Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
La cybersécurité mue, le COVID-19 est passé par là !
La crise sanitaire a modifié notre perception de la cybersécurité. Peter Braem, CEO, CSM, dessine les contours de la «nouvelle normalité».
La cybersécurité mue. Malgré les incertitudes et le risque d’une seconde vague, les entreprises cherchent depuis la mi-mars à retrouver un rythme «plus normal» à défaut d’être «normal». Mais le monde a changé. Les entreprises doivent s’adapter à une nouvelle réalité. Tel fut le message de Peter Braem, CEO, Cyber Security Management (CSM), à Willy Borsus, ministre de l’Économie, de la Recherche et de l’Innovation et du Numérique, venu inaugurer les nouveaux bâtiments de l’entreprise à Braine-L’Alleud, et aux nombreux clients venus les visiter.
Au départ, l’urgence : passer au télétravail de masse. Pour la grande majorité des entreprises, la question se résumait à maintenir la capacité VPN du personnel. Ensuite, on s’interrogea sur la prévention des attaques d’ingénierie sociale. On chercha à sécuriser les points de terminaison du personnel et les réseaux domestiques. Aujourd’hui, beaucoup se demandent s’il faut conserver les bureaux…
Le curseur a bougé
Pour les entreprises non préparées au télétravail, «l’épreuve a été beaucoup plus rude, rappelle Peter Braem. Achats de PC portables en catastrophe, transports de PC fixes au domicile ou encore utilisation de PC privés à des fins professionnelles, toutes les possibilités ont été explorées et gérées dans l’urgence. On a vu fleurir des usages de services cloud plus ou moins encadrés, voire en shadow IT…».
Durant cette crise, «le curseur a indéniablement bougé… de façon permanente». Et tout indique qu’il bougera encore. Un point de vue confirmé par l’équipe d’Advens, alliée de CSM, qui propose une vaste palette de services de cybersécurité autour du SECaaS (Security-as-a-Service).
Fin de parcours pour le PC fixe
La crise a montré que les entreprises équipées massivement de matériels mobiles se sont révélées bien plus agiles. Cela s’est vérifié, aussi, dans les entreprises où les collaborateurs sont essentiellement sédentaires. Les équiper d’un appareil mobile devient un véritable avantage par temps de crises –épidémie entraînant un confinement, grèves prolongées des transports, etc. «La différence de prix entre un PC fixe et un portable ne devrait plus être un obstacle à l’équipement des salariés devenus tous potentiellement mobiles», estime Peter Braem.
Les entreprises qui privilégient l’accès en VDI par des terminaux passifs légers doivent parallèlement réfléchir à comment maintenir l’accès aux PC virtuels en cas de confinement. Elles peuvent soit proposer des PC portables, soit vérifier que leurs collaborateurs disposent de PC personnels permettant un accès à ces bureaux virtuels sécurisés. Autre constat : les usages -privés et pros- sont désormais parfaitement distincts.
Le VPN traditionnel en voie de disparition
A la mi-mars, il n’était question que de VPN, de bande passante, de licences d’accès… Aujourd’hui, avec le recul, l’approche VPN paraît désuète. De nombreux services étant disponibles dans le cloud, les salariés se sont naturellement connectés directement à ces services depuis l’accès Internet de la maison.
Pour tous ? Non. «Tant qu’il y aura du legacy, le VPN traditionnel subsistera. N’empêche : le sens de l’histoire est bien une connexion directe vers le cloud. Ce qui ne dispense pas de passer par des proxies et diverses couches de sécurité, elles-mêmes dans le cloud…». Par ailleurs, les services clouds proposent désormais des accès sécurisés aux réseaux d’entreprise via des principes bien plus souples et dynamiques que les infrastructures VPN.
Le MFA n’est plus une option
Bien entendu, autoriser les utilisateurs en mobilité à se connecter directement à des services cloud sans passer par le réseau de l’entreprise se fera sous conditions. «Il va falloir généraliser l’utilisation de l’authentification forte pour tous ces services et non simplement pour se connecter au VPN», constate Peter Braem.
L’authentification multifacteur est en train de se démocratiser. Elle a montré, surtout, à quel point elle était devenue nécessaire pour réduire les risques d’usurpation d’identité. Elle s’impose bien évidemment pour tous les comptes attachés aux services clouds utilisés par l’entreprise. Egalement pour tous les comptes personnels, les utilisateurs ayant une fâcheuse tendance à mélanger accès privés et accès professionnels. De même, ils continuent à stocker dans les navigateurs (avec synchronisation cloud) les mots de passe des différents comptes… Au-delà du MFA, c’est tout le principe du Zero Trust, la sécurité sans confiance, qui est plus que jamais d’actualité.
La mise à jour des postes devra être repensée
Bien évidemment, pendant cette crise, l’un des grands challenges des équipes IT aura été de garder les PC d’entreprise à jour et avec un niveau de sécurisation optimum. Patching des OS, mises à jour des logiciels… ces tâches ont toujours été des défis. Il existe désormais des solutions éprouvées pour garantir une mise à jour des postes qu’ils soient ou non dans les murs des entreprises.
Malheureusement, et bien qu’elles aient parfois accès à de tels outils via leur abonnement Microsoft 365 par exemple (qui intègre la suite Enterprise Mobility + Security avec Intune), bien des entreprises continuent d’administrer les PC à l’ancienne.plut Autrement dit, elles ne les assimilent pas à des terminaux mobiles. Sans compter que les VPN déjà saturés ne peuvent plus supporter les gros volumes de mises à jour. L’évolution passe par davantage de mises à jour en direct et une nouvelle approche UEM de la gestion des PC mobiles.
Adieu aux répertoires bureautiques !
