Les modèles de sécurité doivent être repensés

L’importance croissante des infrastructures de communication a changé beaucoup de choses dans notre façon de voir la sécurité. Soudainement, le réseau est devenu le point central des stratégies de sécurité. Bloquer les menaces pour les empêcher d’entrer est devenu une priorité des DSI.

Le cloud bouleverse la sécurité telle que nous la connaissons. Nous vivons désormais dans un monde aux frontières floues où des menaces peuvent se profiler partout, à tout moment et où réseau interne et externe se confondent. La protection contre les menaces extérieures seulement n’a plus de sens maintenant que la moitié des menaces émanent de l’intérieur de l’organisation, du fait de pratiques de sécurité inadaptées, de tentatives de sabotage ou de groupes de hackers.

Il existe une solution simple mais extrême à ces menaces envahissantes : ne plus faire confiance à personne, ni à aucune application. Et, par extension, à l’époque de l’Internet des objets, ne plus faire confiance à rien du tout. Les entreprises qui veulent adopter une posture zéro confiance de la sécurité doivent identifier et combler toutes les brèches de sécurité risquant d’endommager leur bon fonctionnement. De récentes attaques par déni de service et autres cas de cybercriminalité avec exfiltration de données illustrent que même des éléments apparemment inoffensifs comme des portails de partenaires ou des e-mails en apparence officiels peuvent être un point d’entrée pour des menaces. Dans des cas extrêmes, même des systèmes CVC (chauffage, ventilation, climatisation) ont été utilisés abusivement pour dérober de précieuses informations client. Tout point d’entrée dans une entreprise doit être couvert par une stratégie complète de sécurité.

Alors, par où commencer ? Tout protéger d’emblée n’est pas réalisable à moins de pouvoir dédier des ressources illimitées à votre stratégie de sécurité. Les organisations doivent plutôt focaliser leurs premiers investissements de sécurité sur les domaines, les applications et les points d’accès qui comptent le plus. Un domaine critique souvent négligé est celui des communications unifiées.

Il y a quelques années quand les communications transitaient par des réseaux vocaux isolés distincts du datacenter, les applications vocales étaient considérées comme naturellement sûres car non connectées à Internet. La convergence des communications voix et données sur des réseaux communs fait que les services voix/UC et les terminaux deviennent tout aussi exposés et vulnérables à la compromission que n’importe quelle autre application d’entreprise ou composant d’infrastructure.

Du fait de ce qui est en jeu : voix, vidéo, e-mail, messages texte, partage de fichiers et surtout accès au réseau, les applications de communication unifiées représentent un grand risque. Les sessions de communications UC exposent systématiquement des ressources numériques critiques de l’entreprise. Le risque est différent de celui encouru pour les transferts de données. Les communications UC utilisent des protocoles complexes « avec état », elles tournent sur différents appareils et sont sensibles à la latence et à la perte de paquet. C’est pourquoi, une stratégie de sécurité basée sur les données, autrement dit protéger une session UC en-deçà d’un pare-feu, ne peut pas fonctionner. Pour les applications UC temps réel, il vous faut un type de pare-feu spécialisé : un contrôleur SBC (session border controller) de session en périphérie.

Mais qu’est-ce que cela a à voir avec le cloud ? Comme d’autres applications avant elles, les applications UC sont migrées dans le cloud pour profiter de gains d’efficacité, d’évolutivité et de flexibilité. Toutefois, cette transition des applications UC dans le cloud les fait sortir de l’environnement du datacenter privé et la nature mutualisée (multi-tenant) du cloud accroît la surface de menace potentielle des applications UC. Pour accompagner cette généralisation rapide des services UC hébergés dans le cloud, une stratégie de sécurité en plusieurs couches s’impose.

Mais la plupart des éléments de sécurité, comme le SBC, gèrent indépendamment leur propre contexte de sécurité et ne communiquent pas entre eux. Si les SBC sont une première étape de sécurisation du réseau, que pensez-vous de pouvoir orchestrer les politiques de service de tous les éléments impliqués dans la sécurité des services et du réseau ?

Prenons l’exemple d’un SBC qui détecte un terminal en train de perpétrer une attaque par déni de service. Au niveau de la couche applicative, le SBC peut mettre ce terminal sur liste noire mais il y a beaucoup plus à faire avec cette information quand le SBC agit seul. On peut optimiser ce modèle en considérant tous les éléments de la pile de sécurité (SBC, pare-feu, routeurs, etc.) comme des capteurs qui relaient des informations contextuelles de sécurité. Il peut s’agir de capteurs en ligne qui servent à gérer le trafic ou de capteurs de surveillance qui extraient des informations du réseau. Ces capteurs transmettent ces données à un domaine contextuel ou à un contrôleur de sécurité qui se charge des tâches analytiques, qui détermine les anomalies, qui identifie les menaces potentielles et qui recommande la meilleure stratégie à suivre pour les bloquer et assurer la prévention future. Cette notion de « sécurité en réseau » permet d’envisager des capacités de plus en plus sophistiquées de détection des menaces mais garantit aussi que les actions en réponse à une menace puissent s’appliquer à tout le réseau et non à un seul nœud de réseau.

Avec l’adoption rapide des solutions SaaS (software-as-a-service) par les entreprises, une autre préoccupation de sécurité liée au cloud vient de la nécessité qu’il y a à rationaliser l’administration et le contrôle des services numériques temps réel à l’échelle de l’entreprise tout en respectant les obligations de gouvernance et de conformité. Plus les entreprises seront adeptes de l’économie numérique, plus elles devront agir en ce sens et planifier leur sécurité avec des services mobilisant différents fournisseurs de services et des API différentes. Les entreprises doivent continuer à protéger leurs services numériques pour ne pas offrir une nouvelle voie d’attaque aux hackers.

Non seulement, les frontières traditionnelles entre les réseaux disparaissent avec le cloud, mais la frontière qui entoure les applications elles-mêmes s’estompe également. Les entreprises doivent protéger leur canal de communications entre terminaux ; mais aussi les chemins entre les différentes API invoquées pour créer l’application.

C’est un fait que les menaces pour la sécurité, les malwares, attaques DoS, virus, vont continuer d’évoluer rapidement. Les attaques DoS, par exemple, étaient à un moment la chasse gardée d’experts en informatique. A présent, on en trouve à la vente sur Internet pour moins de 10 dollars. De même, l’armée des botnets disponibles pour monter des attaques DDoS se chiffrera bientôt en plusieurs milliards d’objets connectés avec l’avènement de l’IoT.

Les solutions de sécurité doivent évoluer à un rythme plus soutenu que les menaces contre lesquelles elles luttent. Les entreprises doivent cesser de croire qu’elles peuvent tout bloquer à leur frontière et saisir l’occasion pour mettre en place une stratégie de sécurité contextuelle, dynamique et en temps réel capable de bloquer et de faire baisser le petit pourcentage des attaques vraiment néfastes, 100% du temps.