Accueil La défense en profondeur face aux défis du Cloud

La défense en profondeur face aux défis du Cloud

Les modèles de sécurité traditionnels sont aujourd’hui bousculés par la stratégie “Cloud first” des entreprises mais aussi des utilisateurs qui réclament de plus en plus de mobilité. Un effet “ciseau” que les RSSI doivent gérer au mieux avec les solutions du marché.

 

Si la défense périmétrique, façon château fort, est considérée aujourd’hui comme un concept obsolète, la défense en profondeur avec les concepts de segmentation du système d’information et de “0 Thrust” s’est imposée. Les industriels, notamment du secteur nucléaire, ont été les premiers à appliquer ces principes afin d’isoler les parties critiques de leur SI, tous les échanges de données transitant vers les zones sensibles au travers de gateways à base de diodes telles que les Elips-SD fournies par Thales aux OIV ou encore celles de Sentryo qui a récemment noué un accord de distribution mondial avec Siemens. Autre acteur, Bertin IT qui propose CrossinG, une passerelle de confiance qui permet de sécuriser les transferts de fichiers qui entrent et qui sortent d’un réseau. « Cette solution s’insère dans des environnements qui sont déjà micro-segmentés dans le cadre d’une défense en profondeur, entre des zones à différents niveaux de sensibilité » explique Stéphanie Blanchet, directeur Marketing de Bertin IT. « Elle garantit l’innocuité des fichiers entrants par le biais d’une analyse par anti-virus et d’une analyse CDR (Content Disarm and Reconstruction) qui permet de détecter les charges actives, les neutraliser et conserver l’accès au contenu. »
Cette approche de sécurité se heurte aujourd’hui à une double évolution des systèmes d’information.

« Nos solutions visent avant tout les secteurs très critiques, et la LPM a clairement favorisé l’essor des concepts de la défense en profondeur auprès des OIV et même les OSE dans le cadre de la directive NIS. »

Stéphanie Blanchet, Bertin IT

L’essor des SI hybrides complique l’équation

D’une part, les utilisateurs demandent de plus en plus à accéder aux ressources informatiques en situation de mobilité et, en parallèle, la montée en puissance du Cloud pousse les entreprises à ouvrir leur SI à des tiers. Les éditeurs de solutions de sécurité ont intégré cette nouvelle dimension à leurs offres, à l’image de Fortinet, comme l’explique Christophe Voilqué, directeur MSSP EMEA de l’éditeur : « Nos solutions sont disponibles sur les marketplaces des Cloud publics et dans un mode Bring-your-own-licence. La cohérence de la sécurité est assurée grâce aux outils de management qui permettent d’assurer une sécurité de bout en bout homogène pour un SI reposant sur un Cloud privé étendu sur AWS, Google, Oracle, Azure avec les mêmes règles de sécurité. La stratégie de sécurité doit pouvoir être répliquée dans le Cloud public. »

De multiples briques de sécurité additionnelles sont apparues pour intégrer le Cloud à la politique de sécurité de l’entreprise. C’est le cas des solutions de gestion des identités IDaaS, les passerelles Web sécurisées (SWG), les Cloud Access Security Brokers (CASB), les solutions de prévention des fuites de données (DLP). Zscaler par exemple propose une solution qui va au-delà du simple VPN pour connecter les utilisateurs aux services Cloud : « Zscaler Private Access permet de sécuriser les accès de toutes les applications dans le Cloud AWS, Google ou Microsoft Azure de manière à littéralement étendre le réseau de l’entreprise sur le Cloud » explique Ivan Rogissart, responsable des ventes pour l’Europe du sud. « Nous nous appuyons sur le concept de Software Defined Perimeter qui permet de donner accès à des applications à un utilisateur sans avoir à ouvrir un accès réseau, ce qui se prête particulièrement bien au Cloud. »

Très utilisées dans le secteur défense et industriel / nucléaire, les passerelles à diodes comme l’Elips-SD de Thalès restent des solutions très coûteuses et contraignantes.

Pour Laurent Maréchal, EMEA Technology Architect pour McAfee/ Skyhigh Networks, le CASB va jouer un rôle clé dans la protection d’un SI Hybride : « Le CASB donne de la visibilité sur le Shadow IT en confrontant les logs collectés au niveau des firewalls et des proxys à la Skyhigh Cloud Registry où sont référencés plus de 30 000 services Cloud. » Outre ce volet Shadow IT, le CASB exerce un contrôle sur les services managés par l’entreprise comme par exemple faire du DLP sur les comptes Office 365 ou Google Suite et éviter que des données confidentielles de l’entreprise ne sortent de l’entreprise.

