La cybersécurité n'est jamais un acquis tant les menaces évoluent rapidement. Dans un système d'information qui, aujourd'hui, ne peut qu'être ouvert à des clients, des partenaires ou des connexions à des SaaS, l'approche Zero Trust semble être la plus pertinente. Pourtant, même les fondamentaux de la cybersécurité ne sont pas universellement appliqués, comme l'a révélé l'étude Du zéro trust à l'IA, comment sécuriser l'entreprise étendue ? réalisée par CIO. Celle-ci a été présentée lors de la CIO.expériences « La cybersécurité à l'heure du Zero Trust », le 24 mars 2020.
Bien entendu, crise du Covid-19 oblige, celle-ci n'a pas pu prendre la forme habituelle d'une matinée avec rencontres physiques. CIO l'a donc proposée sous forme de webconférence permettant de retrouver nos intervenants à distance. Diffusée durant les horaires prévus de la CIO.expériences, ce web-événement est disponible en différé dans l'espace dédié. Comme pour toute CIO.expériences, seuls les décideurs IT d'entreprises utilisatrices pouvaient participer gratuitement. Alain Bouillé, ancien président fondateur et actuellement délégué général du CESIN, a été le Grand Témoin de cette matinée. Avec lui, Eugène Botella (RSSI de la Compagnie des Salins du Midi et des salines de l'Est) et Philippe Netzer-Joly (RSSI d'Arkema) ont également témoigné. Sont aussi intervenus au fil de la matinée les experts des partenaires : Sébastien Weber (Country Manager France, F5), Nicolas Petroussenko (VP France, Okta), Bernard Debauche (Chief Product Officier, Systancia), Laurent Ainsa (Responsable grands comptes LastPass, LogMeIn), Valentin Pourrinet (Account Executive, Darktrace) et Philippe Rondel (Senior Security Architect, Check Point).
Question de participant : L'actualité nous indique malheureusement que l'on se prépare à un monde en télétravail, un télémonde ! Comment faire pour que la sécurité soit présente sans être oppressante ni trop intrusive ?
C'est précisément tout l'enjeu qui va être explicité et obtenir une réponse par plusieurs intervenants ci-après. Une sécurité oppressante est contournée par du shadow-IT. Elle amène donc une non-sécurité.
Le risque sur le patrimoine applicatif
Alain Bouillé, délégué général du CESIN, a été le Grand Témoin de cette matinée.
Présentant le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), Alain Bouillé a rappelé qu'il s'agissait là d'une association de RSSI, membres à titre individuel. Ceux-ci peuvent y partager leurs expériences et s'entraider. Aux activités classiques mensuelles se sont ajoutées des réunions de « collèges » aux thématiques plus restreintes et au nombre de participants volontairement limité, cela pour accompagner la croissance du nombre de membres, aujourd'hui 600 RSSI francophones.
Sébastien Weber, Country Manager France de F5, est intervenu sur le thème : « Zéro Trust, une approche de la sécurité transverse - Vos actifs étant votre risque majeur »
Le premier risque, actuellement, pour les entreprises qu'un RSSI doit traiter, c'est ceux pesant sur le patrimoine applicatif. Mais, comme Sébastien Weber, Country Manager France de F5, l'a rappelé, aucune entreprise n'est capable de réaliser un inventaire exhaustif de ses applications. A cela s'ajoute une évolution majeure dans les nouveaux développements : 85 % des nouvelles instances applicatives sont des containers (le chiffre de 95 % est attendu d'ici un an), 87 % des entreprises utilisent plusieurs clouds et, enfin, 86 % des cyber-attaques visent le niveau de la gestion d'identité ou le niveau applicatif, 34 % reposant sur un acteur humain interne (par faute ou par erreur). « L'approche périmétrique est dépassée » n'a pu que constater Sébastien Weber.
