin de concentrer leurs investissement sur les technologies qui améliorent plutôt que remplacent la créativité humaine pour la résolution de problèmes. […] Les boîtes noires qui se contentent de générer des alertes sans données ni explications associées donnent seulement une illusion de sécurité. Nous avons besoin de savoir pourquoi quelque chose a été marqué ».
Défendre le chiffrement
Enfin, et sans véritable surprise, Amit Yoran s’est élevé contre la tentation d’affaiblir le chiffrement : « à l’heure où le cyber est régulièrement mentionné comme la plus grande menace à notre mode de vie, plus que le terrorisme et tout le reste, comment justifier quelque chose qui affaiblirait catastrophiquement nos infrastructures » ? Et à ceux qui craignent pour les capacités des forces de l’ordre… : « nous vivons un âge d’or de la surveillance. Affaiblir le chiffrement ne servirait que le confort des autorités contre les petits délinquants ».