Securing Your Digital Business

Sécurisation de votre entreprise digitale

Un entretien avec Josh Shaul, VP, Web Security Products

Quelle est la chose la plus importante que les CIO (directeurs des systèmes d'information) et autres hauts dirigeants d'entreprise doivent savoir concernant la sécurité de l'information aujourd'hui ?

Nous nous trouvons dans une nouvelle ère de la sécurité de l'information. Le modèle traditionnel du « château fort » sur lequel les entreprises ont compté pendant des décennies (entourer le « château » de données, d'applications et de réseaux d'entreprise par des « douves » formées par un périmètre de sécurité et des pare-feu) devient désuet et de plus en inapproprié. Les applications, les données et les utilisateurs se sont déplacés à l'extérieur du pare-feu et dans le cloud. De plus, ils parcourent l'Internet public. Ils ont « franchi les douves » et les systèmes de sécurité traditionnels se retrouvent en grande partie à garder un château vide.

Qu'est-ce qui dirige tout ce mouvement vers le cloud ?

Aujourd'hui, toute entreprise est digitale et Internet constitue une partie essentielle de l'infrastructure des informations. C'est le connecteur principal entre les charges de travail basées dans le cloud et les données et applications sur site. Il s'agit du lien pour des millions, voire des milliards de terminaux connectés qui composent l'Internet des objets.

Les entreprises doivent être dans le cloud pour diverses raisons :
  • Premièrement, pour offrir des expériences digitales rapides et stimulantes aux clients. Leurs attentes de vitesse, de fiabilité et de personnalisation des expériences Web et mobiles continuent de s'intensifier. C'est pourquoi nous estimons qu'« une connexion lente équivaut à une déconnexion ». Dans cette économie digitale, il y a toujours une alternative et les clients impatients iront rapidement ailleurs.
  • Deuxièmement, pour permettre la productivité des employés. Les employés d'aujourd'hui doivent travailler à domicile, durant des trajets et depuis des sites de clients. De plus, ils peuvent avoir besoin d'accéder à leurs systèmes et applications partout dans le monde et en déplacement.
  • Troisièmement, pour collaborer avec les partenaires commerciaux. Il s'agit d'une communauté digitale mondiale de fournisseurs, de partenaires et d'entrepreneurs. Tous ont besoin d'un accès sécurisé, rapide et fiable à des parties d'applications et de données d'une entreprise.
  • Quatrièmement, pour conduire la transformation digitale des entreprises. Pour numériser et accélérer les processus opérationnels, améliorer les produits et les services avec la technologie, lancer de nouvelles applications digitales pour les clients, ouvrir de nouveaux marchés et mondialiser leurs marques, les entreprises doivent exploiter les ressources dans le cloud.

Quelles sont les implications pour les risques commerciaux ?

Les entreprises digitales comptent désormais sur Internet pour fournir des niveaux stratégiques de rapidité, de fiabilité et de sécurité, choses pour lesquelles il n'a jamais été conçu, même dans les meilleures conditions. En attendant, les conséquences des cyberattaques sur le chiffre d'affaires, les opérations commerciales et la réputation de la marque peuvent être extrêmement graves.

L'épine dorsale d'une entreprise digitale (les sites Web et les applications basées dans le cloud) est sous la menace constante d'attaques d'acteurs malveillants. Les API qui servent de tissu conjonctif pour les applications et les expériences digitales créent une porosité dans les périmètres de sécurité et ouvrent des centaines, voire des milliers de nouveaux points de terminaison que les attaquants peuvent exploiter. Les VPN, les contrôles d'accès utilisateur, les coffres de certificats, les systèmes d'authentification : tous ces mécanismes de sécurité traditionnels fournissent en fait des points potentiels d'attaque et d'exploitation.

Par ailleurs, ce n'est pas seulement la distribution de l'infrastructure et des données dans le cloud qui crée de nouveaux risques. C'est le processus même de créer ces applications et ces expériences digitales, en raison du réseau croissant de personnes devant accéder à des logiciels, des réseaux et des systèmes pour développer et gérer les applications qui alimentent la stratégie digitale d'une entreprise.

Pourtant, alors que les entreprises adoptent le cloud, elles ont toujours les mêmes exigences en matière de sécurité, de protection des données sensibles et de conformité. Celles-ci ne changent pas. Cependant, l'exposition aux attaques et le profil de risque sont désormais exponentiellement plus importants et ces exigences doivent être respectées de manière différente. Le CIO de l'ère digitale est mis au défi de trouver une façon d'assurer la sécurité et la conformité sur le réseau de plus en plus distribué et dans le cloud, dont l'entreprise dépend davantage chaque jour. Les entreprises doivent être dans le cloud et sécurisées dans le cloud.

Veuillez en dire plus sur la façon dont l'écosystème des menaces évolue.

Les pirates d'aujourd'hui ne sont plus seulement des cybercriminels opérant avec les ressources et les outils les plus avancés. Les utilisateurs quotidiens ont le pouvoir de mettre en scène des attaques complexes et fortement réparties. En profitant de boîtes à outils et de services de « location d'attaques » disponibles librement et hautement sophistiqués, des débutants ainsi que des cybercriminels expérimentés ont la capacité de mettre hors service et d'exploiter des sites Web mondiaux avec des attaques DDoS (par déni de service distribué) pour une fraction du coût, de l'effort et de la complexité traditionnels.

Ces attaques ne sont pas simplement plus faciles à monter, elles sont aussi beaucoup plus sophistiquées et dangereuses. Auparavant, le plus grand risque pouvait être d'avoir des fichiers de produits sensibles volés ou des mots de passe de réseau compromis. Désormais, les entreprises digitales doivent faire face à des centaines de nouvelles vulnérabilités qui se seraient apparentées à de la science-fiction il y a seulement quelques années : des programmes malveillants qui « volent » des fichiers et les retiennent en otage pour réclamer une rançon, des bots d'extracteur pouvant saisir des données de carte de crédit durant les microsecondes où elles sont déchiffrées et vulnérables dans la mémoire, des attaques coordonnées utilisant des armées de terminaux IoT (Internet des objets) connectés (thermostats, ampoules, routeurs Wi-Fi) pouvant mettre un site hors service. Dans chaque cas, les approches traditionnelles de sécurité ne peuvent tout simplement pas faire face efficacement à ces attaques, dans ce monde basé dans le cloud.

Quelles nouvelles approches sont nécessaires ?

Les entreprises nécessitent de nouvelles approches, non seulement pour assurer la sécurité, mais aussi pour concevoir leurs besoins en sécurité, en premier lieu.

Du côté de l'approvisionnement, nous avons besoin d'une sécurité créée selon le mode de fonctionnement du cloud, élaborée pour tirer avantage de la configuration d'Internet, pas pour essayer de la défier. La protection doit être répartie partout où les actifs de l'entreprise se trouvent. Les approches centralisées et traditionnelles de sécurité ne peuvent tout simplement pas faire cela. De plus, il est peu pratique sinon impossible d'essayer de déplacer toutes les architectures de sécurité vers le cloud.

Chez Akamai, nous commençons avec deux hypothèses. Premièrement, l'entreprise n'est plus le périmètre. C'est plutôt l'ensemble du cloud qui est le nouveau périmètre. Ou peut-être mieux formulé : le périmètre s'est entièrement évaporé. Deuxièmement, nous travaillons avec ce que Forrester appelle le « réseau Zero Trust » : tout le trafic réseau est potentiellement suspect. Dans ces conditions, la sécurité doit être omniprésente et doit s'adapter aux utilisateurs, aux données et aux applications, partout où ils se trouvent.

La sécurité, les règles et les contrôles doivent passer de l'entreprise « château » à la « périphérie » du cloud. Cela rend la sécurité plus complète et plus portable. Par exemple, si la sécurité n'est pas liée à une configuration d'infrastructure spécifique, lorsqu'un fournisseur de services Internet devient indisponible, l'entreprise peut se déplacer simplement et de façon harmonieuse entre les fournisseurs, confiante que les utilisateurs, les applications et les données restent sécurisés dans n'importe quel nouvel environnement.

Et du côté de la conception de la sécurité ?

Les entreprises essaient généralement d'établir des niveaux de protection fondés sur la valeur et la sensibilité des actifs. Par exemple, les données client obtiennent des protections supplémentaires. Cependant, l'approche tend à être rudimentaire et pas très granulaire : c'est une protection supplémentaire, sous la forme « autorisation ou refus ». Et ce n'est pas tout. Il faut aussi tenir compte de la façon dont les actifs peuvent être exposés par les applications et la transmission. À quels dangers spécifiques l'entreprise est-elle exposée et comment peuvent-ils être atténués ? Jouez les scénarios d'attaque et de perte d'actifs. La combinaison de la valeur des actifs et de l'exposition potentielle devrait déterminer les tactiques de protection.

À un niveau plus global, une entreprise peut suivre les procédures et les meilleures pratiques prescrites par les normes internes, celles du secteur et la conformité réglementaire, sans être encore protégée de façon adéquate contre les cyberattaques. En effet, comme nous l'avons évoqué, l'écosystème des menaces et de la sécurité est en constante évolution. L'objectif est d'être suffisamment agile pour traiter rapidement de nouvelles menaces. Cela exige une plateforme technologique de sécurité flexible, pas uniquement un ensemble de solutions spécifiques actuelles. Vous devez donc concevoir votre approche de la sécurité pour bénéficier d'une flexibilité future ainsi que d'une protection immédiate.

Comment une sécurité plus répartie fonctionne-t-elle ?

Dans le cloud, plus grand est assurément mieux. Les exigences de performance et de sécurité d'une plateforme de diffusion dans le cloud ne peuvent tout simplement pas être respectées sans une capacité de montée en charge et une distribution importantes. Ainsi, Akamai déploie plus de 200 000 serveurs dans 130 pays sur Internet, assurant pas moins de 30 % du trafic Web mondial à tout moment.

Une capacité de montée en charge et une distribution importantes créent une grande visibilité : d'énormes quantités d'informations en temps réel sur les utilisateurs, les performances des terminaux, les performances de réseaux et les performances d'Internet dans son ensemble. Ces informations forment l'épine dorsale des capacités de sécurité fondées sur le périmètre du cloud. Cela inclut une vue en temps réel inégalée des vulnérabilités de sécurité sur Internet, notamment toutes les attaques contre les entreprises que nous prenons en charge.

Ces renseignements en matière de sécurité en temps réel signifient que, tandis que les menaces évoluent, la capacité de les arrêter évolue parallèlement, déjouant les attaques d'applications Web et DDoS à la périphérie d'Internet. Dans la plupart des cas, Akamai est en mesure de bloquer les attaques à une distance d'un seul point de réseau des pirates eux-mêmes. Cela permet de maintenir le trafic malveillant aussi loin que possible du centre de données de l'entreprise.

Vous ne pouvez pas acheminer le trafic plus rapidement qu'Internet, à moins que vous ne soyez partout, mesurant et comparant chaque chemin possible. Vous ne pouvez pas voir les menaces à la sécurité au moment où elles apparaissent, à moins que vous ne soyez sur les réseaux d'où elles sont issues, n'importe où dans le monde. Par ailleurs, vous ne pouvez pas vous défendre de façon fiable contre les attaques DDoS, à moins que vous n'ayez une capacité plus importante que celle avec laquelle vous êtes attaqué. Encore une fois, plus grand signifie mieux.

