En direct d'Amsterdam - Pour répondre aux défis de plus en plus complexes en matière de sécurité des identités, en mode traditionnel ou zero trust, Cisco injecte un zeste d’IA dans ses outils de sécurité avec Identity Intelligence. Ce dernier vient rassembler les informations des produits de sécurité existants du fournisseur, tels que son logiciel d’authentification Duo et sa plateforme de détection des menaces XDR, et ajoute des analyses comportementales basées sur l’IA pour aider à renforcer l’authentification réseau et à se protéger contre les menaces basées sur l’identité. « L’un des grands défis que vous voyez en matière de protection des utilisateurs est que si vous pensez à un employé qui veut se connecter à plusieurs applications pour faire son travail, il est extrêmement compliqué pour cette personne de sortir et de se connecter à n'importe quelle application local ou SaaS », a expliqué lors de la keynote du Cisco Live Amsterdam Jeetu Patel executive vice-président Security and Collaboration chez l’équipementier. L’objectif global est avec Identity Intelligence est d’unifier la gestion des identités, la mise en réseau et la sécurité sur une seule plateforme.
Comme nous l’a expliqué Matt Caulfield, vice-président product management lors du Cisco Live 2024 à Amsterdam (du 5 au 7 février), « L’IA va d’abord être intégrée à trois produits dans un premier temps, et ces produits sont Duo, Secure Access et XDR […] Lorsque nous réfléchissons à la manière dont les attaquants démarrent une chaîne d’attaque, ils peuvent le faire de plusieurs manières. La première consiste à trouver une vulnérabilité dans le logiciel utilisé par l’entreprise. Une solution consiste à essayer de trouver un port ouvert sur le réseau et à se frayer un chemin vers le réseau, puis à se déplacer latéralement entre les machines du réseau. Une autre façon serait peut-être de vous inciter à télécharger des logiciels malveillants sur votre terminal. » Il ajoute que « toutes ces méthodes sont beaucoup plus difficiles à mettre en œuvre que de simplement inciter quelqu’un à dévoiler ses informations d’identification ou à deviner son mot de passe en utilisant la force brute ou ce qu’on appelle la pulvérisation de mots de passe. Souvent, des mots de passe courants seront divulgués dans le cadre d’autres failles de sécurité afin qu’ils puissent être réutilisés ultérieurement et lors d’attaques par pulvérisation de mots de passe. Et ce mécanisme capable d’obtenir des mots de passe ou d’inciter la victime à autoriser un accès malgré plusieurs facteurs d’authentification, devient un moyen très important de lancer une attaque. Nous constatons que la majorité des attaques commencent de cette façon ».
Du zero trust appliqué à l'identité
Fonctionnant au-dessus des gestionnaires d’identités existants, notamment Cisco Duo, Microsoft Entra ID (anciennement Azure AD) et Okta Auth0, Identity Intelligence vise à combler le fossé entre l’authentification et l’accès. « Si vous utilisez Duo aujourd’hui pour l’authentification multifacteur, vous pouvez déjà choisir d’utiliser Identity Intelligence de Cisco. Nous avons donc déjà quelques clients qui essaient cela », nous a précisé Matt Caulfield. Identity Intelligence utilise la télémétrie et extrait les données de ces sources afin que les administrateurs puissent découvrir l’ensemble de leur panel d’identités et supprimer les autorisations héritées et les comptes vulnérables. De plus, l'offre fournit des analyses comportementales basées sur l’IA et une visibilité du réseau pour créer un graphe d’identité, qui détecte de manière proactive et réactive ce qui se passe dans les environnements des utilisateurs pour les identités humaines et machines (logiciels, API…).
« C’est le même problème auquel nous avons été confrontés, il y a environ 10 ans, lorsque les réseaux n’étaient pas très segmentés. Ainsi, une fois que vous étiez sur le réseau, vous aviez en quelque sorte carte blanche au sein d’une entreprise, à l’intérieur du périmètre. Aujourd’hui, ce périmètre est devenu une identité. Et si vous obtenez une identité valide, un compte valide, vous avez un libre accès à de nombreuses applications auxquelles cette identité avait accès. Nous avons fait du zero trust au niveau de la couche réseau et nous refaisons la même chose avec l’identité : nous devons appliquer les principes zero trust à la façon dont nous authentifions les identités pour la première fois, mais ensuite nous devons le faire continuellement pour contrôler les accès ».