Face à ces évolutions, l'approche Zero Trust consiste à garder trois commandements toujours en tête : ne jamais faire confiance, toujours vérifier et monitorer en continu. Pour Sébastien Weber, « ces trois piliers simples sont ceux d'une approche très pro-active de la sécurité mais cela peut être compliqué de la mettre en place en entreprise. » La principale difficulté réside bien sûr dans l'ouverture obligatoire du SI. Pour F5, il faut donc contrôler la sécurité sur l'ensemble du cycle de vie applicatif, avec une automatisation des contrôles pour accompagner chaque évolution, mais en veillant à une adaptation des procédures de sécurité appliquées aux risques.
IA et êtres humains : complémentarité plutôt que rivalité
Les éléments essentiels de l'étude Du zéro trust à l'IA, comment sécuriser l'entreprise étendue ? ont été présentés par Jacques Cheminat, rédacteur en chef adjoint du Monde Informatique. Alain Bouillé l'a commentée en insistant sur le caractère complémentaire entre Intelligence artificielle / Machine Learning (souvent utilisée dans les SIEM) et l'expertise humaine. L'IA permet de repérer des événements difficiles à repérer par un humain. « L'IA n'est pas un critère de choix en tant que tel pour un RSSI souhaitant s'équiper d'une solution de sécurité car ceux-ci achètent des solutions efficaces, et si cela implique de l'IA tant mieux » a jugé Alain Bouillé.
Question de participant : Est-ce que le sondage concerne des RSSI en France ou avez vous sondé aussi des RSSI à l'étranger ? Voyez vous des différences dans les réponses selon la taille / secteur des entreprises ?
L'enquête est réalisée en ligne sur CIO. La grande majorité de nos lecteurs réside en France mais nous en avons en Belgique, en Suisse, en Afrique... Les réponses sont anonymisées et nous n'avons pas la possibilité d'effectuer des retraitements pour définir les profils des répondants.
Nicolas Petroussenko, VP France d'Okta, a expliqué comment « l'approche Zero Trust [était] appliquée à la gestion des identités et des accès »
L'une des problématiques majeures pour sécuriser l'accès à un SI, c'est bien sûr celui des identifications. Les mots de passe deviennent alors un véritable enjeu. Ils faut qu'ils soient variés, complexes... et autant nombreux qu'il y a d'applications. « On finit par avoir un syndrome du mot de passe » a soupiré Nicolas Petroussenko, VP France d'Okta. Quand le cabinet Forrester a lancé le concept du « Zero Trust », c'était bien parce que l'approche classique, périmétrique, était obsolète. A côté des accès ubiquitaires viennent en effet se greffer tous les accès par les partenaires externes (clients, fournisseurs...), les extensions du SI dans le cloud (SaaS notamment)... Nicolas Petroussenko a pointé : « Zero Trust, ce n'est pas un framework de travail mais des principes et parmi ces principes, un doit être bien compris : le périmètre n'est plus d'actualité. »
La question centrale de l'identité
Du coup, la sécurité doit reposer sur trois éléments : l'individu (celui qui se connecte est-il bien celui qu'il prétend être ?), le terminal (celui-ci est-il connu et reconnu comme sécurisé ?) et enfin le réseau (les échanges qui y sont réalisés sont-ils sécurisés ?). Personne ne peut passer son temps à s'identifier avec deux facteurs. L'imposer, ce serait évidemment s'exposer à une bascule massive des utilisateurs dans le shadow IT, plus du tout sécurisé. Donc, en fonction des contextes, de la normalité des comportements, il faut adapter la sécurité. Et, en matière d'adaptation, il faut aussi tenir compte de l'existant en matière d'annuaires d'utilisateurs. Il est donc important, non pas de disposer d'un utopique annuaire unique, mais de piloter de manière globale l'ensemble de l'identification, avec une politique unique, mais en tenant compte de cet existant.
La sécurisation du SI d'entreprises industrielles a ses particularités comme l'a montré Philippe Netzer-Joly, RSSI d'Arkema.
