Le développement rapide du cloud comme part importante des systèmes d’information a un impact sur la cohérence des stratégies de cybersécurité des entreprises, et notamment les plus petites d’entre elles. C’est ce qui est ressorti d’un débat d’experts organisé en février, qui a étudié la pertinence des concepts comme le « zéro trust » ou le « SASE » face aux problématiques rencontrées par les organisations.
A lire aussi : [Interview] Cybersécurité, data, cloud privé… quels chantiers prioritaires à 24 mois pour les industriels français ?
Dès lors, faut-il essayer d’avoir une seule stratégie de sécurité qu’on décline sur les deux environnements qui n’ont rien à voir ? Ou bien deux approches différentes ? ». Le consultant spécialisé en cybersécurité Jérôme Saiz a introduit ainsi le contexte actuel et les questions pour de nombreuses entreprises, situées au milieu du gué d’une transformation numérique passant par le cloud. Il animait le débat d’experts organisé par l’agence Cymbioz sur les priorités des organisations sur le sujet.
Facile de mettre le doigt dans le cloud, plus difficile d’en sortir
Alexandre Reon, DSI à temps partagé, passé notamment chez Engie, a reconnu à cette occasion que tout le monde ne luttait pas à armes égales pour trouver les bonnes réponses : « Il y a une segmentation entre les grands groupes et les plus petites entreprises… Le mouvement du cloud a commencé il y a longtemps pour les plus grands, avec une exigence de réponses vis à vis de leurs grands prestataires. Les PME y sont allées plus récemment, mais surtout vite et en désordre. Ces dernières découvrent donc seulement maintenant toutes les implications en termes de gestion et de sécurité. ». Et le DSI de mettre en garde : « Il est très facile pour elles de mettre le doigt dans le cloud, mais ensuite elles arrivent à un palier de complexité qui fait qu’elles ne peuvent pas aller jusqu’au bout. Et elle commence à ressentir une certaine frilosité, en se disant : et si un jour je veux en sortir, que va-t-il se passer ? »
Puisque le 100% cloud n’est pas pour demain pour l’extrême majorité des organisations, celles-ci se retrouvent confrontées à un défi d’harmonisation entre les différents composants de leur SI. Pour Sylvain Journet, regional sales manager en Europe du Sud pour Versa Networks, la diversité des solutions numériques, cloud et on premise, employées aujourd’hui, exige une « couche supplémentaire » pour fédérer la gestion de l’ensemble. « Cet « overlay » est important pour la sécurité mais aussi pour la qualité de l’expérience utilisateur. Cette couche doit réunir des informations sur les environnements IaaS, quels que soient les clouds concernés, mais aussi sur les applications SaaS dont on a besoin de comprendre la performance. C’est une exigence métier autant qu’IT, pour avoir une approche hybride pérenne » souligne-t-il.
Eviter des pratiques de sécurité schizophréniques
La période de crise sanitaire a d’ailleurs exacerbé les problèmes d’incohérences. « On a vu le silotage entre les applications, les réseaux… se renforcer. Les choix se sont souvent faits sans concertation globale. Beaucoup d’entreprises se sont vantées d’avoir fait des projets de transformation en dix jours au lieu de six mois à partir du printemps 2020… mais cela a eu des conséquences » épingle ainsi Ivan Rogissart, pour Zscaler, entreprise spécialisée dans les stratégies de sécurité dites « zero-trust ».
Concernant ce concept, il précise : « Par le passé, on considérait que le réseau interne de l’entreprise était sécurisé et que le reste monde à l’extérieur du réseau était non sécurisé. Aujourd’hui, l’ouverture des systèmes d’information rend caduque cette vision. Mais cela créé aussi des pratiques de sécurité schizophréniques… Par exemple, à partir du moment où les données sont à « l’extérieur » il faudrait les chiffrer, mais quand tout est chiffré, les entreprises n’arrivent plus à analyser correctement et encore moins à contrôler ces données. Le cœur des stratégies zéro trust, c’est la gestion des identités : qui accède vraiment à la donnée ? Cela vaut pour les utilisateurs, mais également pour les serveurs et les postes de travail, afin d’être certain que chaque machine est bien ce qu’elle prétend être quand elle accède aux données. Derrière, cela permet d’avoir des mécanismes de micro-segmentation du système d’information, qui sont beaucoup plus efficaces et cohérents qu’un simple firewall. Et cela évite in fine qu’une infection fasse tomber l’ensemble du SI. ».