« L’essor que connaît actuellement le marché du CASB est supérieur à celui du firewall à ses débuts. On accompagne les entreprises dans leur adoption du Cloud et, dans ce cadre, le CASB est une brique essentielle de la sécurité. »

Laurent Maréchal, McAfee/Skyhigh Networks

 

Le SOC doit étendre son emprise sur le Cloud

Pour Vincent Nguyen, Manager Cybersécurité du cabinet Wavestone, les entreprises doivent imposer leurs référentiels de sécurité aux fournisseurs Cloud. « Le CASB permet aussi d’apporter des couches de sécurité aux services Cloud, mais il faut exiger aujourd’hui des fournisseurs Cloud le support des SSO, le chiffrement, un accès aux données de logs pour les SIEM. » De même, il est possible d’accroître la confidentialité des données par un chiffrement à la volée via des solutions telles que Tanker, Difenso, CipherCloud, Skyhigh, mais c’est sur la réactivité que les entreprises doivent le plus progresser. Pour Farah Rigal, responsable du programme SOC chez Atos Big Data & Security, le SOC prescriptif va boucler la boucle et ajouter la réaction à la détection : « Les SOC classiques sont cantonnés à la supervision et la notification, or nous militons pour doter le SOC de moyens d’action notamment avec des bus de données spécifiques permettant d’alimenter l’environnement cybersécurité en données de Threat Intelligence. Au cours même d’une investigation, il doit pouvoir lancer des actions de protection : modifier des droits, augmenter le niveau de sécurité, changer de mode d’authentification, etc. » Atos exploite le bus d’échange de données de sécurité openDXL (Data Exchange Layer) pour propager les alertes vers les équipements actifs. Un éditeur comme ThreatQuotient cherche lui aussi à booster la circulation des menaces dans le SI via sa plateforme : « Un service de renseignement n’a de valeur que s’il est capable de s’orchestrer avec l’ensemble de la chaîne de défense, qu’il s’agisse des firewalls, des solutions endpoint, les logiciels de prévention d’intrusion, les SIEM, etc. »

En outre, l’IA se pose comme une aide aux analystes de sécurité pour trier plus rapidement les menaces et répondre plus rapidement. Peu d’acteurs maitrisent les usages de l’IA dans le SOC, parmi ces acteurs, iTrust. Jean-Nicolas Piotrowski, fondateur de l’éditeur, explique : « L’IA permet de détecter en amont les prémices d’une attaque, c’est ce que le Gartner appelle aujourd’hui l’UEBA (User and Entity Behavior Analytics), mais ce que l’IA permet c’est surtout d’aller vers la notion d’analyste augmentée avec des algorithmes qui aident les analystes à prendre leurs décisions plus rapidement. »

Les applications doivent tendre vers le « Secure by Design »

De même, les stacks logiciels doivent être durcis afin de résister à une attaque directe. Si le déploiement de WAF en protection des applications internes reste rare, de plus en plus d’entreprises basculent les flux de leurs applications internes sur http/s et s’il reste encore difficile de chiffrer l’ensemble des données stockées, le chiffrement applicatif progresse. Même sur le Cloud il est possible de privilégier des infrastructures de confiance comme l’explique Lionel Ferembach, chef de produit HySIO chez Thales Services : « La cybersécurité commence au moment de la conception des applications, au niveau de leur architecture comme du code. Les infrastructures doivent être fortement sécurisées et nous avons développé notre Cloud sur OpenStack afin de maîtriser le code et pouvoir développer des fonctions de sécurité renforcées par rapport au stack standard. Même sur le Cloud public, il est possible d’obtenir un niveau de sécurité satisfaisant pour des ressources critiques. »

Pour faire face à l’accélération du rythme des attaques mais aussi aux besoins d’ouverture et d’agilité des métiers, la cybersécurité doit une fois de plus se réinventer. Plus que dans tout autre domaine, rien n’est jamais acquis !

Les SIEM doivent désormais collecter des données de log sur l’ensemble des services SaaS, PaaS ou IaaS mis en œuvre par l’entreprise, un prérequis à la signature du contrat avec le prestataire Cloud.