La sécurisation du SI ne se limite pas dans toutes les entreprises à pouvoir se connecter à un PGI avec un PC portable alors que l'on est en déplacement commercial. « De l'infiniment petit à l'immensément utile », Arkéma est un groupe chimique de 20 000 collaborateurs répartis dans 55 pays et générant un chiffre d'affaires de 8,8 milliards d'euros. Malgré tout, comme l'indique Philippe Netzer-Joly, RSSI d'Arkema, « la sécurité est toujours sur trois axes, en informatique de gestion comme en informatique industrielle : l'identité (qui, quels droits...), la protection de la donnée (surtout quand on est orienté recherche et développements), même partagée, et enfin les infrastructures critiques. »
Le temps industriel n'est pas le temps digital
Et la situation de crise issue de la pandémie Covid-19 a nécessité d'adapter des plans de continuité d'activité qui n'avaient pas envisagé une situation de cette nature et de cette ampleur. « Il faut être humble, nous n'en sommes qu'au début » a indiqué Philippe Netzer-Joly. Le défi est d'ampleur pour lui : « comme toute firme industrielle, nous sommes une entreprise normalement avec une minorité de gens à l'extérieur et une majorité à l'intérieur. Et, en une semaine, il a fallu inverser. »
A l'heure de l'industrie 4.0, la sécurisation de l'informatique a évidemment ses particularités dans une entreprise comme Arkema. Parfois, des systèmes conçus il y a dix ou quinze ans pour être dans des environnements clos et maîtrisés se retrouvent connectés à l'extérieur, avec des systèmes digitaux offrant des services clés mais qui évoluent régulièrement. « Il n'y a pas de solution miracle mais cela passe souvent par des segmentations réseaux » a tranché Philippe Netzer-Joly. Pour lui, la sécurité est avant tout la création de relations de confiance et le terme « Zero Trust » le gêne. Mais l'approche par micro-segmentation ou par couche est finalement une approche par l'architecture, avec une maîtrise des flux de données, qui revient au même, le marketing en moins.
Bernard Debauche, Chief Product Officier chez Systancia, a détaillé: « Le Zero Trust appliquée à l'administration des systèmes d'information »
Cette approche par l'architecture est en effet aussi au coeur des préconisations défendues par Bernard Debauche, Chief Product Officier chez Systancia. « La mise en place d'un bastion d'administration du SI est la première bonne pratique à laquelle on pense mais celle-ci est insuffisante et il faut la compléter par d'autres bonnes pratiques » a-t-il ainsi spécifié. Il faut en effet renforcer ce bastion par un poste d'administration dédié, poste qui doit être durci, avec un réseau dédié, en gérant de façon appropriée l'accès à distance en cas d'astreinte. Sécuriser le bastion est en effet une préoccupation majeure. Il ne faut surtout pas qu'un poste de travail ordinaire corrompu puisse contaminer les fonctions de bastion.
Le bastion ne suffit pas
Face à cette nécessité, il n'y a que deux approches possibles : soit le bastion est un poste physique dédié, soit il est un poste virtuel dédié. Dans le cas d'un poste virtuel, il faut s'assurer de la nette séparation et du durcissement de cette séparation. Une solution est de réduire la surface d'attaque en ne créant le poste virtuel que lorsqu'on en a besoin. Une telle séparation doit aussi se faire au niveau réseau. Notamment dans le cas d'administrateurs distants (en astreinte par exemple), il faut adopter lors de la connexion au bastion virtuel une approche Zero Trust pour éviter l'usurpation de la connexion.
Mais pourquoi cette approche « Zero Trust » s'est-elle imposée ? Nous avons posé la question au Grand Témoin de la matinée, Alain Bouillé, délégué général du CESIN. « Le Zero Trust s'est imposé ces dernières années simplement parce qu'il y a de moins en moins de choses dans lesquelles on peut avoir confiance » a-t-il jugé. Le temps où l'utilisateur ne se connectait qu'une fois dans les locaux de l'entreprise, après contrôle de son identité, est terminé. Le travail est ubiquitaire, le patrimoine data et applicatif est dispersé (y compris dans le cloud) et le terminal peut ne plus être sous le contrôle de l'entreprise. Mais il admet que « ce concept est un peu négatif ». Alain Bouillé a cependant déploré que « Zero Trust » sert parfois à repeindre à neuf de vieilles approches.