Le marché doit encore s’adapter à la nouvelle donne
C’est ce même appel à la cohérence que l’on retrouve chez Sylvain Journet de Versa Networks, avec un autre concept clé : le SASE, pour Secure Access Service Edge. « Gartner, qui a inventé le terme SASE, a mis en avant l’importance d’une vision unifiée du réseau et de la sécurité. C’est d’ailleurs à l’avantage des plus petites entreprises. Les grandes ont des équipes variées qui ont de nombreuses missions différentes ; la sécurité n’étant pas forcément intégrée partout. Chez les petits, c’est plus simple, leur organisation peut permettre plus naturellement cette vision unifiée. Le SASE revient à dire : mes utilisateurs travaillent de n’importe où, avec des applications qui sont aussi bien dans des clouds publics ou privés… Le périmètre est donc très diffus, et le seul point d’ancrage est que tout est relié par du réseau. C’est donc à partir de là qu’il faut orchestrer et mettre en musique les couches de sécurité ».
Prometteuses sur le papier, ces adaptations des stratégies de sécurité sont-elles cependant accessibles à toutes les entreprises ? Pour le DSI Alexandre Reon, le défi du marché est bien de rendre ces concepts disponibles au-delà des grands groupes, même si la France compte de plus en plus de champions de la cybersécurité pertinents : « Les PME ont une problématique de ressources et de compétences. S’adapter à ces nouveaux concepts est donc complexe pour elles, même si cela parait obligatoire. Je pense qu’une PME va devoir trouver des solutions intégrées, sur ces deux composantes réseaux et sécurité. De quoi leur faciliter la vie. Or, sur le marché cette intégration n’est pas encore très développée, beaucoup d’éditeurs spécialisés sont en retard : ils peuvent être forts sur une brique, mais pas sur une autre. Et à ce stade, il conviendrait plutôt d’écarter ces solutions limitées pour les PME. »
Par quoi commencer ?
Arnaud Lemaire, directeur technique en France de F5, expert de la sécurité applicative, abonde en ce sens. « Les entreprises font face à une pénurie de ressources sur ces sujets techniques et de sécurité, même pour les plus grandes. Et cela ne va pas se régler en quelques années. Tout pousse donc à une simplification, à la fois à travers de l’automatisation et de l’externalisation des services de sécurité. Pour résumer, les entreprises doivent « économiser du temps de cerveau », que ce soit sur les sujets réseau ou de sécurité…. C’est pour cela qu’on voit le machine learning, et plus généralement l’intelligence artificielle, se développer fortement sur ces aspects » détaille-t-il.
Mais avant d’en arriver là, par quoi peut commencer une entreprise ? Quels chantiers vont mettre une PME sur les rails ? Pour le panel d’experts interrogés, il s’agit en priorité d’oublier la notion de périmètre quand on pense la sécurité de son entreprise. Mieux vaut se concentrer sur les moyens qui permettront de bien connaître ses utilisateurs, humains comme machines. Cela doit permettre de faciliter la pratique du chiffrement/déchiffrement, au plus proche de l’utilisateur et l’émergence d’une seule politique de sécurité unifiée.
« Il existe des principes et des formats pour ces politiques de sécurité qui permettent d’aller vers cette homogénéité et de mieux chainer différentes solutions de sécurité, car on n’arrivera sans doute jamais à une seule solution unifiée » explique Ivan Rogissart. Cette base de départ permettre d’aller vers une plateforme ouverte, avec des API, pour centraliser les remontées de chaque solution, et donc de comprendre, s’adapter et réagir aux différents scénarios d’attaque. C’est aussi la base pour permettre une plus grande automatisation dans le futur. Enfin, cette remise en question doit avant tout passer par l’idée qu’une politique de sécurité ne peut pas être statique et rester identique d’une année à l’autre. En fonction des risques et des évènements cyber, l’entreprise – quelle que soit sa taille – doit pouvoir protéger différemment ses groupes d’utilisateurs en fonction de ce qu’elle sait de la menace et de leur exposition.