La confiance au centre de toute stratégie de sécurité

Voilà qui finirait par lasser… Pratiquement chaque orateur de la récente RSA Conference de San Francisco, la plus importante conférence au monde sur la sécurité, dressait le même constat : l’environnement IT est extrêmement dangereux et les risques ne cessent de croître. Mais si l’homme et la machine (lisez : l’ordinateur) collaborent davantage, le défi pourrait être relevé.

Le fait que la cyber-sécurité soit un thème désormais sur toutes les lèvres a une nouvelle fois été démontré par le nombre de participants à cette conférence : pas moins de 42.000 ! Des experts en sécurité du monde entier y étaient présents, tandis que plus de 700 sociétés proposaient leur offre dans ce domaine (y compris des administrations publiques avec la NCSA). Chacun des fournisseurs présentait certes l’un ou l’autre produit apportant une réponse à l’un des aspects de la sécurité, mais la teneur globale de l’événement était que des produits isolés ne permettent pas de construire une sécurité absolue. ” Seule une approche intégrée peut vous éviter de vous enfermer dans des silos opérationnels qui débouchent sur des failles de sécurité, estimait d’emblée Art Gilliland de Symantec. Cela ne signifie toutefois pas qu’il faille choisir un seul et même fournisseur, mais bien des technologies basées sur des API ouvertes qui permettent d’exploiter et de combiner les fonctionnalités de chacun. ” Symantec a ainsi joint l’acte à la parole en regroupant pas moins de 120 entreprises autour de sa plateforme ICD (Integrated Cyber Defense) de cyber-sécurité (dont des noms connus tels que AWS, IBM, Microsoft et Oracle).

Exit les offres autonomes

Par ailleurs, il existe une autre forme d’intégration qui suscite toujours plus d’intérêt : la sécurité encapsulée dans chaque facette de l’organisation. Une récente étude de Deloitte montre ainsi que moins de 20% des entreprises s’intéressent à la sécurité au niveau de leurs entités. Le consultant plaide dès lors pour encapsuler la sécurité dans chacun des processus pour éviter que celle-ci ne soit considérée comme un frein à la production. A quoi il faut ajouter que les volumes de données explosent – selon IDC, de 61% cette année à 175 zetta-octets -, d’où l’augmentation des risques de failles. L’enquête de Deloitte indique par ailleurs que 90% des organisations ont connu des problèmes de fuite de données de production sensibles au cours de l’année écoulée.

Certes, le paysage ICT ne fait que se complexifier, tout le monde est d’accord. C’est ainsi que le cloud continue sa percée, ce qui modifie complètement la manière dont les entreprises gèrent, stockent et partagent leurs données et applications. Check Point met en garde dans son ‘2019 Security Report’ que l’infrastructure cloud présente, à côté d’avantages indéniables, un cadre attractif pour les criminels qui se régalent des quantités énormes de puissance informatique et de données sensibles auxquelles ils peuvent accéder. Idem au niveau de trafic de données mobiles qui explose et dont la sécurité est souvent une préoccupation accessoire.

IoT

Ce qui inquiétait également chaque participant à la conférence était l’IoT ou Internet des objets. C’est ainsi que Trend Micro a publié pour l’occasion un rapport où elle pointe le fait que des environnements complexes comme l’IoT, avec son mélange de serveurs isolés et de serveurs cloud, représentent un terreau idéal de menace pour les maisons et les bâtiments intelligents. Ils constituent en effet une plateforme d’automatisation complète où s’interconnectent et se gèrent toutes sortes d’appareils, mais qui, une fois piratée, ouvre la voie toute grande à des actions malveillantes de tous types – ouverture de portes sécurisées, désactivation d’alarmes, voire détournement d’assistants virtuels comme Siri ou Alexa pour mettre en oeuvre, grâce à la commande vocale, de nombreuses actions non désirées, que ce soit à l’intérieur de la maison ou dans la voiture. Et n’allons pas croire que vous êtes à l’abri : un babyphone dont le mot de passe standard n’a pas été modifié suffit pour pénétrer l’ensemble d’un réseau domestique et à en prendre la main.

