Defense in depth : Multi-layering et Ecosystème

En 1990 à Redwood, la première conférence RSA sur la sécurité de l’information avait  rassemblé 50 mathématiciens – cryptographes. 21 ans plus tard, le speaker vedette du final keynote était Bill Clinton !  Aujourd’hui, on parle de la cyber-sécurité à la TV et les hackers sont des sujets de films et de roman. Mais plus grave, il existe un marché noir pour la revente d’outils de piratage et des données volées. Sur le Web, ces outils de piratage sont très faciles à trouver et simple d’utilisation. Le périmètre a complètement changé. Toute entreprise, quelle qu’elle soit, subira un jour ou l’autre une attaque. Il faut en être conscient et, lorsque cela arrive, il faut accepter d’en informer les cercles d’expertise pour ainsi nourrir un éco-système de protection.

 

Multiplier les obstacles

Le concept de « Defense in depth » n’est pas nouveau. On en trouve l’application dans les forteresses de Vauban et dans l’industrie nucléaire.  Il consiste à dresser devant l’adversaire plusieurs obstacles qu’il devra franchir successivement pour atteindre son objectif. Ces lignes de défense seront déployés sur 6 niveaux : le périmètre, le réseau, le serveur, les endpoints, les utilisateurs et les datas. Trop d’entreprises  s’arrêtent au périmètre. Cela reste indispensable, mais plus du tout suffisant. Prenons l’exemple du deuxième niveau,  la couche réseau.  La mobilité est en augmentation constante dans les organisations. Les devices entrent et sortent du périmètre de sécurité et les utilisateurs reviennent avec des équipements qui peuvent avoir été infectés à l’extérieur. D’où l’importance de mettre en place un certain nombre d’outils de surveillance du trafic interne. Il faut pouvoir détecter tout code malicieux qui tenterait de percer de l’intérieur les défenses existantes du réseau.

 

Combiner les approches

Comment ? On peut procéder par anneau concentrique, mettre en place un système de détection avec contrôle du user et du device, mise en quarantaine en cas d’alerte et formulation d’une réponse si une attaque se confirme. On peut aussi fonctionner par overlapping et contrôler l’attaque  par une ou deux techniques différentes. Dernière approche, on peut également tenir compte du contexte. Dans quel pays se situe le device ? Est-ce que le device est connu ? Non ? Dans ce cas, on va appliquer des contrôles supplémentaires et/ou une mise en quarantaine avant validation. L’utilisateur ne pourra passer à l’étape suivante qu’après l’installation d’un certain nombre de prérequis. Souhaite-il accéder à une application classifiée comme sensible ?  Un deuxième niveau d’authentification lui sera demandé.
Il ne s’agit pas d’approches exclusives mais d’un ensemble de combinaisons complémentaires possibles.

 

Ne plus se sentir fautif !

Face à des APT de plus en plus sophistiquées, s’adapter aux nouvelles menaces est un challenge permanent pour les directions informatiques.  Si l’on regarde les 5 styles d’ « Advanced Threat Defense » proposé par  Gartner et qu’on analyse les offres présentes sur le marché, on s’aperçoit qu’aucun éditeur ne couvre la totalité du spectre de sécurité. Il faut donc fonctionner avec un patchwork de solutions, d’où l’importance cruciale d’une bonne intégration de tous ses composants. Il est crucial que les éditeurs de solutions de sécurité jouent la carte de l’ouverture au travers d’API disponibles pour l’intégration des produits, tout comme il est vital que les directions informatiques s’ouvrent à l’extérieur. Il faut changer les mentalités et ne plus se sentir fautif en cas d’attaques et/ou d’infections.  Il faut accepter de relayer les informations vers ses paires. L’union fait la force.. Il ne faut pas se recroqueviller à l’intérieur mais au contraire accepter de faire entrer son système d’information dans un éco-système mondial de sécurité !

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *