Taking Enterprise Security to the Next Level

Optimiser la sécurité de l'entreprise

Un entretien avec John Summers, Enterprise VP et GM, Akamai Technologies

Quelles sont les principales choses que les dirigeants d'entreprise doivent comprendre à propos des menaces sur la cybersécurité d'aujourd'hui ?

Reconnaître que le temps de la menace générique est révolu. Les menaces sont fortement ciblées sur votre entreprise par des gens dont la mission est de chercher quelque chose, souvent une propriété intellectuelle ou des informations personnelles ou financières. La mission peut aussi simplement consister à accéder aux activités de votre entreprise et de les espionner.

Les auteurs de ces actes sont hautement qualifiés et bien informés. Certains des meilleurs pirates pour déjouer des cyberdéfenses sont les acteurs d'un État-nation. Ils font preuve de ténacité et de patience. Ils font de leur mieux pour passer complètement inaperçus en faisant en sorte que leurs interactions avec votre infrastructure, vos activités et votre personnel semblent aussi inoffensives et habituelles que possible. C'est une nouvelle catégorie de menace. Elle a évolué au cours des dernières années et rend la sécurité beaucoup plus complexe.

Parallèlement, les dirigeants d'entreprise ont l'impératif d'orienter leurs sociétés vers une plus grande agilité et d'apporter de nouvelles valeurs aux clients et aux partenaires commerciaux, aux chaînes logistiques et de distribution. Les entreprises doivent numériser afin de pouvoir fonctionner et évoluer de plus en plus rapidement. Par nécessité, elles se connectent plus, communiquent plus et utilisent plus l'infrastructure cloud.

Ainsi, au moment même où les acteurs de la menace deviennent beaucoup plus sournois dans leurs manières de pénétrer dans l'infrastructure technologique, les entreprises doivent rendre leurs infrastructures plus perméables, pour ouvrir des connexions capables de rendre les sociétés compétitives. C'est la principale tension de la cybersécurité, aujourd'hui. Comment ouvrir l'entreprise pour évoluer plus vite, mais rester conscient des différentes menaces et s'en prémunir ?

Que devraient savoir les dirigeants d'entreprise au sujet des approches communes actuelles en matière de sécurité ?

En général, tout le monde dans le secteur de la sécurité est sorti de la couche de sécurité du réseau. C'est le monde des douves et des murailles, où il y avait un intérieur et un extérieur. Ce monde est en train de disparaître. Une entreprise hautement interconnectée possède quelques éléments d'infrastructure et ses utilisateurs ailleurs : pas derrière des murs, mais à l'extérieur avec des clients et des partenaires commerciaux, puis elle se connecte à nouveau à des applications stratégiques de la société, parfois à partir de sites éloignés.

Cette connectivité omniprésente rend l'ancienne approche de la sécurité réseau en grande partie non pertinente. Lorsque vous accédez à une application par le biais d'Internet, vous ne traversez pas un réseau que vous contrôlez. De ce fait, les contrôles de la couche réseau sont beaucoup moins efficaces pour détecter et écarter des cybermenaces.

Quelle est donc l'alternative nécessaire ?

L'approche de la sécurité doit évoluer à l'écart du réseau et jusqu'aux couches d'utilisateurs, de données et d'applications. Ce sont les nouveaux points de contrôle, les endroits pour surveiller les interactions commerciales dans le monde de l'infrastructure cloud. Vous devez savoir qui sont les utilisateurs. Vous devez savoir à quelles applications ils doivent avoir accès et ne leur donner que cet accès. De plus, vous devez vous assurer que les données qui se déplacent entre les utilisateurs et les applications sont les bonnes et qu'elles sont sécurisées durant leur transmission. J'appelle cela l'évolution de la sécurité de « paquet, port et protocole » à « utilisateur, données et application ».

La difficulté est que nous avons besoin de beaucoup plus de professionnels de la sécurité formés aux approches et aux contrôles nouveaux. En outre, les fournisseurs doivent faire basculer leur réflexion sur la sécurité d'entreprise dans le monde hautement distribué et connecté. Akamai a de réels avantages ici, car nous nous sommes développés en fournissant du contenu en toute sécurité sur Internet et avons construit notre plateforme directement sur le tissu du Web. Nous avons dû fonctionner au niveau des actifs (utilisateurs, données, applications, le terminal qui communique avec nous) pendant 19 ans. Cela implique une solide authentification, un chiffrement performant et une visibilité complète, indépendamment des réseaux utilisés.

Internet est composé d'environ 15 000 réseaux différents. Lorsque vous travaillez au cœur de cela, la sécurité de la couche d'actifs est votre seul choix. Nous sommes désireux de partager avec les clients ce que nous avons appris au cours de ces 19 ans, sur la façon d'optimiser la sécurité.