L'IA pour renforcer la gestion des accès
« Avec l’Identity Intelligence intégré à Duo, il y a eu beaucoup de travail autour de l’expérience utilisateur. Duo fait un travail formidable pour limiter des choses comme la fatigue du MFA (multi-factor authentication), limiter les push de notifications, et associer l’identité au terminal. Vous pouvez donc prendre un téléphone au hasard et essayer de vous connecter au compte de quelqu’un dans l’entreprise. Certaines entreprises peuvent ne pas avoir Duo, Identity Intelligence apporte une couche supérieure qui recherche également la pulvérisation de mots de passe, les attaques par force brute, les détournements de session. Il recherche donc les moyens très courants que les attaquants utilisent pour franchir cette porte d’entrée en fonction de leur comportement » nous a expliqué Matt Caulfield. « Nous utilisons donc l’IA pour renforcer la gestion des identités et des accès. Nous récupérons beaucoup de données, nous avons donc toutes les informations sur l’enrôlement : qui sont les utilisateurs, quelles sont les machines, à quoi ont elles accès, puis les comportements des utilisateurs qui accèdent à quelles applications ou machines. Ensuite, nous exécutons l’IA par-dessus cela pour générer des informations. Ce n’est pas de l’IA générative. Cette dernière est plus utile pour le traitement du langage naturel. Il s’agit plutôt d’un modèle graph. Nous utilisons donc davantage l’apprentissage automatique traditionnel de l’IA des cinq dernières années. L’IA générative a un rôle à jouer, car elle peut permettre aux administrateurs de poser plus facilement des questions comme, hé, quelle identité êtes-vous, avez-vous des privilèges administratifs. Vous pourriez demander cela en langage naturel. C’est quelque chose sur lequel nous travaillons, mais cela ne fait pas encore partie de l’Identity Intelligence », nous a précisé le dirigeant.
Pour revenir aux produits mis à jour dans Identity Intelligence, il y a donc trois solutions différentes. Cisco Duo est essentiellement une solution d’identité qui prend en charge l’authentification multifacteur, unique, par liste de mots de passe, qui consiste essentiellement à déterminer si un utilisateur est celui qu’il prétend être grâce à une combinaison de périphérique, mot de passe ainsi que d’identification biométrique via une app mobile. Cisco Secure Access est une solution d’accès réseau zero trust, de type SSE (Security Services Edge) pour reprendre le terme inventé par le Gartner. « Il s’agit vraiment de savoir comment mettre en place un réseau zero trust entre l’appareil final de l’utilisateur et les applications SaaS et sur site, de manière complémentaire », nous a indiqué Matt Caulfield. Le dernier produit Cisco XDR (Extended Detection and Response), lancé en juillet dernier, est un système intégré en mode SaaS de détection des menaces pour protéger les ressources des entreprises : points d’extrémité, réseau, pare-feu, messagerie électronique et identités… En ce qui concerne les prix de ces services, ils sont inclus dans les niveaux existants avec ces produits, il n’y a donc aucun coût supplémentaire, nous a assuré le dirigeant.
Un bot IA unifié pour les produits de sécurité
Enfin, Cisco ajoute le bot AI Security Assistant à sa plateforme SSE (Secure Service Edge). Cette dernière comprend un accès réseau zero trust (ZTNA), une passerelle web sécurisée (SWG), un courtier de sécurité d’accès au cloud (CASB), un pare-feu en tant que service (FWaaS), la sécurité DNS, l’isolation du navigateur à distance (RBI) et d’autres fonctionnalités de sécurité. Elle est conçue pour sécuriser n’importe quelle application via n’importe quel port ou protocole, avec des performances optimisées, une vérification continue et l’octroi de la confiance, selon Cisco. En intégrant AI Security Assistant au package SSE, Cisco cherche à offrir à ses clients la possibilité d’utiliser un outil GenAI pour rationaliser les politiques SSE avec des requêtes en langage naturel. L’un des objectifs de l’AI Security Assistant est de réduire le temps nécessaire aux clients pour répondre aux menaces potentielles et de simplifier l’ensemble du processus de sécurité.
AI Assistant for Security a été mis en œuvre pour la première fois en décembre dernier dans le cadre des services cloud Firewall Management Center et Defense Orchestrator du fournisseur. Le Firewall Management Center de l’équipementier est une plate-forme centralisée pour configurer, surveiller, dépanner et contrôler les pare-feu maison Firepower. L’outil orchestrator offre aux clients de gérer, contrôler et automatiser de manière centralisée les politiques de sécurité sur plusieurs systèmes de sécurité cloud natifs. Le fournisseur a également ajouté une prise en charge de la détection des menaces par e-mail basée sur l’IA via son offre Email Threat Defense, pour évaluer différentes parties d’un e-mail entrant à la recherche de marqueurs d’intention malveillante. A termes, AI Assistant Security sera un bot IA unifié pour tous les produits de sécurité de Cisco.