Pour vivre heureux, vivons cachés, grâce au Software Defined Perimeter
Il est temps de repenser la protection de la sécurité de l’information pour masquer les données aux yeux des criminels et ne les rendre accessibles qu’aux rares personnes autorisées à les consulter.
L’activité des cybercriminels s’intensifie. Les entreprises doivent protéger leurs actifs. Elles ne peuvent plus se contenter des solutions de sécurité qui protégeaient des périmètres rigides. Il est temps de repenser la protection de la sécurité de l’information pour masquer les données aux yeux des criminels et ne les rendre accessibles qu’aux rares personnes autorisées à les consulter. Le SDP (Software Defined Perimeter) assure cette fonction.
Le plus gros challenge de sécurité que rencontrent les entreprises aujourd’hui réside dans leur capacité à bloquer les cyberattaques de toutes sortes - attaques DDoS, tentatives d’extorsion, ransomwares ou encore piratages de connexion - pour préserver leur capacité opérationnelle. Ces pratiques ne sont pas près de diminuer. Notre rapport 2017 Data Breach Investigations Report souligne même l’intensification des ransomwares, en hausse de 50% par rapport à l’année précédente.
Les salariés ont accès à distance à des systèmes et des informations stratégiques, 24h/24 et 7j/7; partenaires et fournisseurs peuvent collaborer sur des projets sensibles où qu’ils se trouvent dans le monde et les clients peuvent se connecter en toutes circonstances à leurs services préférées via des applications en ligne et mobiles. Le monde n’a jamais été aussi connecté mais cette situation crée des vulnérabilités que les cybercriminels peuvent exploiter.
Quels changements pour la sécurité à l’ère du numérique ?Historiquement, les entreprises déployaient une solution de sécurité établie sur la base d’un périmètre physique pour protéger leurs applications stratégiques des menaces externes. Mais les avancées de la technologie numérique, comme les terminaux mobiles et les applications cloud, étirent ces frontières. De nombreuses entreprises optent aujourd’hui pour des environnements virtuels, parfois intégralement situés dans le cloud public pour faciliter leur accès.
Les protocoles Internet traditionnels n’offrent pas une sécurité suffisante pour protéger ces environnements virtuels, car ce n’est pas leur vocation première. Parfois plusieurs dizaines de solutions de sécurité coexistent déjà dans l’environnement IT de certaines entreprises, si bien qu’elles hésitent à en déployer de nouvelles pour s’adapter aux menaces modernes.
La réponse appropriée à ces menaces est d’intégrer la sécurité à la couche réseau, dans les fondations du SI, pour se protéger contre les compromissions potentielles de données d’importance stratégique. C’est ce que permet la dernière évolution des réseaux MPLS (Multiprotocol Label Switching) traditionnels vers les réseaux définis par logiciel, Software Defined Networks (SDN). Les entreprises les plus à la pointe en matière de réseaux comme les opérateurs télécom, intègrent désormais la sécurité dès les fondations de leurs réseaux SDN (Software Defined Network), si bien que ces aspects ne risquent pas d’être négligés par la suite.
Le périmètre réseau sans cesse changeantIl existe à présent des outils tels que Software-Defined Perimeter (SDP) qui s’appuient sur une approche de "non-discoverability" (non-découvrabilité) pour permettre l’accès en toute sécurité aux terminaux et aux applications d’un cloud public. Ainsi, les entreprises, les administrations, les institutions financières, etc. peuvent désormais masquer automatiquement leurs ressources applicatives et leurs terminaux des yeux des agresseurs potentiels. Cette solution leur permet de voir les attaques en temps réel et leur donne la possibilité de protéger la sécurité des ressources critiques et d’arrêter la progression des attaques.
Un réseau d’entreprise traditionnel crée un réseau interne séparé du monde extérieur par un périmètre fixe qui se compose d’une série de fonctions de pare-feu qui empêchent les utilisateurs extérieurs de pénétrer mais qui autorisent la sortie des utilisateurs internes ; SDP est une solution Software-as-a-Service (SaaS) évolutive qui autorise l’accès sécurisé, contextuel et pré-authentifié aux applications d’entreprise en deçà d’un périmètre qui change constamment.
