La sécurité, premier défi du système d’information ?
Article écrit en collaboration avec Cécile Bellarosa
Toujours pas rassurant le Big Data ? Sur la dernière édition du salon Big Data Paris, la sécurité a volé la vedette au prédictif, à l’Intelligence Artificielle ou au Deep Learning. Sans doute en raison d’un manque de maturité des entreprises, le salon a manqué d’un fil conducteur sur ces sujets pourtant médiatiques. A l’inverse, tout porte la sécurité des données et du système d’information à s’inviter au débat : de l’évolution des menaces auxquelles DSI, DevOps et Data Scientists doivent faire face, à la législation en matière de protection des données, en passant par le retard pris par les entreprises dans l’adaptation de leur gouvernance. Rien d’étonnant donc à ce que la keynote d’ouverture ait été confiée à l’Agence Nationale de la sécurité des systèmes d’information (Anssi). Retour sur quelques enseignements clés.
Pour les malwares : vivre heureux, c’est d’abord vivre caché
Premier danger auquel la DSI doit faire face : l’évolution perpétuelle des menaces auxquelles elle est exposée. Aujourd’hui, la DSI a un rôle clé à jouer pour protéger ses nouveaux environnements applicatifs de développement, de test et de production. D’autant que les menaces se font aussi sophistiquées que discrètes : pour accéder et voler un maximum d’informations, autant ne pas se faire voir, ni se faire remarquer. Pour être capable de détecter la moindre anomalie, vous n’avez donc pas d’autre choix que de – déjà – comprendre le fonctionnement normal de votre système d’information.
Identifier le normal de l’anormal, c’est passer d’un modèle par scénario à un modèle comportemental du SI.
Le machine learning permettant, par exemple, d’enrichir les moteurs de corrélation pour caractériser le flux d’information de l’entreprise et identifier les scénarii de menaces. Pourtant Guillaume Poupard, directeur général de l’Anssi déplore que les SI n’aient pas été historiquement pensés pour faire face à ces attaques de l’ombre. « Les menaces en matière de cybersécurité sont déstabilisantes car elles viennent de partout. Plus lucratives et moins dangereuses, les organisations cybercriminelles engendrent grâce à elles des milliards d‘euros. Elles sont devenues les nouvelles licornes ! » Cela pose une sérieuse question quant aux infrastructures existantes. Les nouveaux SI ne doivent donc pas être seulement capables d’évaluer et d’analyser les risques qui pèsent sur eux, mais également de résister aux attaques lorsqu’elles se manifestent, surtout lorsque ces attaques se font violentes et rapides. Plus le temps de détection est court plus le malware va tenter de muter rapidement pour éviter d’être reconnu et stoppé. Aujourd’hui Cisco a diminué à 6 heures son temps de détection des menaces contre 39 heures en 2015. Mais le syndrome de « sécurité additive » qui frappe les entreprises les empêche de répondre efficacement aux menaces.
La sécurité intégrée préférable à une sécurité additive
Le tout est plus que la somme des parties enseignait Aristote. Cela demeure vrai vingt-trois siècles plus tard : aussi spécialisées qu’elles soient, l’empilement de solutions de sécurité pour adresser des problèmes spécifiques ne constitue pas une stratégie en soi. Aujourd’hui, la somme des systèmes à gérer et des opérations qui en découlent dépassent de loin le niveau de performance et de risque minimum attendu par la Direction des entreprises. Dans notre dernier rapport annuel sur la cybersécurité, les RSSI reconnaissent travailler avec en moyenne 50 solutions de sécurité. Et pourtant, seules 56% des menaces reçues quotidiennement sont analysées. L’équation doit être simplifiée. Nos chercheurs ont schématisé le parcours type d’une menace, dont la compréhension permet d’y répondre par une solution intégrée. C’est ce que nous appelons la “Kill Chain” et ses sept différentes étapes d’évolution d’un malware depuis son introduction dans les systèmes jusqu’ à son installation sous forme d’une menace invisible et dormante. Grâce à son design ouvert et intégré, notre portfolio des solutions sécurité protège le réseau étendu à chacune de ces étapes. Les solutions sont capables de se parler et mutualisent leur connaissance des données contextuelles et des différentes politiques. L’ensemble du système de défense bénéficiant, en outre, de l’information partagée par Talos, notre base de données globale de Threat Intelligence.
