Accueil Le digital workplace bouscule la cybersécurité traditionnelle

Le digital workplace bouscule la cybersécurité traditionnelle

Sécuriser un poste de travail et des applications d’entreprise représente un énorme challenge pour les RSSI alors que le collaborateur ne travaille plus dans les murs de l’entreprise et que les applications elles-mêmes peuvent être hébergées dans un Cloud public.

 

Impossible aujourd’hui pour une DSI d’interdire aux métiers d’utiliser des services cloud, qu’il s’agisse d’applications SaaS ou de services de collaboration sur le Web. Impossible non plus de restreindre l’accès aux ressources de l’entreprise à un collaborateur en situation de mobilité, qu’il soit chez un client ou dans une chambre d’hôtel, des lieux dont on connaît le faible niveau de confidentialité des échanges. Avec l’essor de la digital workplace, le collaborateur doit être 100 % opérationnel où qu’il se trouve et quel que soit son terminal.

La cybersécurité encore trop perçue comme une source de contraintes

Dans ce nouveau paradigme, l’IT doit être un facilitateur du travail des collaborateurs et surtout pas une contrainte alors que les dangers liés aux ransomwares, attaques de phishing et aux fuites de données sont extrêmement élevés. Face à ces enjeux, les RSSI doivent bien renforcer les défenses installées sur les postes de travail, muscler la protection des comptes à privilèges ou encore mettre en place des solutions de DLP (Data Loss Prevention) pour détecter toute fuite de données sensibles. Mais au-delà de nouvelles briques de sécurité, c’est bien un changement d’approche de la cybersécurité que les DSI doivent désormais adopter. L’heure est désormais au “Zero Trust” : tout poste connecté sur le système d’information, même un PC de bureau, ne doit disposer d’aucun privilège par défaut, et les droits minimaux sont accordés temporairement à l’utilisateur lorsque celui-ci a pu prouver son identité et que l’on a pu s’assurer que les conditions d’accès à la ressource demandée correspondent bien aux règles éditées par la politique de sécurité de l’entreprise. Comme aime à le rappeler Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, « dans un système d’information ouvert, il faut adopter une approche par laquelle on admet que l’on ne connaît plus dans le détail le périmètre du système d’information. Dans ce cadre, l’identité reste probablement le dernier rempart pour protéger l’accès aux informations sensibles de l’entreprise. » L’approche “Zero Trust” est aujourd’hui défendue par Microsoft et tous les acteurs de la cybersécurité. Mais abandonner une défense essentiellement périmétrique pour aller vers une telle ouverture contrôlée demande de devoir revoir en profondeur les pratiques en vigueur.

> Les composants logiques d’une architecture « Zero Trust » telle que définie par le NIST.

« 80 % des budgets en sécurité sont consacrés à la mise en place de mesures réactives. »

Rajiv Ramaswami

Adopter une démarche proactive et préventive

Rajiv Ramaswami, COO de VMware, soulignait que « 80 % des budgets en sécurité sont consacrés à la mise en place de mesures réactives » alors que c’est sur la prévention des attaques et des fuites de données qu’il faut maintenant porter l’effort. L’éditeur, qui vient d’acquérir Carbon Black, un expert de la protection du poste de travail, compte étoffer son catalogue afin d’offrir une offre globale mieux intégrée et plus réactive que le patchwork de dizaines de solutions de sécurité qu’ont empilées les RSSI ces dernières années pour faire face aux nouveaux types de menaces. Bâtir une défense proactive sera sans doute le grand chantier des prochaines années pour les entreprises. Pour Candace Worley, Vice Presidente et Chief Technical Strategist de McAfee, l’automatisation jouera un rôle clé dans cette démarche. « Toutes les entreprises avec lesquelles j’ai eu l’occasion de parler sont confrontées au challenge d’optimiserl’efficacité de leurs outils, de faire plus avec moins. L’automatisation reste encore limitée à des tâches de base et les RSSI restent encore sceptiques quant à son rôle sur des tâches plus complexes que le simple test de signatures ou le patching. Ils ont peur des conséquences business liées à des tâches automatisées qui pourraient mal tourner. Il en va de la crédibilité des équipes de sécurité. » Pourtant l’automatisation est bien le sens de l’histoire, et c’est bien grâce à elle que les entreprises pourraient aller vers l’objectif du “Zero Trust”.

« Il faut faciliter les contre-mesures rapides entre solutions d’éditeurs différents, réduire le besoin en interventions humaines par leur automatisation.
Enfin, il faut s’appuyer sur un moteur de règles de sécurité et analytique robuste pour structurer le volet opérationnel et le travail des équipes. »

Candace Worley McAfee

 

Alain Clapaud