Laurent Ainsa, Responsable grands comptes LastPass chez LogMeIn, s'est interrogé : « Formation, bonnes pratiques & Security Score : dans quelle mesure les comportements en ligne impactent positivement le business ? »
Prenant le contre-pied des approches technologiques, Laurent Ainsa, Responsable grands comptes LastPass chez LogMeIn, a insisté : « une des clés d'une bonne stratégie de sécurité, ce sont les bonnes pratiques et la mise en avant des humains. » Les bonnes pratiques concernent notamment la gestion des mots de passe. « 80 % des incidents sont dus aux mots de passe » a-t-il rappelé. Une fois un compte de messagerie ou un compte Salesforce piraté, la fuite de données est assurée.
Remettre l'humain au centre
Il faut que la stratégie suivie soit simple pour l'utilisateur (sinon, il va passer outre) tout en garantissant une maîtrise. LastPass de LogMeIn est un outil de gestion de mots de passe qui a comme force sa simplicité d'utilisation. Cette simplicité est clé dans l'adoption. Beaucoup d'outils sont détournés parce que trop complexes. Une fois l'outil installé, il faut accompagner le changement. Ensuite, il faut mesurer l'usage réel et l'utilité d'un tel outil. Tout cela s'appuie sur une communication bien construite, avec collaboration entre le RSSI et la direction de la direction de la communication. Enfin, une fois les mots de passe maîtrisés, le RSSI pourra renforcer la sécurité, par exemple avec un deuxième facteur d'identification lorsque le collaborateur est en dehors des locaux de l'entreprise.
Contrer le phishing est de plus en plus compliqué comme l'a expliqué Eugène Botella - RSSI de la CSME.
Issue d'une société fondée en 1856, la CSME (Compagnie des Salins du Midi et des salines de l'Est), membre du Groupe Salins, est un spécialiste de la production et de la distribution de sel au travers de marques comme La Baleine, Salins Industries Agro-Alimentaire ou Le Paludier de Guérande. Ses 1600 collaborateurs sur 15 sites de production servent 18 000 clients dans le monde, générant 266 millions d'euros de chiffre d'affaires. « 3000 produits divers et variés sont à base de sel » a rappelé Eugène Botella, RSSI de la CSME. Le sel de table est loin d'être le seul type de sel à être produit. Et les sites de l'entreprise sont très variés : de plusieurs centaines de personnes à quelques individus. Mais toute la zone Europe est sur un SI unique.
Le phishing sophistiqué est une réelle menace
L'une des menaces récurrentes rencontrées par les RSSI, c'est bien sûr le phishing. Celui-ci peut être grossier et aisément repérable. Eugène Botella a observé : « certains usurpent l'identité et utilisent le serveur e-mail de clients réels, eux-mêmes infectés, voire qui répondent à des messages émanant de notre entreprise. » Le premier bouclier est la sensibilisation des personnes. Evidemment, les outils de base tels que l'anti-virus sont nécessaires mais insuffisants. Le service managée RDS (Rapid Detection and Response Service) avec son SOC a permis de détecter à temps des phishings récurrents visant à de l'extorsion de fonds, tout en étant totalement transparente pour l'utilisateur. La solution est capable d'alerter quand un comportement anormal est constaté sur un poste de travail, marque d'une compromission éventuelle. Mais cela n'est pas suffisant : la CSME a donc mis en place un programme de sensibilisation par de « faux phishings » avec des campagnes sur des populations aléatoires. A chaque campagne, l'entreprise regarde quel point a trompé la victime et peut ainsi améliorer sa sensibilisation et sa protection.
Valentin Pourrinet, Account Executive chez Darktrace, a présenté « La réponse de la cyber IA à l'ère des attaques à vitesse machine »
Mais l'être humain seul peut être insuffisant face à certaines cyber-attaques. « Face à des pirates qui utilisent l'intelligence artificielle pour concevoir leurs attaques, les entreprises vont devoir mettre en oeuvre de l'intelligence artificielle défensive » a plaidé Valentin Pourrinet, Account Executive chez Darktrace. Il s'agit d'être en mesure de répondre à des attaques de plus en plus complexes. L'IA peut répondre de façon autonome à la manière d'un système immunitaire.
