Accueil 2020 : l’année où les entreprises retrouvent la vue ?

2020 : l’année où les entreprises retrouvent la vue ?

La disparition du périmètre au profit du Cloud public, la multiplication des actifs web incontrôlés, le recours à des technologies novatrices telles que la containerisation des applications : autant de tendances bien ancrées en 2019. Les attaquants s’y sont adaptés. Les entreprises, pas toujours, perdant alors en visibilité sur leurs actifs et les actions des attaquants.

 

S’il est vrai que « l’on ne protège bien que ce que l’on peut voir », alors bien des entreprises semblaient avoir perdu la vue ces dernières années : entre le recours de plus en plus fréquent au Cloud public pour des applications métiers critiques, ou à des infrastructures « cloudifiées » et leurs nouvelles pratiques de gestion associées, les responsables de la sécurité semblaient peiner à garder une bonne visibilité sur leur périmètre déclinant. Tandis que les criminels, eux, ont très vite compris tout ce qu’ils pourraient tirer de cette situation.

Une part non négligeable des difficultés subies par les responsables sécurité peut être attribuée à la fameuse disparition du périmètre. Annoncée depuis plusieurs années maintenant, c’est aujourd’hui une réalité pour de plus en plus d’entreprises, qui n’y sont pas toujours bien préparées.

Cela change pourtant tout : les anciennes stratégies de défense sont en effet souvent basées sur l’existence d’un périmètre qui sépare l’interne et l’externe. Alors certes, depuis de nombreuses années les experts mettent en garde contre cette stratégie de la « coquille », et ils encouragent les entreprises à penser en termes de défense en profondeur, et a minima de segmentation des réseaux. Mais force est de constater que pour beaucoup d’entreprises (et notamment les plus petites) le périmètre est toujours la principale muraille de défense. Et si la perspective d’ouvrir librement votre réseau interne à tous les inconnus d’Internet vous fait frissonner, c’est que c’est aussi votre cas ! (Mais c’est pourtant bien ce qui pourrait arriver… Lire l’encadré « le modèle Zéro-Trust, en finira-t-il avec le périmètre ? »).

De là naissent de nombreuses situations où les entreprises perdent de la visibilité par rapport à avant, lorsqu’elles avaient le contrôle de ce qui passait à l’intérieur de leur périmètre. Nous les présentons ci-dessous, avec quelques conseils pour y remédier.

 

Tendance #1 :

la perte de visibilité sur les applications dans le Cloud public

Les outils et les processus courants sont orientés vers la surveillance du périmètre. Or, de plus en plus de ressources des entreprises migrent vers le Cloud public, sur des infrastructures pour lesquelles l’entreprise n’a plus la même facilité à recueillir des informations vitales sur leur usage ou les anomalies de fonctionnement (voir notre encadré « Dans un futur proche : l’entreprise aveugle sur les actions de ses collaborateurs ? »). Certes, elle délègue cette tâche à l’exploitant, et souvent justement parce que ce dernier fait un meilleur travail qu’elle ne pourrait le faire en interne. Toutefois, si elle n’y prend pas garde, l’entreprise y perdra aussi en visibilité sur la manière dont ces ressources sont utilisées, ce qui est une notion pourtant essentielle pour identifier les fraudes et autres abus.

Et les criminels ne s’y trompent pas : selon Phishlabs, l’année 2018 aura ainsi vu une progression de 237 % des attaques contre les applications en mode SaaS utilisées par les entreprises (le CRM, la déclaration des congés, etc.). Ces attaques sont essentiellement de l’ordre du phishing. Car pour de telles applications critiques accessibles publiquement sur Internet, il suffit en effet de dérober des identifiants pour s’y connecter, contrairement à celles hébergées localement derrière le périmètre.

Comment s’adapter :

Le risque est au plus fort durant la période de transition : lorsque les anciennes pratiques sont répliquées dans un nouvel environnement sans revoir l’analyse des risques. Dans le cas des applications métiers qui migrent de l’interne vers le Cloud public, il est clair que le mot de passe seul ne suffit plus. Leur renforcement par des procédés d’authentification forte est essentiel (par exemple avec des clés YubiKey ou l’équivalent – telle la Titan Security Key récemment proposée par Google).

