Le Cloud et le SD-WAN sont deux thématiques qui agitent actuellement les rapports entre DSI et RSSI, avec une promesse forte d’agilité. Il est donc capital pour l’entreprise de préserver une maîtrise complète des flux de données, qu’il s’agisse de données internes ou celles de clients ou fournisseurs.
Les systèmes d’informations vont basculer vers une politique de choix des meilleurs prestataires au travers du multi-cloud et s’appuyer sur la technologie SD-WAN pour rendre le réseau plus flexible et en améliorer ses performances.
La gestion d’une sécurité de l’information doit, elle aussi s’adapter à cet écosystème complexe. La synergie des différents acteurs doit assurer la sécurité globale où les fournisseurs ont pour devoir de proposer à leur client des solutions qui permettent de gérer cet environnement hétérogène assurément complexe sans outils adaptés.
De réelles menaces toujours plus présentes
Avec l’arrivée de l’IA, du cloud, de l’IoT et un déploiement en masse des terminaux mobiles en entreprise, l’information est toujours plus mobile et plus accessible.
La gestion de la sécurité devient une priorité et son défaut de gestion une menace ouverte, d’autant que les attaquants s’adaptent régulièrement aux contre-mesures mises en place.
Ainsi, le cloud a vite été adopté et déployé parce qu’il a apporté une réponse rapide aux besoins métiers. Mais les environnements multi-cloud et les communications empruntant internet peuvent accélérer les menaces de fuite ou de compromission d’informations et ce d’autant plus que les infrastructures sont décentralisées.
La maîtrise de la sécurité des différentes solutions est variable et l’adoption par les différents standards et bonnes pratiques de sécurité (SecNumCloud, BSI C5, CSA, ISO 27017) n’est pas forcément rapide ni aisé.
L’IoT et les terminaux mobiles créent aussi des menaces liées à deux facteurs : une sécurité souvent non maîtrisée démultipliée par le nombre très important de terminaux et l’abscence fréquente d’une politique de
gestion forte.
Par exemple, lotroop/Reaper s’attaque directement à des vulnérabilités IoT et a malheureusement déjà permis de lancer différentes attaques DDoS en fin d’année dernière et au début de celle-ci ; selon certaines estimations, ce sont près d’un million d’objets qui ont été intégrés dans ce botnet en un mois. Les différents acteurs (fabricants, intégrateurs, opérateurs, infogéreurs) ont la responsabilité diffuse, chacun à leur niveau, d’assurer la sécurité des différents éléments.
Enfin, l’Intelligence Artificielle (IA) et le Machine Learning (ML) sont typiquement des technologies qui vont être plus efficaces pour gérer des problèmes bien délimités comme la classification des exécutables et la détection des programmes malveillants. Cependant, ces mêmes technologies peuvent être utilisées pour contrer les mesures de sécurité. Le plus vieil exemple, c’est l’analyse des images Captcha (certains tests dépassent actuellement les 90% de reconnaissance).
Des attaques basées sur l’amélioration des messages de phishing, des réseaux de botnet, des techniques d’évasion ou des attaques sur les IA elles-mêmes pour en fausser l’apprentissage ne sont donc pas à exclure.
Repenser la sécurité
Dans ces conditions, continuer à croire que les solutions mises en œuvre ses dernières années vont rester efficaces pour adresser les risques qui avaient été identifiés serait une erreur. Les attaques de déni service (DoS et DDoS) applicatives sont de plus en plus fréquentes et les solutions anti DDos en place, qui sont très adaptées pour gérer les attaques DDoS classiques, restent quasi inefficaces pour arrêter les attaques plus fines que sont les attaques de déni de services applicatif. Les solutions de sandboxing qui ont permis une meilleure détection des logiciels malveillants ces dernières années commencent elles-aussi à être contournées.
La mutiplication des technologies, des fournisseurs et la décentralisation ont tendance à complexifier la gestion de la sécurité. Il faut prendre garde à cette menace interne qui peut facilement devenir ingérable. Car la technologie doit être un support sûr au business de l’entreprise. En aucun cas, elle ne peut devenir un élément de complexification de la gestion du système d’information de l’entreprise et de sa sécurité.
Construire un schéma directeur pour aboutir à des solutions professionnelles
Car, stratégiquement, un service provider ne peut passer à coté de la mise à disposition de ressources « pilotées » dans les infrastructures Cloud Public, Privé ou On-Premise. De nouvelles configurations optimisant prix et performance sont maintenant disponibles en lien direct avec les enjeux métiers et utilisateurs.
Bénéficier d’une gamme de services pilotés en central permet de garantir la vision des RSSI tout en proposant le déploiement de composants décentralisés via le Edge Computing pour le plus grand bonheur des DSI et utilisateurs.
Security et privacy by design
« Il n’est pas possible d’intégrer la dimension sécurité après coup sans détruire une grande partie de ce qui a été construit », écrit Cédric Villani dans son rapport sur l’intelligence artificielle. Pour des RSSI, cette phrase fait écho à de nombreux projets de post-sécurisation. La mise en place de la certification des hébergeurs de santé, de la directive NIS (Network and Information Security), la sortie de la nouvelle version du standard SecNumCloud et les éléments de la LPM (loi de programmation militaire) ont eu moins d’écho.
Pourtant, la sécurisation et la protection des données (personnelles ou non) par conception et par défaut n’est pas une nouveauté. C’est une activité normale pour les RSSI, peut-être moins pour ceux qui pense que le coût de la sécurisation sera trop élevé. L’expérience montre bien que les coûts liés à la non sécurisation ou à la sécurisation tardive ont de forts impacts financiers, largement supérieurs à ceux d’une sécurisation initiale.
La phase de conception est donc essentielle : c’est elle qui va fixer les objectifs de sécurité et assurer l’alignement avec le business et les obligations de protection des données, qu’ils s’agisse de données personnelles (y compris de santé), financières ou métier (des brevets par exemple).
Cependant la sécurité doit aussi être gérée en continu, de façon dynamique et adaptative tant les éléments pris en compte lors de la conception peuvent être amenés à changer ou à apparaître.
Enfin, un élément malheureusement souvent oublié est la fin de vie d’une solution informatique (DEEE), en particulier les aspects liés au devenir des données qui y sont stockées. Paradoxalement, cette phase doit être pensée dès la conception. Par exemple, si les moyens de destruction ou de transfert des informations n’ont pas été prévu dès le début, les moyens nécessaires pourront être bien plus coûteux.
Le pouvoir est dans les mains des DSI
Comme je l’ai déjà évoqué récemment, c’est aux DSI de reprendre le pouvoir en s’imposant davantage dans les Comités de Direction (lien vers la vidéo) car une sécurisation durant toute la vie d’une solution ou d’un système d’information est une nécessité absolue.
Les législateurs nationaux et européens vont aussi dans cette voie, les lois actuelles et en préparation donnent un cadre pour une meilleure sécurité. Mais il est nul besoin de loi pour mettre en place une sécurité adaptée aux différents types d’information. Le marché est exigeant en ce qui concerne la sécurité, ce qui est normal ; proposer des solutions sûres par conception et par défaut devrait être une évidence.