Veuillez en dire plus sur ce qui doit se produire en arrière-plan pour protéger ces actifs.

Vous avez besoin d'une visibilité sur les actifs et leurs comportements, afin de déterminer dans quelle mesure vous pouvez vous y fier et quel degré de risque l'entreprise peut encourir à leur faire confiance.

Nous avons toujours eu des identités d'utilisateurs dans un modèle de sécurité d'entreprise traditionnel, mais désormais, ces identités doivent être utilisées pour accéder à des applications, notamment à des applications SaaS majeures, hébergées dans le cloud plutôt que dans nos centres de données.

En tant qu'extension de l'utilisateur, nous avons besoin de connaître des éléments sur le terminal utilisé. Est-il géré par la société ou est-il un terminal en grande partie non géré, du choix de l'utilisateur ? Les stratégies et pratiques de sécurité doivent tenir compte du principe du BYOD, afin de faciliter les choses pour l'utilisateur.

Quelle que soit l'application dans le cloud, nous devons nous assurer que l'utilisateur accède à la bonne application et si l'application est entièrement fiable, seulement à moitié fiable, ou totalement inconnue. Cela est extrêmement important, par exemple, lorsque les utilisateurs sont la proie d'attaques d'hameçonnage en cliquant sur des liens semblant provenir de sources connues ou faire partie d'activités normales. Pour détecter d'éventuelles attaques, nous devons savoir ce qui est communiqué et connaître la fiabilité de la destination.

Ensuite, il y a les données. Essayer de les sécuriser commence par la compréhension de leur importance. Est-ce que les données transmises entre l'utilisateur et l'application sont essentielles à l'entreprise, pas si importantes ou est-ce que leur vol éventuel serait sans gravité ? La classification des données est véritablement naissante dans la plupart des entreprises. Les gens considèrent cela comme nécessaire et pourtant peu d'entreprises le font correctement. Un dirigeant de services financiers a confié qu'il n'y avait fondamentalement que deux classes de données : « Les choses pour lesquelles je peux avoir des problèmes et tout le reste. »

Dans la sécurisation de tous ces actifs, nous devons reconnaître que les décisions et les mesures de sécurité sont beaucoup moins évidentes qu'elles ne l'étaient. Il ne s'agit pas d'approuver ou de bloquer l'accès aux adresses IP. Tout n'est pas noir ou blanc. Nous devons être beaucoup plus nuancés dans nos décisions de sécurité, nous avons besoin de beaucoup plus de visibilité granulaire sur ce qui se passe et nous devons être beaucoup plus concentrés sur les risques encourus par l'entreprise dans l'application de la politique de sécurité.

Quels sont les avantages pour l'entreprise d'un modèle de cybersécurité plus axé sur les risques ?

L'objectif est de réduire les risques pour l'entreprise, pour la marque, tout en ne faisant pas obstacle à l'innovation, à l'accélération et au changement. Idéalement, les pratiques de sécurité permettent l'agilité de l'entreprise : elles permettent à l'entreprise de déployer de nouvelles applications en continu, sans que chaque nouveau lancement ne l'expose à des risques supplémentaires.

Cela représente un profond changement. La sécurité a historiquement été pensée comme un obstacle à franchir pour réaliser un objectif commercial. Le personnel de la sécurité se considérait souvent comme des gardiens : vous pouvez faire ceci, vous ne pouvez pas faire cela.

Au lieu de cela, la sécurité devrait fournir des conseils à l'entreprise sur la manière dont elle peut atteindre ses objectifs par des moyens qui comportent le moins de risques et le plus d'opportunités. La sécurité doit être considérée comme une source d'évaluation des risques et de conseils sur la façon de réduire les risques à un niveau raisonnable pour que l'entreprise exploite ces opportunités. Les CSO (responsables de la sécurité) doivent permettre à leurs collègues de choisir la quantité de risques que l'entreprise peut endosser. Aucune entreprise de sécurité ne peut réduire le risque à zéro.

Pouvez-vous donner un exemple de pratiques de sécurité permettant l'agilité de l'entreprise ?

Nous avons travaillé avec l'équipe digitale d'une grande société de services financiers. Elle était focalisée sur les nouvelles applications, l'innovation rapide, l'expérimentation rapide et la valeur ajoutée. Elle voulait être en mesure de déployer rapidement de nouvelles applications en faisant confiance à sa sécurité. Ensemble, nous avons élaboré une structure de déploiement d'applications avec une couche de sécurité intégrée, afin que toutes les applications soient conçues pour être entièrement évolutives et sécurisées.

Les outils de sécurité que l'équipe digitale utilisait, pour les contrôles et la surveillance, l'authentification et le contrôle d'accès, étaient tous inclus dans la structure. Cela permettait aux développeurs d'effectuer tout simplement leur travail de création de nouvelles applications. La sécurité n'était pas une étape supplémentaire à ajouter : elle était intégrée. Les méthodes de sécurité sont passées de l'état de barrière à celui de moteur.

Voici une extension de cette approche. Les applications intègrent de plus en plus les API et les communications entre machines. La plupart des entreprises ne prêtent pas beaucoup d'attention à la sécurité de ces communications entre machines, entre API et entre parties de logiciel. Elles lient un ensemble d'API, puis ajoutent un wrapper de sécurité seulement lorsque l'application communique avec le Web ou l'utilisateur.

Pourtant, si vous pouvez intégrer des communications sécurisées à la couche d'API, cela représente un énorme avantage pour toute application utilisant ces API. La sécurité est intégrée au logiciel et définit ce qui peut être envoyé et reçu par l'API. Les applications peuvent être déployées plus rapidement tout en étant plus soigneusement sécurisées.

Le principe fondamental ici est que la sécurité doit être conçue tandis que vous pensez à l'infrastructure de commerciale. Elle doit être intégrée à l'infrastructure et non superposée à une date ultérieure. Au moment où vous créez de nouvelles données, vous devez penser à leur importance pour l'entreprise, au lieu d'essayer d'ajouter une classification de sécurité ultérieurement. Lorsque vous déployez des applications, la sécurité doit déjà être intégrée. C'est le prochain seuil de la pratique de sécurité que les entreprises doivent franchir.

Par quoi les entreprises devraient-elles débuter pour obtenir une sécurité plus fondée sur les actifs et les risques ?

Vous voulez intégrer la sécurité plus directement dans le tissu de l'entreprise. Lancez l'exploration dans les processus métier et non dans l'infrastructure. Examinez les données échangées entre diverses étapes d'un processus et évaluez le risque potentiel pour l'entreprise de perdre certaines de ces données à chacune de ces étapes. Ensuite, mettez en place les contrôles de sécurité appropriés concernant les personnes pouvant participer au processus, l'authentification nécessaire à chaque extrémité des communications, ainsi que les limites et contrôles requis sur ces communications. Si vous pouvez réfléchir à la sécurité au niveau de la couche de processus métier, cela rend les choses beaucoup plus claires lorsque vous passez à la couche d'infrastructure.

Vous voulez aussi rapprocher les domaines de la sécurité et du développement d'applications. On dit souvent que la sécurité est le travail de tous, mais vous n'allez pas pouvoir former tous vos développeurs à être des employés de sécurité. Toutefois, comme nous l'avons mentionné, vous pouvez créer un environnement d'applications qui facilite le développement de nouvelles applications avec une sécurité intégrée. Dans le processus, vous verrez quelles compétences supplémentaires sont nécessaires dans le groupe de sécurité, concernant la sécurité de la couche applicative ainsi que les mécanismes de contrôle d'accès de l'utilisateur et aux données.

Quel est votre conseil final pour les CIO et les CSO sur la façon d'accélérer leurs progrès en optimisant la cybersécurité ?

Tout d'abord, l'adoption du cloud ne devrait pas être crainte, mais acceptée. Il peut réellement vous aider à être plus sécurisé et parallèlement, il permet à votre entreprise de devenir plus agile, plus rentable et capable de se développer plus rapidement.

Ensuite, suivez le principe de « Zero Trust ». Vous devez considérer que tout est potentiellement compromis et mettre en place des politiques commerciales et de sécurité basées sur cette hypothèse. Ce n'est que dans les cas faciles que vous savez quand quelque chose est réellement bon ou mauvais. La plus grande partie du monde de la sécurité est la zone grise au milieu. Vous devez donc évaluer le degré de risque potentiel de certains éléments et recueillir des preuves au fil du temps pour mettre à jour votre posture de sécurité.

Enfin, assumez la responsabilité de guider l'entreprise en ce qui concerne les risques, pas uniquement en prenant des décisions de gardien. Il s'agit d'un rôle plus important, ayant davantage de valeur ajoutée. Les professionnels de la sécurité sont vraiment des professionnels du risque, qui doivent penser spécifiquement à la façon dont le risque encouru par l'entreprise est entraîné par le risque de sécurité, pas uniquement au risque de sécurité. Ainsi, l'entreprise peut être nuancée en ce qui concerne la stratégie et la politique de sécurité, tout comme elle l'est pour la stratégie et la tactique commerciales.

Related CIO Content