« La DMZ est morte ». Cette phrase choc m’a été récemment assénée par le Directeur Technique d’un grand éditeur de sécurité informatique.
Provocation ? Non, vision …La dépérimétrisation de la sécurité informatique ne fait aujourd’hui plus aucun doute.
Elle est la conséquence de deux facteurs fondamentaux : l’intrusion de l’informatique mobile et personnel dans le système d’information, et la distribution des données et des processus de traitement dans ce que nous nommerons « cloud » par soucis de simplicité.
En revanche, la stratégie de sécurité des systèmes d’information, elle, reste globalement inchangée.
Nous sommes encore aujourd’hui dans une approche (parfois ?) moyenâgeuse consistant à construire des forteresses aux murailles toujours plus hautes et plus épaisses.
Les solutions actuelles de firewalls (réseaux et applicatifs), IPS (préventions des intrusions), passerelles, proxies, UTM (plateformes unifiées contre les menaces) sont des défenses statiques.
Elles ont été mises en place pour répondre au mieux à un besoin précis identifié à un instant donné: protéger un certain périmètre du système d’information vis-à-vis du monde extérieur.
Une stratégie qui eut été efficace, il y a dix ans.
Les attaquants visaient alors une cible à l’intérieur de la forteresse et tentaient de se frayer un chemin par la force ou la ruse.
Nous étions à l’âge d’or des DMZ, privées, publiques, internes, externes, etc. Autant de zones de sécurité inexpugnables sur lesquelles venaient s’échouer les vagues d’attaques.
Mais depuis, les ressources se sont dispersées, les technologies ont changé et les assaillants se sont adaptés.
Les attaques sont agiles, elles se propagent à partir d’un point faible situé parfois à l’extérieur de la forteresse désertée: aujourd’hui depuis un smartphone, un stockage ou une application cloud; demain depuis un frigo connecté…
Elles se propagent alors impunément de ressources en ressources à l’intérieur d’un périmètre de sécurité laissé sans surveillance, et dont la porosité avec les services « cloud » augmente chaque jour.
Enfin, ces attaques se transforment pour éviter la détection, savent faire varier leur comportement selon le contexte et deviennent multifonctions.
Ce scénario n’est pas une fiction, c’est celui de Duqu 2.0, un malware qui a été capable d’infecter jusqu’au système d’information d’un acteur majeur de la sécurité, pourtant loin d’être le dernier de la classe en la matière.
Il ne reste qu’à imaginer ce qu’il se passe actuellement dans les autres systèmes d’informations, là, maintenant, tout de suite.
Le constat est simple : la très grande majorité du monde de la sécurité n’a pas su, ou pas voulu, comprendre l’évolution des technologies qui ont envahi les systèmes d’information.
La seule réponse apportée est la virtualisation ou la « cloudification » de solutions de sécurité dont les concepts remontent à 10 ou 15 ans.
L’IT a changé sur le fond, la sécurité sur la forme. Un décalage dont le résultat se lit régulièrement dans la presse.
Il faut changer les concepts pour s’adapter aux menaces. Mieux, il faut savoir tirer parti de ce que ces nouvelles technologies mettent à notre disposition et évoluer avec elles.
Les données et les processus sont maintenant distribués ? Distribuons la sécurité au plus près des ressources, et indépendamment du support, physique, virtuel ou « cloud ».
Nous sommes dans un monde contrôlé par des API et il n’a jamais été plus facile de déployer un agent sur une application, un système ou une infrastructure, quel que soit son support.
L’infrastructure réseau est virtualisée ? C’est un avantage ! Les zones de sécurité ne sont plus physiques, mais logiques. Leur définition, leur déploiement, l’isolation d’un composant compromis deviennent l’affaire d’une seule commande grâce au SDN.
Les volumes à traiter sont gigantesques ? Peu importe, les technologies « big data » sont maintenant matures…
Ainsi la défense peut être aussi dynamique que les attaques. La visibilité globale est fournie par des agents qui se déploient systématiquement avec les infrastructures, les applications et les données.
Mieux encore, le traitement global des informations de sécurité permet enfin d’enrichir les analyses statiques et dynamiques d’une analyse prédictive pertinente. Et la réaction est immédiate car, au grand dam des attaquants, l’infrastructure peut maintenant évoluer à volonté.
Dans une certaine mesure, les attaques pourraient presque être prévues. Mais il faut pour cela chercher à comprendre les sous-jacents d’une révolution technologique qui aurait pu être un atout. Et qui est devenu une menace.
(Une chronique libre de Renaud Bidou, Directeur Technique pour l’Europe du Sud chez Trend Micro)
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…