La sécurité par mot de passe n’est plus qu’une histoire du passé

L’analytique offre le moyen de dépasser les mots de passe, au profit d’un modèle plus sécurisé reposant sur le comportement normal de l’utilisateur, qui peut faire l’objet d’un suivi constant

Nous ne sommes pas tous capables de nous souvenir de ces mots de passe de 47 caractères, devant comporter au moins 5 signes spéciaux et 3 lettres majuscules. Parfois, il est même difficile de se souvenir du nom de notre animal de compagnie ou de notre boisson favorite. L’envie d’abandonner les mots de passe est depuis longtemps en cours de discussion. La question est de savoir comment les reléguer dans le passé.

En bien, nous avons la réponse ! L’analytique offre ENFIN le moyen de dépasser les mots de passe, au profit d’un modèle plus sécurisé reposant sur le comportement normal de l’utilisateur, qui peut faire l’objet d’un suivi constant. Qui a encore besoin des mots de passe ? L’identité est l’enjeu de la sécurité.

Comme nous tous, les enfants aiment les histoires pleines d’action. Heureusement, ce n’est pas ce qui manque dans l’univers de la sécurité. Après deux livres « littéraires », j’ai promis à mon fils une lecture un peu plus légère. A son entrée en classe de première, j’ai jugé le moment venu d’aborder l’un de mes ouvrages techniques préférés, Le nid du coucou de Clifford Stoll, qui suit la traque, vers la fin des années 80, d’un hacker qui s’était approprié les comptes inutilisés de chercheurs de l’université de Berkeley, et ce pour lancer des attaques vers l’extérieur.

Comme toute bonne énigme policière, le livre suit les indices laissés par le pirate à mesure qu’il se déplace dans les serveurs et attaque d’autres sites : en d’autres termes, sa « signature » numérique. Ce sont ces indices qui alertent l’administrateur système lorsque l’attaquant trouve de nouveaux comptes à exploiter. Bien que le hacker ait changé d’identité entre-temps, ses méthodes et sa signature numérique restent les mêmes, ce qui permet de le pister. Cette signature était distinctive car l’individu se livrait à des actions inhabituelles pour un chercheur, par exemple surveiller en permanence qui était connecté, vérifier quels programmes étaient en cours d’exécution ou encore rechercher des fichiers système particuliers.

Grâce à ces indices, l’auteur parvient à traquer le hacker et à déjouer ses tentatives de piratage de données militaires. Bien joué, Cliff ! Mais ce n’est là qu’un seul hacker, dans un cas précis. Aujourd’hui, les entreprises doivent surveiller des milliers d’utilisateurs, d’équipements, de sites, de réseaux, de clouds et de serveurs. La tâche est immense, en particulier pour celles ayant des ressources ou une expérience limitées dans le domaine de la sécurité informatique.

Face aux milliers de serveurs, de réseaux, de clouds et d’utilisateurs que nous devons surveiller aujourd’hui, comment gérer le niveau approprié de sécurité et d’accès pour chacun de ces utilisateurs ET de ces équipements (en fait, tout ce qui est connecté à Internet) ?

En réponse à ce défi, nous commençons à observer de nombreuses tentatives de mettre à profit l’analytique pour passer au peigne fin les nombreuses données provenant de milliers d’utilisateurs et de serveurs, ainsi qu’une infrastructure mondiale afin d’identifier les comportements suspects susceptibles d’aboutir au vol d’identifiants ou de données sensibles. Prenons l’exemple d’un utilisateur du marketing. En temps normal, cet utilisateur transfère quelques dizaines de mégaoctets en e-mails et en consultation de sites web, puis rentre chez lui. Le téléchargement ponctuel de plusieurs centaines de mégaoctets justifie-t-il de bloquer l’utilisateur ? J’espère bien que non ! Des vidéos pour un salon peuvent rapidement peser lourd et il serait dramatique de bloquer l’utilisateur à ce moment important.

Le moyen terme consiste à surveiller la progression du type d’activité habituelle de l’utilisateur et à en tirer des règles pour les systèmes d’intelligence artificielle ou d’apprentissage automatique, afin de définir ce qui constitue un comportement normal et de signaler toute anomalie. L’utilisateur tente-t-il tout à coup d’accéder à un serveur confidentiel ? Blocage immédiat.

Restez à l’écoute. Nous ne pouvons pas tous nous se métamorphoser en super-limiers comme Cliff qui a passé plus d’un an à traquer son hacker. Certains d’entre nous ont besoin d’un petit coup de pousse à l’aide d’outils analytiques.