La “Kill Chain” en 7 étapes : Reconnaissance > Mise en place > Lancement > Exploitation > Installation > Callback > Persistance
Bien que nécessaire, la sécurité intégrée ne peut être suffisante. « Il n’y a pas de sécurité à 100% » martèle Guillaume Poupard. D’autant qu’à l’ère des micro-services, chacune des fonctions de l’application constitue un projet indépendant, avec ses équipes de développement propres, leur calendrier, leurs propres données, et des choix techniques découlant de leurs propres besoins. Et si la DSI n’est pas en mesure d’y répondre rapidement, ils iront simplement chercher leurs ressources ailleurs : nommément le cloud public. Le risque est alors de devoir gérer des seuils de vulnérabilité différents, dans des environnements multiples.
Garantir les règles de sécurité et les performances grâce aux politiques applicatives
Comment donc se protéger contre le vol de données lorsque mes applications sont développées et déployées dans des environnements aussi multiples que distribuées : bare metal, vms, containers, on-premise, multi-sites, ou dans le cloud ? Et peut-on raisonnablement garantir une sécurité à 100% ? Pour s’en rapprocher, la sécurité applicative doit passer par une isolation complète du trafic des applications en respect de la cohérence des policies. En maillant précisément le réseau grâce aux fonctions de micro-segmentation d’ACI, vous garantissez que la perversion éventuelle d’une application ne se propage au reste du système. En cas d’attaque, si une application est corrompue, elle sera mise en quarantaine. Et jamais le reste du réseau ne pourra être franchi par l’attaquant, permettant ainsi de contenir et d’isoler l’attaque et la fuite de données.
Sécurité applicative : comment bien se protéger (Antoine Michel, CTO Nestincloud)
A l’ère des containers et du DevOps, le cycle de vie applicatif est beaucoup plus volatile. Il est désormais impératif d’analyser le comportement des applications, d’identifier avec précision leurs dépendances et d’en comprendre les évolutions. L’apprentissage automatique et continu apporté par Cisco Tetration aide à segmenter les applications et à mettre en œuvre les politiques de connectivité et de sécurité de manière automatisée. A la clé, des informations en temps réel à partir de composants d’applications et d’algorithmes d’analyse comportementale. C’est ce que nous appelons le traitement analytique du data center. Cela permet d’évoluer vers un modèle “white list” ou modèle “zéro confiance”. Ce modèle assure de toujours pouvoir répondre aux besoins des applications et des utilisateurs, que les ressources se trouvent dans le cloud ou dans l’entreprise, et quelle que soit la technologie utilisée : docker, OpenStack, vSphere ou bare metal.
Cisco Tetration Analytics Brings the Zero – trust Security Model to Applications
Puisque la sécurité des données devient aussi -voire plus- critique que celle des accès, les méthodes de mise en oeuvre et de suivi ne peuvent plus se contenter d’être de simple features. La sécurité, au sens large, devient une réflexion globale démarrée au plus haut niveau, au moment même de la conception du SI : une sécurité « by design », à l’image, par exemple, du secteur de la Défense dont les frégates font reposer la moitié de leur valeur sur leur couche logicielle. Avec les conséquences que l’on imagine sur la formation des équipes métiers et techniques. Trop longtemps séparés, sécurité et système d’information doivent dorénavant avancer main dans la main. Pour le directeur de l’Anssi, « A l’ère de la transformation numérique, DSI et RSSI ne sont plus les pires ennemis ». Et si la formation et la gouvernance étaient les véritables enjeux dans la sécurité des données ?
Big Data Paris : Le Replay
Un réseau grande vitesse vers la digitalisation
L’évolution du monde analogique, vers un monde digital, permet une analyse dynamique, une ré-ingénierie voire la naissance de solutions innovantes. L’omniprésence du réseau facilite l’accélération de la transformation numérique, en partant de la télémétrie réseau jusqu’aux analyses de deep-learning pour les équipes métiers. Un parcours qui de la sécurité a l’IoT, repose sur les dernières versions de nos solutions Tetration, ATA et Stealthwatch.
Revoir la présentation de l’atelier Cisco sur SlideShare
Tags:
