Une vision technologique pour répondre aux 5 préoccupations majeures des DSSI

0
679

Michael-Xie-cropped-two
Par Michael Xie, fondateur, Président et Chief Technology Officer, Fortinet.

Mon métier m’amène à rencontrer de nombreux DSSI (Directeur de la Sécurité des Systèmes d’Informations) dans le monde entier. D’aucuns penseraient que ces personnes, issues d’horizons aussi différents que les environnements qu’ils gèrent, pourraient présenter cette même diversité dans leurs préoccupations. En réalité, ces préoccupations se synthétisent souvent en 5 points clés :

1. Sécurité des applications cloud

Le cloud computing est une tendance appelée à perdurer au sein de l’entreprise. Les collaborateurs sont de plus en plus nombreux à utiliser les applications issues de clouds publics, de Gmail à Dropbox et aux logiciels mobiles comme WhatsApp.
Pour les entreprises, il est toujours plus complexe de bloquer l’utilisation de toutes ces applications : la gestion et la maîtrise des risques associés constituent ainsi une priorité pour les DSSI.

2. Menaces APT (Advanced Persistent Threats)

Parmi la pléthore de menaces qui pèse sur la sécurité des entreprises, il y en a une qui donne de réelles sueurs froides : les menaces APT. Présentes sous de nombreuses variantes, ces menaces se caractérisent généralement par leur sophistication, leur approche polymorphe et en plusieurs étapes, ainsi que leur furtivité.
Ces APT savent contourner les lignes de défense traditionnelles et ciblent généralement les informations confidentielles et les données personnelles, à l’image de numéros de cartes de paiement. Dans leur ligne de mire, toutes les entités, des individus aux multinationales.

3. Gestion des événements

La mise en logs des données, le reporting et la gestion des évènements sont des tâches qui ont toujours fait parti de la mission des administrateurs informatiques. Ces fonctions sont d’ailleurs appelées à se renforcer, précisément pour étayer la sécurité face à des menaces comme les APT, et dans un contexte où les données sont toujours plus volumineuses sur le réseau, résultant de nouvelles tendances comme les villes intelligentes, l’Internet des Objets (IoT) ou encore le Big Data.
On s’en rend d’ailleurs compte en observant la croissance dynamique du marché du SIEM (Security Information and Event Management) qui devrait bondir de 2,47 milliards de dollars en 2014 à 4,54 milliards de dollars en 2019, d’après MarketsandMarkets.
Pour les DSSI, l’abondance et l’hétérogénéité des informations sont tout aussi préjudiciables que l’absence d’informations sur une attaque: comment, en effet, identifier ce qui est pertinent dans un déluge de logs d’événements recueillis à partir de différents types de réseaux, de serveurs et de dispositifs de sécurité ? Comment corréler cette information pour en tirer une visibilité décisionnelle sur les menaces ? Entre autres, comment identifier les phases de découverte et de test du réseau ciblé qui précédent généralement les attaques basées sur les menaces APT ?

4. Conformité

Le monde des affaires est aujourd’hui tenu de se conformer aux normes de sécurité qui existent sur le marché, qu’il s’agisse de PCI DSS (Payment Card Industry Data Security Standard), de Sarbanes-Oxley (SOX) ou encore de la réglementation européenne en matière de confidentialité des données.
La conformité est un bon baromètre de la santé d’une entreprise et inspire la confiance sur le marché. Mais la mise en conformité se veut souvent coûteuse et fastidieuse. La norme PCI, par exemple, implique de respecter une liste d’exigences en 12 points, couvrant les pare-feux, le chiffrement, l’antivirus, l’authentification, la mise en log, le monitoring et davantage. De plus, les entreprises doivent gérer les mises à jour des normes, au fur et à mesure des nouvelles versions.
J’entends souvent les DSSI se plaindre des difficultés à assurer et pérenniser la mise en conformité réglementaire. Les investissements en temps, en efforts et financiers liés à la conformité pourraient être sans doute être utilisés à des fins plus stratégiques et au développement de l’entreprise. Un véritable dilemme pour les DSSI.
Plusieurs préoccupations, une seule solution
Chacune de ces préoccupations plaide en faveur d’une architecture de sécurité capable d’intégrer étroitement ses composantes matérielles, logicielles et de protocole de communication, tout en privilégiant une segmentation interne du réseau: l’architecture ainsi consolidée déploiera une protection transparente et intégrale sur une surface d’attaque qui s’élargit, intégrant désormais le cloud et l’Internet des objets.
Le Cloud, en particulier doit être perçu comme une extension du réseau d’entreprise, et les entreprises sont tenues de déployer une stratégie de sécurité capable d’identifier et de gouverner des volumes importants de données qui transitent sur un réseau décloisonné, filaire ou sans fil, privé ou public, traditionnel ou cloud.
Pour contrer efficacement les menaces APT, les entreprises doivent regarder au-delà des pare-feux traditionnels déployés en périphérie de réseau, voire au-delà d’une défense multicouche classique.
Un framework de défense efficace contre les menaces APT nécessite une architecture fondée sur des pare-feux de segmentation interne (ISFW – Internal Segmentation FireWall), pour restreindre le transfert de logiciels malveillants entre différents segments du réseau d’une organisation. Lorsqu’associée à une veille en temps réel sur les menaces et des solutions de détection des APT de type sandbox et outils de sécurité pour terminaux, cette architecture détecte rapidement les menaces APT et assure leur mise en quarantaine.
Autre méthode pour identifier une menace APT, un mécanisme de mise en logs portant sur l’ensemble du trafic réseau (interne et externe). Dans ce cas, une vision technologique est particulièrement bienvenue si elle favorise une parfaite connaissance des équipements, des utilisateurs, des contenus et des données transitant sur le réseau, ainsi que des tendances clés de ce trafic.
D’autant qu’une telle vision se contente d’une stratégie et de règles unifiées, ce qui optimise le processus de mise en logs : chaque session n’est enregistrée qu’une seule fois, supprimant ainsi le fardeau des logs redondants. Un outil d’analyse de logs discernera ainsi plus simplement les comportements du trafic à partir de ces logs, pour identifier les réelles menaces.
En matière de conformité, la majorité des DSSI suivent une méthodologie (PCI, ISO 27001/2, NIST Cybersecurity Framework). Une vision technologique associée à une segmentation interne du réseau permet une collaboration entre les pare-feux actifs pour offrir une visibilité plus riche sur le statut de conformité et une évaluation pertinente du statut de sécurité : le DSSI comprend ainsi mieux les zones de son réseau présentant le plus de risques, et décide des mesures correctives pour pallier ces faiblesses.
Pour le DSSI, il est essentiel de connaître tous les équipements qui se connectent au réseau à tout moment et en tout point, pour comprendre le niveau de sécurité de son organisation et l’efficacité de ses règles et processus de sécurité. Une vision technologique identifie tous les actifs réseaux, laisse l’administrateur définir les objectifs de sécurité, puis évalue l’application des règles sur les nœuds de l’architecture pour s’assurer chaque composante est protégée correctement.
Une vision technologique pertinente répond également à la cinquième préoccupation que partagent nombre de DSSI : la pérennité de leurs investissements en matière de sécurité.
Une vision technologique telle que celle présentée, conçue dès l’origine pour collaborer avec les éléments fondamentaux du réseau, est, par essence, évolutive. Chacun des composants du réseau peut évoluer au fil du temps, tout comme la nature des cybermenaces, mais le socle déployé par cette vision reste d’actualité pour protéger votre entreprise sur le long terme.

Laisser un commentaire