Quelles sont certaines façons spécifiques dont les entreprises peuvent tirer parti de la sécurité dans le cloud pour reconfigurer et améliorer leur protection ?

Le défi de base se trouve autour de l'accès. Fournir un accès à des applications et à des données, qu'elles soient hébergées dans le cloud ou dans un centre de données traditionnel, nécessite d'ouvrir des méthodes d'accès qui représentent une énorme surface d'attaques potentielles pour les acteurs malveillants. Ainsi, comment une entreprise peut-elle fournir un accès à distance rapide, simple et sécurisé qui « repousse les utilisateurs malveillants » sans gêner ou ralentir votre entreprise ? Prenons deux exemples.

Dans un modèle de sécurité traditionnel, basé sur un pare-feu, vous fournissez généralement aux utilisateurs extérieurs un accès VPN au réseau d'entreprise, parfois même allant jusqu'à leur expédier un ordinateur portable d'entreprise préconfiguré pour l'accès. Malheureusement, cet accès VPN est un énorme vecteur d'attaques potentielles et de nombreuses failles de sécurité notables sont survenues précisément de cette façon. La meilleure solution est de connecter des applications derrière le pare-feu, uniquement à une petite application Web exposée à l'Internet public. Puisque le connecteur du pare-feu ne peut communiquer qu'avec l'application souhaitée et rien d'autre sur votre réseau, vous ne pouvez pas ouvrir l'ensemble de votre réseau à un utilisateur VPN.

Un autre scénario courant prend en charge l'accès des filiales aux applications d'entreprise. La configuration traditionnelle serait de connecter le réseau de la filiale à un réseau étendu (WAN) privé et ensuite à votre centre de données d'entreprise, de sorte que le trafic soit à l'intérieur du « périmètre d'entreprise » et protégé par le pare-feu traditionnel. Mais que se passe-t-il lorsque l'employé d'une filiale accède à l'Internet public par une connexion directe ? Soudain, rien ne va plus. Cette connexion peut facilement être exploitée par des programmes malveillants, des tentatives d'hameçonnage et d'autres menaces, en dehors de la protection de la sécurité d'entreprise.

L'approche d'Akamai est ici de surveiller les demandes de service de noms de domaine sur Internet en temps réel et d'évaluer les domaines intelligiblement pour le risque de menace. Les utilisateurs sont automatiquement et immédiatement empêchés d'accéder accidentellement ou intentionnellement à des domaines et à des services malveillants. Cette validation se produit en millisecondes, avant même qu'une connexion IP ne soit faite, arrêtant ainsi les menaces très tôt dans la « chaîne d'attaque » et loin du périmètre de l'entreprise.

Quels sont les points à retenir pour les CIO ainsi que d'autres dirigeants d'entreprise et responsables de la technologie ?

Si votre entreprise n'est pas déjà digitale, elle le sera. Si vous n'êtes pas déjà dans le cloud, vous le serez. Vous devrez fournir les expériences digitales les meilleures et les plus sûres pour vos clients, employés et partenaires commerciaux, peu importe où ils se trouvent ou les terminaux qu'ils utilisent.

Car aujourd'hui, l'entreprise digitale vit et travaille dans le cloud, sa sécurité de l'information doit aussi y vivre et y travailler. Les clés de la performance et de la sécurité basées dans le cloud représentent une capacité de montée en charge, une distribution ainsi qu'une visibilité importantes. Vous devez noter ce qui se passe, peu importe où cela se passe, et répondre aux menaces en temps réel.

Les actifs digitaux ont déjà « franchi les douves » et sont passés au-delà du contrôle des méthodes de sécurité traditionnelles. La sécurité basée dans le cloud est devenue essentielle. Elle peut considérablement améliorer la stratégie de sécurité de l'entreprise et réduire ses risques commerciaux. Elle peut permettre à l'entreprise de mener et d'étendre ses activités digitales avec confiance et ambition.

Related CIO Content