Cybersécurité : comment dépasser le modèle périmétrique ?
Culture tech.
Quand le château fort vole en éclats
La montée en puissance du cloud et du nomadisme entraîne une augmentation de la surface d’exposition aux risques des entreprises. Le modèle du château fort devenu caduc, celles-ci doivent adopter une nouvelle approche basée sur le concept de « zero trust », l’IA et le chiffrement.
Les limites d’un modèle : le château fort
Il y a encore une dizaine d’années, les politiques de cybersécurité étaient relativement simples. Les données et les applications de l’entreprise étaient hébergées sur site dans ses propres serveurs (mode on premise).
Selon le modèle dit du “château fort” ou de la “forteresse”, il suffisait de dresser des murailles pour protéger le système d’information. Tout le trafic qui entrait ou sortait était dès lors finement scruté. Pour cela, l’entreprise investissait essentiellement dans des solutions dites périmétriques de type :
- antivirus ;
- pare-feu ;
- et VPN.
Ce paradigme a volé en éclat avec la montée en puissance des services cloud et notamment des applications en mode SaaS, ainsi que la généralisation des nouveaux modes de travail.
- Les ressources, jusqu’alors déployées et maintenues en interne, sont désormais hébergées dans les serveurs mutualisés du provider ou de l’éditeur.
- Le mode hybride et le multi cloud conduisent, par ailleurs, à une dissémination des données, dans un ou plus plusieurs clouds, les serveurs d’entreprise ou le poste de travail. Des données sont répliquées dans de multiples espaces, virtuels ou physiques, qui ne sont pas toujours répertoriés et sans que ne leur soient associés des règles de gouvernance strictes.
- Autre tendance de fond : le nomadisme rend caduque l’approche périmétrique et tout particulièrement depuis la crise de la Covid et la généralisation du télétravail. A leur domicile, les collaborateurs ne disposent pas du même niveau de protection que retranchés derrière le pare-feu de leur société. Isolés, ils peuvent également perdre en vigilance et oublier les règles de sécurité de base.
- Cette montée du nomadisme contraint également l’entreprise à gérer un parc hétérogène de terminaux composé d’ordinateurs portables, de tablettes et de smartphones et plus seulement de postes fixes. Le phénomène du BYOD (Bring Your Own Device), où l’utilisateur utilise son propre matériel, complique encore plus la donne.
Pour autant, malgré ces évolutions, une entreprise ne peut se décharger totalement de la sécurisation de ses données auprès son fournisseur. Elle doit prendre aussi sa part de responsabilité. Configurations incorrectes, accès non autorisés, données sensibles en clair… Le recours au cloud augmente potentiellement la surface d’exposition aux risques des entreprises.
Les réponses à ce changement de paradigme
Face à un système d’information de plus en plus éclaté et complexe à sécuriser, une entreprise peut recourir à plusieurs alternatives.
- Elle peut faire appel à l’externalisation. Si la cybersécurité devient trop difficile à gérer, autant la confier à des spécialistes. Un prestataire va gérer les postes de travail, proposer différents services managés additionnels. Avec le concept de MSSP (Managed Security Service Provider), l‘entreprise confie l’intégralité de la gestion de sa sécurité.
- Une approche radicale dite Zero trust connaît aussi un succès croissant. Comme son nom l’indique, il s’agit de n’accorder aucune confiance par défaut à des actifs, sur la seule base de leur emplacement physique ou réseau. Le fait que Paul se soit authentifié en local sur son poste attitré ne suffit plus. Cette approche repose sur la définition de micro-périmètres au sein du SI, des zones de confiance comme dans un aéroport. Elle va aussi de pair avec l’analyse comportementale ou UBA (User Behavior Analytics). Quel score de confiance accorder à une demande entrante ? Ce scoring suppose d’analyser en continu les actions de l’utilisateur et de déceler d’éventuels comportements suspects comme une connexion depuis l’étranger, à une heure inhabituelle depuis un terminal non enregistré ou la consultation soudaine d’un très grand nombre de fichiers. Ces multiples données techniques seront collectées au sein d’un SIEM (Security Information and Event Management), un système dédié à la gestion des informations et des événements de sécurité.
- L’intelligence artificielle est, par ailleurs, devenue incontournable pour analyser en temps réel cette masse d’information et relier différents événements entre eux pour déceler une suspicion d’attaque. Elle demandera à un opérateur de lever l’alerte ou, si le risque est suffisamment avéré, orchestrera automatiquement la réponse.
- La cloudification du SI entraîne également la mise en place d’une passerelle dite CASB (Cloud Access Security Broker) qui, se plaçant comme intermédiaire entre le service cloud et le terminal qui veut y accéder, va cartographier les flux, contrôler les entrées et sorties.
La place du chiffrement dans cette nouvelle approche
Si tous ses dispositifs sont utiles et nécessaires, ils restent incomplets. En dépit des efforts de prévention, la réaction peut intervenir a posteriori, quand le mal est déjà fait.
C’est ici que le chiffrement prend toute son importance. Il représente la protection ultime, une protection passive certes, mais qui demeure toujours présente même si les autres dispositifs ont cédé et sont tombés.
Protection passive vs protection active
La protection dite passive est une défense préinstallée, à la manière d’un château fort muni de plusieurs enceintes successives. Elle repose notamment sur des dispositifs de protection périmétrique. La protection active consiste, elle, à analyser les attaques afin d’adapter en conséquence les moyens de défense.
Le chiffrement de bout en bout reste la meilleure réponse à l’explosion du modèle périmétrique, car la question se résume à : avez-vous ou non la clé ? Si l’utilisateur n’a pas la clé de déchiffrement (carte à puce, mot de passe…), il est tout simplement dans l’incapacité de lire et d’exploiter les données. En cas d’attaque par ransomware, une organisation, qui a chiffré préalablement ses données, se prémunit ainsi contre la fuite d’informations sensibles.
Le chiffrement constitue aussi la seule réelle protection face au risque de perte ou de vol d’un périphérique, accentué avec le nomadisme. Il garantit que les données des supports demeurent inaccessibles si la clé de l’utilisateur n’est pas connue. Attention, un éditeur qui chiffre des fichiers depuis un serveur tiers recensant toutes les clés de chiffrement ne propose pas un réel chiffrement de bout en bout. Il convient de revenir sur un certain nombre d’idées reçues sur le chiffrement. Encore trop méconnu, le chiffrement est l’une des principales armes de l’arsenal cyber pour se prémunir contre le vol ou la fuite de données.