La micro-segmentation au service de la Loi de Programmation Militaire

La Loi de programmation militaire (LPM) impose aux Opérateurs d’Importance Vitale (OIV) de mettre en œuvre des règles de cloisonnement et de filtrage. La micro-segmentation répond à ces enjeux, tout en restant plus agile que le cloisonnement réseau traditionnel.

Dans le domaine de la cybersécurité, la Loi de programmation militaire a des conséquences sur les opérateurs d’importance vitale. Entre autres choses, elle impose de mettre en œuvre des mesures de cloisonnement (règle n°16), de filtrage (n°17) et de cartographie (n°3) des Systèmes d’Information d’Importance Vitale (SIIV). Ces règles ont pour objectif de renforcer la sécurité des composants les plus importants du système d’information (SI) des entreprises françaises. Ces exigences se retrouvent peu ou prou dans d’autres textes de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Si la LPM n’impose pas de solutions spécifiques, elle suppose de définir des approches comportant les éléments d’architectures aptes à répondre aux différentes exigences. Il est ainsi demandé d’assurer le cloisonnement des systèmes d’information d’importance vitale (SIIV) vis-à-vis de l’extérieur, à savoir des autres composantes du SI de l’opérateur, des composants tiers, et de cloisonner les sous-systèmes du SIIV entre eux (autrement dit, isoler les briques logicielles).

S’adapter à un environnement technologique changeant

Le besoin de compartimenter les échanges d’information sur un réseau n’est pas nouveau. Les premières solutions sont en effet apparues à la fin des années 80, sous forme de pare-feux logiciels ou physiques. Ces solutions, toujours utilisées aujourd’hui, sont extrêmement efficaces à condition d’être correctement configurées et administrées. La protection d’un SI peut en effet demander de mettre en œuvre plusieurs milliers, voire dizaines de milliers, de règles de filtrage.

Si cette approche traditionnelle est pertinente pour des environnements simples et qui évoluent peu, elle s’avère toutefois extrêmement limitée pour protéger des infrastructures plus complexes. La montée en puissance du Cloud et l’avènement de nouvelles manières de penser une infrastructure, à l’instar de la conteneurisation qui repose sur la création et la suppression de centaines de machines virtuelles, a rendu nécessaire la création d’approches plus agiles.

Ce constat a donné naissance à une nouvelle technique de cloisonnement : la micro-segmentation. Son objectif est de permettre la création de règles de sécurité directement au niveau d’un workload (représentation d’une capacité informatique située dans le Cloud). Cette approche est généralement peu intrusive et cherche à limiter les changements importants (conservation de l’adressage IP, utilisation de composants natifs…). De ce fait, la micro-segmentation permet de s’affranchir des contraintes techniques liées à l’infrastructure sous-jacente et lie le déploiement des politiques de sécurité au déploiement applicatif.

La micro-segmentation ne repose pas sur une technologie unique et les éditeurs proposent au contraire des approches diversifiées : la solution Cisco Tetration s’appuie ainsi sur des appliances, physiques ou virtuelles, au niveau du réseau ; VMWare NSX utilise les fonctionnalités d’un hyperviseur ; Palo Alto Networks cloisonne selon l’utilisateur grâce à un référentiel d’identités, Illumio repose sur des agents installés au niveau des workloads pour contrôler leur pare-feu et chiffrer les données échangées.

Quelle que soit la technologie retenue, la micro-segmentation s’inscrit dans le modèle de l’Infrastructure as Code, à savoir un modèle architectural qui s’appuie sur des scripts qui sont interprétés pour provisionner des infrastructures. Pour y parvenir, les outils de micro-segmentation permettent à l’utilisateur de manipuler les règles de sécurité avec un métalangage, proche du langage naturel. Elles peuvent ainsi être intégrées à une démarche DevOps, en permettant aux équipes métier de créer leurs règles puis de les implémenter de manière programmatique.

La micro-segmentation n’est néanmoins pas une fin en soi. L’évolution des techniques et des besoins fait émerger de nouvelles approches, qui pourraient s’avérer tout aussi pertinentes. Parmi les dernières tendances, on trouve ainsi la nano-segmentation, qui opère un cloisonnement non plus au niveau applicatif mais au niveau des processus.

Retour d’expérience : utiliser la micro-segmentation pour atteindre les objectifs de la LPM

Depuis 2018, plusieurs grandes banques françaises travaillent, notamment avec IBM, à la conception et à la mise en œuvre de solutions pour répondre aux exigences de cloisonnement et de filtrage de la LPM.

Cette tâche est rendue délicate par la diversité des métiers du secteur bancaire : certaines entreprises sont par exemple à la fois banque d’investissement et banque de détail. Les différences au niveau des métiers se traduisent par des différences culturelles que l’on retrouve au niveau des SI. Pour la banque de détail, le SI tend ainsi à être segmenté au niveau réseau et bien compartimenté, avec de multiples pare-feux. Côté banque d’investissement, on trouve au contraire des réseaux plutôt plats, moins cloisonnés. Ceci s’explique par les spécificités de cette activité, qui nécessite en général plus de réactivité et qui pourrait être entravés par la lourdeur de la gestion des règles de filtrage des pare-feux.

Cette diversité se retrouve au niveau des environnements techniques. Un SI type est ainsi constitué de serveurs physiques, de mainframes mais aussi de serveurs virtuels hébergés dans un datacenter privé ou dans le Cloud.

Pour cloisonner un SI bancaire, plusieurs approches peuvent coexister. Certains équipements, comme les mainframes, nécessitent souvent l’élaboration de solutions spécifiques pour respecter la LPM. Pour le reste du SI, une méthode bien connue est de créer des DMZ (sous-réseaux séparés du réseau principal par un pare-feu), avec réseau spécifique physique ou virtuel (VLAN) et pare-feu. Cette solution convient pour les applications déjà bien cloisonnées (notamment celles correspondantes à l’activité de banque de détail). Pour les autres applications, cette approche traditionnelle est souvent très coûteuse, avec un risque opérationnel élevé, et des délais trop longs. Ceci explique pourquoi les banques se tournent de plus en plus vers une technologie plus innovante : la micro-segmentation.

Cette solution permet une certaine granularité, car la micro-segmentation s’effectue au plus près des workloads et donc des applications. Elle permet de répondre aux exigences de filtrage et de cloisonnement (logique en l’occurrence, par le chiffre) contenues dans la LPM.

Chronique co-écrite avec Franck Thicot, Associate Partner, IBM Security