Et pour reprendre le contrôle sur l’usage de ces applications, le recours à un équipement (ou un service) de type Cloud Access Security Broker (CASB) est à envisager : il servira de point de passage obligé, sous le contrôle de l’entreprise qui retrouvera alors de la visibilité sur l’usage des applications SaaS par ses collaborateurs.

 

Tendance #2 :

Les infrastructures Cloud prolifèrent

Il n’y a pas que des applications métiers « clé en mains » dans le Cloud (en mode SaaS). Les entreprises ont également de plus en plus recours à des infrastructures Cloud, que ce soit pour du stockage de données, du calcul ou pour une myriade de services utilisables « tels quels » qui auraient jadis nécessité de déployer une armée de serveurs et de logiciels (un simple coup d’œil à la liste des services proposés par AWS d’Amazon donne le vertige).

Ces services, proposés par l’ensemble des grands fournisseurs Cloud, représentent un gigantesque jeu de Lego applicatif : il est possible de créer des services applicatifs excessivement riches en les assemblant intelligemment, et le tout sans rien à déployer chez soi.

Mais voilà : cette approche change radicalement la façon de concevoir, déployer et exploiter des applications. Et la nouveauté multiplie le risque d’erreurs de configurations qui exposent ces services ou les données qu’ils hébergent. Sans compter qu’il est d’autant plus difficile pour les entreprises d’avoir une vision claire du nombre d’instances, de ressources ou de services qu’elles exploitent dans le Cloud (d’autant que ceux-ci sont élastiques et amenés à se créer et disparaitre automatiquement).

Les criminels, quant à eux, ont pris le temps d’étudier soigneusement ces nouvelles technologies, en particulier pour en repérer les erreurs de débutants ou les configurations par défaut dangereuses. De telles erreurs ont ainsi largement contribué à faire l’actualité des pertes de données en 2018.

Comment s’adapter :

Retrouver visibilité et contrôle sur ses infrastructures Cloud passe d’abord par une bonne maîtrise des outils et des options de configuration proposées par les fournisseurs. Beaucoup peut déjà être fait gratuitement à l’aide des outils proposés. Investir dans la formation de ses équipes IT sur le sujet ne sera donc pas vain.

Il sera ensuite possible de les équiper de l’une des nombreuses solutions de sécurité apparues ces dernières années sur la thématique de la visibilité des actifs dans le Cloud public (Aqua Security, TwistLock, Cloud Passage, Illumio, pour ne citer que les spécialistes récents…)

 

Tendance #3 :

Des malwares, mais pas que !

Selon les chiffres du rapport IBM X-Force 2019, 57 % des attaques réussies en 2018 n’ont pas eu recours à des malwares. Ce qui signifie qu’une entreprise qui concentrerait sa stratégie de sécurité sur la détection des codes malveillants passerait à côté de plus de la moitié des menaces susceptibles de la cibler…

Ce chiffre ne signifie pas pour autant que les criminels ont arrêté d’essayer d’exécuter du code chez leurs victimes (loin de là !). Mais simplement que la nature de ce code a évolué. Ainsi désormais, plutôt que d’avoir recours à un malware à la structure trop spécifique pour passer inaperçue (car plus les antivirus deviennent performants, plus les malwares doivent avoir recours à des structures de code inhabituelles chez les programmes légitimes), ils ont décidé de s’appuyer sur ce qui existe déjà chez la majorité de leurs victimes : un langage capable d’exécuter du code ! Les attaquants privilégient ainsi désormais des scripts PowerShell, souvent transmis sous la forme d’une seule longue ligne, et qui en s’exécutant amorcent toute une série d’actions (dont le téléchargement d’autres outils) qui aboutissent à la compromission. Mais comme PowerShell est installé partout, très utilisé par les équipes d’opérations et d’administration, il est plus difficile de distinguer le bon du mauvais usage.

Comment s’adapter :

Il est essentiel de commencer par auditer et journaliser la présence et l’usage de PowerShell, mais également de technologies d’administration telle WMI (Windows Management Interface) ou d’outils tiers tels ceux proposés par SysInternals (aujourd’hui acquis par Microsoft). À défaut de pouvoir tout contrôler, un travail d’audit et de verrouillage des postes qui ne nécessitent pas d’héberger de tels outils est essentiel.

