L'Internet est brisé

A sa création, les créateurs d'Arpanet, le précurseur de l'Internet, l'ont envisagé simplement comme un moyen de relier un nombre relativement restreint de centres de recherche. Ils ne s'attendaient pas à ce que des criminels, des États-nations ou des activistes pirates tentent de voler des informations envoyées sur les réseaux. 21 ans après, il est pourtant urgent de "réparer" Internet notamment pour son absence de sécurité inhérente. Mais qui pour s'atteler à la tâche ? Et comment ?

L'Internet n'a pas été conçu pour être un réseau sécurisé. Cela peut sembler provocateur, mais lorsque les responsables du ministère américain de la défense ont jeté les bases d'Arpanet, le précurseur de l'Internet, ils l'ont envisagé simplement comme un moyen de relier un nombre relativement restreint de centres de recherche gouvernementaux et universitaires. Ils ne s'attendaient pas à ce que des criminels, des États-nations ou des activistes pirates tentent de voler des informations envoyées sur les réseaux. La sécurité n'était pas intégrée au système, et pourtant l'Internet a continué à se développer.

21 ans après la diffusion du premier message d'Arpanet de point à point, l'invention du World Wide Web par Sir Tim Berners Lee a permis à l'Internet de prendre une nouvelle voie, plus conventionnelle. Berners Lee a récemment déclaré : "Étant donné l'ampleur des changements qu'a connus le web au cours des 30 dernières années, il serait défaitiste et sans imagination de supposer que le web tel que nous le connaissons ne peut pas être amélioré au cours des 30 prochaines années."

Aujourd'hui, 85 % du trafic Internet des entreprises se déplace vers et depuis les services cloud - ce que ces inventeurs originaux n'avaient certainement pas prévu - et l'infrastructure sous-jacente est défectueuse ; elle n'a pas été construite en tenant compte des applications ou de l'échelle actuelles.

Ces défauts se manifestent pour les professionnels de la sécurité dans les compromis quotidiens qu'ils doivent faire entre performance et sécurité. Le déploiement d'outils de sécurité est pénalisé par une latence accrue. Le trafic est soumis à des contrôles, ce qui ralentit les flux de travail. Malheureusement, de nombreuses entreprises font la politique de l'autruche et préfèrent la performance à la sécurité, ce qui fait que leurs données sensibles s'échappent de l'organisation comme de l'eau à travers un tamis.

Défaillances des infrastructures et défis à relever

Pourquoi les entreprises ont-elles accepté un système non adapté à leurs besoins ? L'une des raisons est qu'il est pratique. Certaines entreprises sont plus que disposées à écarter le risque de cyberattaques au profit d'une réduction des frictions pour les utilisateurs s'il n'y a pas d'alternative évidente. Les secteurs plus réglementés, comme les services financiers ou la défense, n'ont pas d'autre choix que d'avoir un état d'esprit "sécurité d'abord", et ils finissent par contrôler le trafic au détriment de l'expérience de l'utilisateur.

Depuis des années, les fournisseurs disent aux entreprises que ces compromis entre la sécurité et l'expérience utilisateur sont simplement intégrés dans les règles. Ils peuvent leur proposer de meilleurs pneus et de nouveaux freins (temps de rafraîchissement du matériel !), mais ils ne peuvent pas changer le fait que l’on conduise une voiture obsolète ou que les routes sont pavées. Et comme ils ont construit et promu ce système défectueux, ils ne sont guère incités à le remplacer par quelque chose de nouveau qui finira par cannibaliser les solutions dont ils font l'éloge depuis des années.

Aujourd'hui, l'Internet est présent dans tous les aspects de notre vie culturelle et économique. Il est utilisé par des entreprises du monde entier pour accéder à tout, des applications critiques aux articles de blog. Il semble probablement impensable de le casser et de le remplacer par quelque chose de nouveau.

Il ne serait pas logique que des entreprises individuelles construisent leurs propres réseaux privés de classe opérateur. Et dans l'écosystème actuel, les opérateurs de réseau ont peu de raisons de proposer une telle alternative. L'opérateur qui fournit à une entreprise un accès à l'Internet ne gagne pas plus d'argent si celle-ci utilise ses services plus souvent. En fait, il perd de l'argent si elle et tous les autres téléchargent constamment de gros fichiers et diffusent des vidéos en continu, car cela fait exploser ses modèles de coûts. Ils ne sont pas incités à développer leur infrastructure au-delà du strict minimum.

Les fournisseurs de services cloud ont certes intérêt à ce que leurs réseaux internes fonctionnent bien, mais ils n'ont pas de raison de faciliter l'entrée et la sortie rapides des clients. Si les fournisseurs de ce type de services disposaient d'un accès rapide et performant à leurs réseaux, les clients pourraient utiliser plusieurs fournisseurs, voire des centres de données appartenant aux clients - ce que ne souhaitent pas les fournisseurs de services cloud !

Ni les opérateurs ni les fournisseurs de services cloud n'ont la motivation nécessaire pour résoudre le dilemme performance/sécurité auquel toutes les entreprises sont confrontées avec l'Internet actuel.

Alors, qui le construira ?

Netflix a cessé d'envoyer des DVD par la poste et a investi dans la construction de sa propre plateforme de streaming. Amazon a dépassé son infrastructure sous-jacente et a construit AWS.  En tirant les leçons de ces approches, nous pensons qu'il est temps que l'industrie de la sécurité prenne les choses en main et construise les réseaux sécurisés nécessaires pour faire le travail.

Avec l'explosion de l'informatique parallèle et des applications auxquelles les employés et les clients peuvent accéder directement, la sécurité doit devenir la force motrice de l'évolution de l'Internet. L'industrie de la sécurité ne peut plus expédier des appareils qui se trouvent dans les recoins des centres de données, ce qui exige des compromis en matière de réseaux.  Il doit cesser d'être le limiteur et devenir le facilitateur, en construisant une infrastructure capable de mettre en œuvre des contrôles de sécurité en ligne puissants et dynamiques tout en étant capable de toucher toutes les adresses IP du monde en 50 millisecondes ou moins (cela semble ambitieux mais nous avons déjà prouvé que c'était parfaitement possible).

Comme pour les grands projets de connectivité du passé, l'objectif doit être à la fois simple et ambitieux : maintenir une connectivité rapide et fiable vers toutes les régions du monde sans compromettre la sécurité. Car l'alternative n'est tout simplement plus acceptable.

La sécurité peut parfois être perçue comme un travail ingrat. Même si on gagne la bataille entre la vitesse et la sécurité, l’on finit toujours par être blâmé pour avoir ralenti les choses et rendu le travail de ses collègues plus difficile. Il n'est pas étonnant que la sécurité soit devenue une préoccupation secondaire pour les PDG et autres dirigeants d'entreprise. Peut-être préfèrent-ils ignorer le problème si cela signifie qu'ils peuvent éviter les obstacles opérationnels. Mais dans ce nouveau paradigme que nous avons expliqué, les responsables de la sécurité peuvent devenir des héros. S'ils deviennent les défenseurs de cette nouvelle approche, ce sont eux qui auront le mérite d'avoir renforcé à la fois la vitesse et la sécurité. Sinon, ils risquent d'être laissés pour compte.

(écrit en collaboration avec Jason Hofmann)