Assurer une sécurité périmétrique dans un monde sans périmètre
Sous la pression du BYOD, des services cloud, de la connectivité permanente et en tout lieu, le périmètre de l’entreprise devient de plus en plus poreux. Suffisamment pour rendre obsolète l’approche traditionnelle de la protection périmétrique du réseau.
La cybersécurité emprunte de nombreux concepts au monde du militaire, du renseignement, mais aussi de la médecine et de la sécurité physique. Souvent, ces concepts peuvent aider. Mais parfois, ils induisent en erreur. C’est le cas du concept de périmètre.
Initialement, les architectures de sécurité étaient conçues suivant le principe consistant à établir un périmètre de sécurité autour du système d’information pour le protéger des menaces venant de l’extérieur. Cette démarcation entre intérieur et extérieur est, de toute évidence, le périmètre de l’entreprise. En particulier, la sécurité réseau périmétrique était assurée par une ligne de pare-feu ou autres équipements défensifs isolant une infrastructure interne présumée sûre d’appareils et services publics potentiellement compromis.
Mais une telle ligne de démarcation n’existe plus. Les utilisateurs sont de plus en plus situés hors site, se connectant via Internet ou des terminaux et services mobiles. Les données et applications de l’entreprise résident souvent dans le cloud. Et, surtout, il n’est plus approprié de présumer que ceux qui sont à l’intérieur sont protégés par la sécurité réseau périmétrique traditionnelle : la menace interne est une réalité de plus en plus prononcée, qu’elle trouve son origine dans une malveillance assumée ou bien dans une compromission bien involontaire.
Les entreprises ont donc désormais besoin d’une protection non périmétrique : une architecture qui protège utilisateurs, applications et actifs informationnels où qu’ils résident, sans référence à la moindre ligne de démarcation. Cette protection doit résister à des attaques polymorphes, de longue haleine, comme les APT, les menaces avancées persistantes.
Pour une protection efficace
Une telle architecture s’appuie sur plusieurs composants clés. Et cela commence par la prévention des fuites de données (DLP). Les produits et applications de DLP sont disponibles sous la forme d’appliances matérielles et logicielles, ainsi que de services cloud. Ils surveillent les données structurées (bases de données, feuilles de calcul) ainsi que les données non structurées (e-mails, documents Word, fichiers multimédias) pour s’assurer que seuls les individus disposant des droits d’accès appropriés peuvent consulter ou modifier ces informations. Un système de DLP aurait probablement permis d’au moins limiter l’étendue des dégâts induits par l’attaque dont a été victime Sony Pictures. Parmi les fournisseurs de systèmes de DLP, au compte notamment Blue Coat, Cisco, Code Green Networks, GTB Technologies, McAfee, Sophos, Symantec, Trend micro, Digital Guardian et Websense. Les caractéristiques clés à examiner touchent aux performances – et en particulier aux capacités temps réel –, au support complet d’un vaste éventail de formats de fichiers, de protocoles et de langages, la simplicité d’administration et de configuration, et les possibilités d’intégration avec les stratégies de sécurité internes.
Viennent ensuite les passerelles Web sécurisées (Secure Web Gateway, SWG), également disponibles sous forme d’appliances physiques, virtuelles et de services cloud. Les SWG sont complémentaires des systèmes de DLP. Ces derniers surveillent les actifs de l’entreprise pour les protéger de consultations, modifications et partages inappropriés. Les passerelles Web sécurisées sont là pour empêcher que des logiciels malveillants ne s’infiltrent jusqu’aux postes des utilisateurs au travers du réseau. Parmi les spécialistes du domaine, on compte Barracuda, Blue Coat, Cisco, McAfee, iSheriff, Sophos, Symantec, Trend micro, Websense et Zscaler. Là encore, les performances sont essentielles, ainsi que l’éventail de protocoles supportés – IPSec et SSL sont là essentiels –, mais également les capacités de sandboxing, d’intégration avec les réseaux sociaux, ou encore le support des terminaux mobiles.
Viennent enfin les outils analytiques, une émanation du marché des systèmes de gestion des informations et des événements de sécurité (SIEM). Comme les outils de SIEM, les outils analytiques de sécurité visent à découvrir des incidents de sécurité alors qu’ils surviennent, de préférence en temps réel. Contrairement aux SIEM, les outils analytiques modernes sont souvent basés sur des technologies de Big Data bien contemporaines, comme Hadoop. Ils s’intègrent généralement avec un vaste éventail d’appareils et de produits pour fournir une analyse en continu de la posture de sécurité de l’entreprise. En la matière, on compte notamment Agiliance, AlienVault, Blue Coat, Damballa, FireEye, Guidance Software, HP Arcsight, IBM, LogPoint, LogRythm, McAfee, ou encore Splunk. Des caractéristiques telles que l’intégration temps réel de sources de données en ligne sont essentielles, mais également les performances, les capacités de génération d’alertes, et celles de remédiation.
En résumé
Le périmètre de l’entreprise s’est estompé. L’émergence d’un monde sans lignes de démarcation appelle à une profonde rénovation des architectures de sécurité, en s’éloignant du postulat selon lequel le réseau interne peut être sécurisé en son périmètre. Et cela implique de déployer de nouveaux outils et frameworks, en se concentrant sur la manière dont ils s’intègrent ensemble.
Adapté de l’anglais.