L'approche en système immunitaire peut réagir de façon autonome
Cette complexité des attaques bénéficient également d'un nombre de fragilités qui s'accroît, du cloud à l'IoT en passant par la généralisation du télétravail. Et la sophistication s'accroît également. Valentin Pourrinet a ainsi mentionné que « les cryptolockers se fondent dans un comportement réseau qui peut paraître normal. » L'ingénierie sociale permet aussi d'améliorer la séduction des messages d'hameçonnage. Là aussi, l'IA peut personnaliser automatiquement en fonction du contexte le phishing. L'approche en système immunitaire repose sur l'apprentissage du comportement normal du SI et la détection des écarts.
Contrôler les écarts peut se révéler complexe quand il y a brutalement une crise impliquant un grand changement dans les habitudes, comme par exemple le développement du télétravail en lien avec la crise du Covid-19. Les RSSI ont-ils dû « ouvrir les vannes », exposant ainsi leur SI plus que d'habitude voire que de raison ? « Je ne pense pas que les RSSI aient ouvert les vannes » a rétorqué Alain Bouillé. Pour lui, « le télétravail était en place ou pas. Ce qui a changé, c'est le nombre de personnes en télétravail. » Eventuellement, il a fallu augmenter le nombre de licences VPN. Par contre, le danger, c'est d'« ouvrir les vannes du BYOD parce que le télétravail n'est pas prévu et, si on sait sécuriser le BYOD, cela ne s'improvise pas. » Evidemment, les cyber-attaques s'accroissent et frappent des utilisateurs isolés ne pouvant pas demander conseil à un collègue en cas de doute, par exemple sur un phishing.
Philippe Rondel, Senior Security Architect chez Check Point, a présenté la « Zero Trust Architecture »
Face à des humains faillibles, la technique est une partie de la réponse. « L'architecture est un composant clé de l'approche Zero-Trust » a soutenu , Senior Security Architect chez Check Point. Bien entendu, il a rappelé combien l'approche périmétrique était dépassée et à quel point l'usurpation d'identité et la compromission de terminaux étaient des sources de menaces. Ne plus pouvoir faire confiance à l'utilisateur, au terminal ou même au réseau implique de devoir adopter l'approche Zero Trust. Celle-ci suppose aussi de faire varier la sécurité en fonction des risques.
L'automatisation est nécessaire à la granularité
La première phase consiste donc à identifier les actifs critiques et les risques associés mais aussi les flux de données. Ce n'est qu'une fois ces identifications faites que l'architecture Zero Trust pourra être dessinée, avec la création de micro-périmètres de sécurité adaptés. Bien entendu, les cas particuliers du cloud (ou plutôt des clouds, dont le SaaS) et de l'IoT doivent être particulièrement étudiés pour être intégrés à l'architecture Zero Trust. Le contrôle de cette architecture doit être automatisée afin de permettre la microgranularité. Pour Philippe Rondel, « au-delà de quelques environnements, on ne peut plus les gérer à la main ».
Pour conclure la matinée, Alain Bouillé est revenu sur la crise actuelle. La culture cyber-sécurité est en effet nécessaire en temps normal mais elle l'est encore plus en cas de crise. « Nous nous sommes retrouvés avec des dizaines de milliers de gens qui n'avaient aucune habitude du télétravail qui, soudain, basculaient dans cette pratique » a-t-il souligné. Certes, des outils de sécurité ont été mis en place mais la sensibilisation spécifique, que l'on réalise sur les collaborateurs nomades habituels, n'a pas, bien souvent, été faite pour ces nouveaux télétravailleurs. Un point positif de cette crise pourrait être que cette sensibilisation aura été réalisée sur l'ensemble des collaborateurs, un peu en urgence.
Commentaire