Mais les risques de sécurité liés à l’IoT concernent également les entreprises, sachant que les usines déploient des équipements IoT qui sont toujours plus souvent interconnectés dans les ateliers afin de contrôler des événements, processus et appareils. La sécurité de la chaîne d’approvisionnement doit donc s’étendre aux centaines, voire aux milliers d’appareils susceptibles d’être piratés. Et un seul point faible peut impacter plusieurs entreprises dans une chaîne. Non seulement l’IT, mais aussi l’OT ou ‘operational technology’ est menacée – selon une étude de Fortinet, près de 90% de l’ensemble des organisations ayant une infrastructure OT en réseau auraient déjà été victimes d’une faille de sécurité.

Mortel pour les PME

Et ce n’est pas vraiment une surprise : ce sont surtout les PME qui s’intéressent à la sécurité, sachant que leurs infrastructures sont moins sophistiquées et que leur personnel est moins bien formé aux menaces. Comme le montre le rapport ‘AppRiver Cyberthread Index for Business Survey’, 58% des responsables de la sécurité de PME s’inquiètent davantage des cyber-attaques que d’un problème d’incendie, d’inondation, de grève ou même de vol. Et près de la moitié est convaincu qu’une telle attaque pourrait signifier la mort de leur entreprise.

A noter que les PME craignent que les attaques viennent surtout d’anciens collaborateurs mécontents plutôt que de pirates ou de concurrents. A juste titre d’ailleurs, comme le montre un rapport d’OneLogin, spécialisée en gestion d’accès, puisque 20% environ des entreprises ont déjà été victimes de vols de données par d’anciens employés. L’entreprise conseille dès lors à toutes les organisations d’interdire directement l’accès à l’ensemble de leur infrastructure dès que le collaborateur quitte les lieux. De même, le spécialiste de la sécurité Kaspersky propose une liste de conseils à l’intention des PME (voir encadré).

Confiance

La confiance : voilà sans doute le terme le plus souvent entendu lors de la conférence RSA.

” A mes yeux, la confiance signifie en premier lieu que l’organisation est parvenue à évaluer et à gérer les risques de sécurité, précise Rohit Ghai, président de RSA Security.

C’est pourquoi nous avons encore amélioré notre plateforme intégrée de gestion des risques RSA Archer afin de mieux contrôler les risques numériques grâce à l’IA et à l’apprentissage machine. Et pour garantir une flexibilité maximale lors de l’implémentation de notre solution, nous avons mis sur pied un partenariat avec Amazon Web Services afin de pouvoir déployer nos services de gestion des risques numériques où et quand nos clients en ont besoin. ”

Tout le monde n’était pourtant pas aussi enthousiaste quant à la mise en oeuvre de l’IA. Ainsi, Steve Grobman, CTO de McAfee, estime que l’IA peut certes constituer une base de la cyberdéfense afin de découvrir plus rapidement et plus efficacement les menaces, mais se montre par ailleurs réaliste en admettant que cette même technologie peut également être exploitée pour lancer des attaques par rançongiciel ou pour créer du faux contenu. ” Les cybercriminels peuvent mettre à profit l’IA pour mener des attaques plus sophistiquées encore et pour créer le chaos total en utilisant l’apprentissage machine. Finalement, l’IA pourrait susciter autant de nouveaux défis qu’elle n’apporte de solutions. ”

Toujours pour Rohit Ghai, les choses sont pourtant simples : l’homme et la machine doivent former un ‘duo de confiance’ où l’homme pose les questions et la machine tente d’y répondre. ” On peut comparer la situation aux débuts de l’ingénierie logicielle où les programmeurs travaillaient par paire pour ainsi générer un code de meilleure qualité et plus fiable. A ce niveau, la chaîne de blocs ou une ‘chaîne de confiance’ pourrait jouer un rôle intéressant. Mais une chose est claire : essayer uniquement, comme par le passé, de protéger nos infrastructures et nos applications ne suffira plus. “