En termes d’outils, une supervision efficace (après avoir correctement configuré la journalisation des postes Windows) est ici la clé. Bref… retrouver la vue sur tous ces éléments jusqu’à présent souvent cachés !

Et tout le reste !

La question de la visibilité n’est hélas pas apparue avec le Cloud. Au-delà de ces trois mouvements de fond très actuels demeurent de nombreuses autres mauvaises pratiques bien ancrées depuis de nombreuses années. L’on pourrait citer ainsi l’absence de contrôle de requêtes DNS (« qui parle avec qui ? »), ainsi que les actions des utilisateurs à privilège, qui demeurent encore trop souvent dans l’ombre. Ou bien le contrôle du trafic SSL, alors que de plus en plus de connexions sont ainsi chiffrées. Ou encore les actifs web, dont les bibliothèques tierces intégrées automatiquement et aveuglément peuvent permettre à des attaquants d’inclure du code même sans compromettre le site ? (Une attaque semblable a permis l’an dernier de dérober les informations personnelles de 380 000 clients de British Airways, et a coûté à la compagnie aérienne 200 millions d’euros d’amende !)

Bref, et si en 2020 l’on profitait de tous ces chantiers Cloud pour reprendre de bonnes habitudes partout ? 

 


Le modèle Zéro-Trust
en finira-t-il avec le périmètre ?

Faire disparaître le périmètre. Faire en sorte que chaque application, chaque serveur de l’entreprise, soit accessible depuis n’importe où à travers Internet. Ce n’est pas la vision délirante d’un futurologue, mais c’est ce que Google a mis en œuvre avec le projet BeyondCorp. Comme son nom l’indique, il s’agit d’aller « au-delà » de l’entreprise, c’est-à-dire de ses murs.

Développé depuis six ans au sein de Google, le modèle BeyondCorp a pour objectif de déplacer le contrôle d’accès aujourd’hui réalisé sur le périmètre réseau vers les appareils et les utilisateurs individuels. Cela permet alors aux employés de travailler où qu’ils soient sans avoir besoin d’un VPN classique.

Comme l’explique le géant, « BeyondCorp était à l’origine une initiative interne à Google visant à permettre à tous les employés de travailler depuis des réseaux non approuvés sans avoir recours à un VPN classique ». Et de fait, aujourd’hui, des milliers de collaborateurs de Google n’ont plus besoin de VPN et peuvent travailler de n’importe où, et que l’ensemble des applications et des ressources qu’ils utilisent sont tels des îlots protégés sur Internet, plutôt que des hangars ouverts à tous derrière une muraille fortifiée.

 


 

Dans un futur proche : l’entreprise aveugle sur les actions de ses collaborateurs ?

C’est un mode d’interaction déjà très courant : le collaborateur d’une entreprise accède à une application métier hébergée dans le Cloud depuis un smartphone personnel à travers sa propre connexion 4G.

À l’avenir, et avec l’avènement de la 5G, cette interaction pourrait devenir la norme. Et si elle n’est pas vigilante dès aujourd’hui, l’entreprise pourrait alors n’être impliquée à aucun moment dans les échanges qu’elle est aujourd’hui encore en mesure de contrôler ! Elle perdrait en visibilité sur toute la chaîne…

Ainsi le fournisseur d’application en mode SaaS peut certes fournir des logs d’accès dans son interface d’administration, mais il sera par défaut difficile d’avoir beaucoup plus d’information significative, et en particulier en temps réel. Ensuite la connexion à internet est fournie par l’opérateur mobile du collaborateur, et l’entreprise n’a bien entendu ici aucune visibilité. Quant au smartphone, s’il n’est pas géré, il demeure un inconnu pour l’entreprise.

Cet exemple, bien entendu soigneusement choisi, illustre toute la difficulté pour les entreprises de négocier au même rythme que les attaquants les évolutions technologiques essentielles à leur activité. Et il illustre le rôle essentiel du dirigeant et du responsable de la sécurité, qui doivent se tenir informés des évolutions technologiques, mais aussi des concessions que celles-ci les forcent à réaliser, afin de proposer des mesures de compensation adéquates.