Pour le dire simplement, le réseau et les applications deviennent un club privé. Cette solution de périmètre réseau sécurisé sert de videur qui contrôle qui peut entrer et ce que chacun peut faire une fois à l’intérieur. Elle vérifie les ID utilisateur et les terminaux à la « porte » du réseau, puis elle les « escorte » à l’intérieur pour un nouveau cycle d’approbation/vérification avant de les autoriser à rejoindre la « fête » où ils pourront utiliser les applis et les ressources.
Comment ça marche ?
La solution Software Defined Perimeter établit une connexion chiffrée sécurisée entre les terminaux des utilisateurs et les applis en n’autorisant que les utilisateurs authentifiés et approuvés à accéder aux ressources du réseau. On peut déployer l’appli partout, sur Internet, dans le cloud, dans un centre d’hébergement, sur le réseau privé d’une entreprise ou entre ces différents emplacements.
Le processus d’approbation se déroule comme suit :- Les applis sont sélectionnées : les utilisateurs sélectionnent l’appli Software Defined Perimeter sur leur appareil.
- Les appareils et la position géographique sont validés : le contrôleur Software Defined Perimeter valide les appareils des utilisateurs, les certificats et les emplacements géographiques.
- Les chemins sont définis et l’accès à l’appli est validé : le contrôleur crée un chemin et confirme l’accès de l’utilisateur aux applis d’entreprise.
- Les tunnels sont créés et les ressources sont connectées : les passerelles des applications créent des tunnels sur le réseau et connectent les utilisateurs aux ressources.
- Les utilisateurs sont autorisés à accéder à l’appli : les utilisateurs approuvés ont désormais accès aux applis dont ils ont besoin.
Il est facile d’imaginer où ce périmètre sans cesse changeant pourrait être utilisé dans la vie de tous les jours. Imaginez une institution financière victime d’une cyberattaque. Plutôt que de geler les comptes bancaires au risque de faire paniquer les clients, une fois que l’appli SDP est activée, les clients ont directement accès à leurs comptes via les applis de la banque. Les applis sont elles-mêmes cantonnées par SDP, qui assure un accès sûr et continu et la conduite des transactions sans perturbation. Parallèlement, l’équipe de la banque chargée de la cybersécurité surveille la compromission en temps réel et s’efforce en coulisses de la bloquer et de limiter son impact.
Prenons l’exemple du fabricant d’une boisson qui suit une « recette secrète », qui si elle était rendue publique provoquerait un désastre pour la marque. SDP pourrait garder secrètes ces précieuses informations et n’en autoriser l’accès qu’à quelques individus.
Les fusions et acquisitions sont ultra confidentielles, réservées à un cercle restreint de personnes autorisées à participer aux négociations. Un groupe SDP spécialisé peut s’assurer que certaines personnes uniquement aient accès aux documents sensibles, sous réserve d’authentification uniquement, et que les adresses en ligne soient cachées au public. L’information pourrait être partagée librement sans risque de compromis.
Il est crucial de protéger les infrastructures critiques pour la poursuite des opérations quotidiennes des nations et des populations. En utilisant SDP pour protéger les applications servant à contrôler les systèmes de gaz et d’électricité, les compagnies d’énergie et des services publics peuvent prévenir tout risque de compromission de leurs précieux systèmes.
Des résultats qui parlent d’eux-mêmesNous prenons très au sérieux la question de la cybersécurité. C’est pourquoi nous avons voulu tester les technologies SDP pour vérifier qu’elles protègent bien le bon fonctionnement des entreprises. La solution que nous avons mise en place a survécu à quatre hackathons organisés par la Cloud Security Alliance. Chaque année, nous faisons ‘fuiter’ plus d’information pour qu’il soit plus ‘facile’ pour les criminels de pirater le système et d’atteindre un site web protégé par SDP. Les adresses IP et les mots de passe ont été diffusés sur le web pour être librement utilisables, et une prime de 15.000 dollars était promise à quiconque parviendrait à pirater le système. Sur plus de 15 milliards de tentatives de piratage émanant de 104 pays sur une période de 30 jours, le résultat est sans appel : zéro compromission !