Cette période de l'année arrive à nouveau : c'est le moment de faire une introspection sur le passé récent et d'envisager ce que nous réserve l'année prochaine en matière de cybersécurité.
Quelle année cela a été !
En janvier 2004, une alliance informelle de RSSI appelée Jericho Forum a été officiellement fondée (les travaux ont commencé en 2003) pour définir et promouvoir le concept de dé-périmétrage (techniquement, il s'agissait de dé-périmétrage puisque le terme a été proposé pour la première fois par Paul Simmonds et que l'inventeur devrait pouvoir choisir l'orthographe). Le Jericho Forum partait du principe que le périmètre traditionnel du réseau s'érodait et que les organisations n'avaient pas intégré l'impact d'une telle dérive sur la sécurité.
Au début de l'année 2020, de nombreux concepts exprimés dans les documents publiés par le forum entre 2004 et 2013 (date à laquelle le Jericho Forum a déclaré son succès et a fusionné avec The Open Group) étaient largement acceptés. Cependant, de nombreuses organisations s'en tenaient à un concept flou de périmètre de réseau sécurisé, tout en adoptant lentement une architecture appelée "périmètre de réseau sécurisé". Zero Trust pour mieux faire face à la prévalence croissante des applications SaaS.
Puis la pandémie a frappé. Elle a donné un coup de fouet à plusieurs tendances qui étaient déjà à l'œuvre : (a) le passage aux applications SaaS (Software as a Service) de préférence à leurs équivalents sur site, (b) le passage aux fournisseurs de services cloud de préférence à l'ajout de nouvelles baies d'équipement dans les centres de données détenus ou loués et (c) la possibilité pour les utilisateurs distants de se connecter directement aux applications basées sur cloud sans passer par un VPN (souvent appelé mobile-to-cloud). Les tendances (a) et (b) étaient motivées par la volonté de ne pas empiler les équipements (ce qui est difficile à faire pendant une pandémie) - la tendance (c) résultait de la nécessité de renvoyer tous les travailleurs chez eux tout en réalisant que la capacité VPN existante était insuffisante pour fournir une connectivité sécurisée (et performante) à chacun d'entre eux.
L'accélération de ces tendances s'est traduite par l'exécution de certains plans pour les 12 mois à venir au cours de la première semaine des mandats de travail à domicile. Et les plans à 5 ans concernant le passage au SaaS et à cloud sont soudain devenus des plans à 24 mois.
Les implications de ces mesures en matière de sécurité sont profondes. Plutôt que de dé-périmètrer leurs réseaux en laissant des éléments tels que l'internet des objets (IoT) peu fiable à l'intérieur du périmètre (ce qui se produit également depuis un certain temps), les organisations ont inversé leurs architectures en expulsant la plupart des utilisateurs finaux du réseau de l'entreprise et en déplaçant la plupart des applications sur le site cloud- soit sous forme de SaaS, soit en utilisant l'infrastructure en tant que service (IaaS) et la plateforme en tant que service (PaaS) fournies par des sociétés telles qu'Amazon, Microsoft et Google pour exécuter leurs propres applications sur le site cloud.
A l'horizon 2021
À l'horizon 2021, il est clair que la pandémie continuera à limiter les lieux de travail de vos employés et la difficulté d'accès à vos propres centres de données physiques. Et même si ces restrictions commencent (espérons-le) à se lever au cours du second semestre 2021, les changements provoqués par la pandémie sont là pour durer : en effet, ce n'est pas parce que les employés pourront retourner au bureau qu'ils voudront s'y rendre tous les jours. Le travail à distance (même s'il n'existe que sous une forme hybride) est donc là pour rester.
Il s'ensuit que votre architecture de sécurité doit prendre en charge les employés travaillant à partir de lieux inconnus (avec une sécurité réseau douteuse) en tant que principal cas d'utilisation. Assurez-vous donc que les ordinateurs portables de vos employés sont suffisamment renforcés pour que vous puissiez raisonnablement vous fier à leur capacité à se débrouiller seuls dans le grand méchant monde. En fait, investir dans une sécurité qui ne protège les utilisateurs finaux que lorsqu'ils se trouvent dans l'enceinte de votre bureau est un gaspillage d'argent. Cela signifie généralement qu'il faut investir dans une solution moderne de détection et de réponse (EDR) endpoint (notez que le terme "antivirus" est officiellement devenu péjoratif). Cela signifie également que si vous souhaitez intermédier un proxy web (officiellement appelé Secure Web Gateway par Gartner) entre les machines des utilisateurs finaux et le grand méchant internet, vous devez investir dans un proxy fourni sous forme de SaaS.
En fournissant à vos utilisateurs finaux un accès aux applications SaaS de l'entreprise (Office 365, G Suite, Salesforce, etc.) et aux applications internes fournies via votre empreinte cloud (sur AWS, Azure, GCP, etc.), envisagez de déplacer votre infrastructure d'identité sur le site cloud. Ainsi, plutôt que d'avoir Active Directory (AD) (sur site) comme centre de votre univers d'identité et de synchroniser une partie de son contenu avec Azure AD ou Okta ou un autre fournisseur d'identité (IdP) cloud , envisagez de déplacer le centre de gravité vers cloud et de remanier vos cas d'utilisation sur site pour les adapter à cette architecture. Passez également des anciens VPN, qui donnent accès à l'ensemble du réseau, à Zero Trust Network Access (ou ZTNA, un acronyme qui coule de source) pour ne donner accès qu'aux applications auxquelles l'utilisateur final doit accéder.
Enfin, après avoir expulsé toutes vos applications de votre réseau, vous devez retrouver une visibilité sur qui fait quoi avec vos données critiques. Sauriez-vous si un renard (persistant) s'est introduit dans votre poulailler (fourni par SaaS) ? détection et réponse aux incidents (NDR) est une catégorie récemment normalisée qui détecte les attaques et y répond sans s'appuyer sur des agents fonctionnant sur les points d'extrémité (EDR). Alors que les premières versions de la NDR se concentraient sur les réseaux traditionnels (elles ne traitaient que les paquets), la NDR moderne englobe la détection des menaces et la réponse dans ce nouveau réseau hybride/balkanisé qui inclut IaaS, PaaS et SaaS, et unifie la visibilité sur la progression des attaques dans, à travers et dans l'ensemble de ce nouveau réseau.
Les bonnes nouvelles
Les changements que les équipes de sécurité mettent en œuvre à la suite de ces tendances nous rendront plus résistants aux attaques et plus agiles pour faire face aux changements inévitables que subissent les organisations. Cette situation d'urgence ne sera pas la dernière à laquelle nous devrons faire face au cours de notre vie, même si les autres seront, espérons-le, de bien moindre ampleur, et nous serons bien mieux préparés à faire face à une situation d'urgence la prochaine fois.