La crise a sans doute sonné le glas des serveurs de fichiers centraux traditionnels, affirme encore Peter Braem. À l’heure des hubs collaboratifs comme Teams et des plateformes collaboratives comme G Suite ou Office 365, le partage de fichiers s’est totalement métamorphosé. «Cela a eu pour conséquence de donner beaucoup plus d’autonomie aux utilisateurs, sans pour autant les responsabiliser, constate le CEO de CSM. En effet, dans le modèle précédent, c’était l’équipe informatique qui paramétrait les accès en central. Dans le modèle cloud, on délègue aux utilisateurs le soin d’organiser les espaces partagés et d’en sécuriser les accès. Mais voilà : autant il est simple de partager, autant il est difficile de maîtriser les subtilités des accès à ces partages.»
Les entreprises doivent chercher à retrouver une vision globale consolidée des partages et des échanges en se dotant de nouveaux outils de supervision et de nouveaux boucliers pour lutter contre les fuites d’information. Elles doivent surtout former et sensibiliser encore davantage leurs collaborateurs aux bonnes pratiques et aux risques. La cybersécurité ne repose pas seulement sur les outils.
Le SOC désormais incontournable
Le constat était tracé bien avant la crise : beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC ou ceux-ci étaient à l’état embryonnaire. Une situation plus tenable aujourd’hui.
Avec des données éparpillées dans de multiples clouds, des utilisateurs dispersés et désormais de plus en plus en télétravail, la surface d’exposition aux cyber-risques n’en est que plus vaste. «Il ne faudra pas compter uniquement sur la vigilance de l’utilisateur, avertit Peter Braem. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable !»
Interne, externalisé ou hybride, le SOC s’impose aujourd’hui comme une pièce maîtresse d’un dispositif de cybersécurité. Et là, les clients de CSM peuvent compter sur l’offre d’Advens, son allié français. «Il faut s’appuyer sur un SOC pour surveiller avec vigilance et réactivité ce que les nouveaux accès et les nouvelles délégations dans le cloud permettent, pour toutes les populations, tous les utilisateurs.»
Le SECaaS s’impose naturellement. La crise sanitaire a accéléré le mouvement
Place au SECaaS. La cybersécurité sous forme de service. Le modèle permet d’accéder à des services de cybersécurité fiables, évolutifs, permanents et économiques. «La tendance s’est accélérée avec la crise du COVID-19, observe Benjamin Leroux, Marketing Director, Advens. Sans surprise, nous avons enregistré une forte demande en EDR (Endpoint Detection and Response) depuis que le travail à distance s’est généralisé.»
Les projets vont bon train. Notamment pour les Hôpitaux publics de France, avec plusieurs centaines de milliers de terminaux sécurisés. Et pour un grand groupe aérospatial pour qui deux solutions technologiques ont été mises en place partant qu’il travaille pour la défense. Pour le client, c’est un seul et unique service de cybersécurité. S’il avait été amené à déployer la solution, ce qui aurait pris du temps, c’était deux projets à mener en parallèle.
La mutualisation des services dans le cloud pousse au SECaaS
L’EDR n’est qu’un exemple. Proposer un catalogue de services, solutions et partenaires parmi les meilleurs du marché, mutualiser les compétences et les défenses, les bases de compétences, et la détection anticipée, est aujourd’hui possible. CSM le propose aujourd’hui via Advens.
C’est la mutualisation de la cybersécurité dans le cloud qui permet d’obtenir un prix réduit par comparaison avec les lourds investissements que représenterait pour l’entreprise un niveau de sécurité équivalent à celui offert par le catalogue. De même, et c’est là le moindre des paradoxes, alors que la sécurité est le premier obstacle pour aller dans le cloud, le cloud est aujourd’hui le premier motif pour y aller !
Ajoutons à cela qu’avec l’infrastructure de plus en plus fournie par le cloud, c’est naturellement que le SECaaS s’impose. «Pour nous, enchaîne Benjamin Leroux, ce modèle est le seul levier pour simplifier la démarche sécurité, la rendre agile et faire face à la pénurie de ressources.»
Une suite complète de services
Spécialiste de ce modèle, Advens a renforcé son positionnement via sa Security-as-a-service Factory, l’entité qui fabrique, industrialise et fournit des services de cybersécurité clé en main. Elle s’appuie sur une plateforme développée en interne -donc indépendant des éditeurs- qui intègre nativement l’intelligence artificielle. «Depuis vingt ans, nous accompagnons nos clients pour les aider à piloter et améliorer de façon continue leur sécurité, note encore Benjamin Leroux. Au cours de toutes ces années, nous avons développé une suite complète de services outillés et industrialisés dédiés à la gestion opérationnelle de la sécurité.»
Le catalogue de solutions comprend notamment : le SOC-as-a-Service, solutions packagées ou sur-mesure pour SOC externe et hybride; le Compliance-as-a-Service, solutions packagées pour la conformité continue (ISO 27001, LPM-NIS, GDPR…) et le Technology-as-a-Service, solutions packagées pour l’usage optimal voire augmenté de technologies partenaires
Le SOC, sur trois fronts
En matière de SOC, CSM profite du champ d’action étendu de l’offre d’Advens. A savoir, outre une soixantaine de collaborateurs, une approche globale sur les différents champs d’investigation et de remédiation. Et cela à travers trois équipes. La Red Team est concentrée sur le pentest et le hacking éthique. Son but est de détecter, prévenir et éliminer les vulnérabilités. Pour se faire, elle imite le rôle d’un attaquant en trouvant les backdoors et vulnérabilités exploitables. La Blue Team est similaire à la Red Team dans le sens où elle identifie les vulnérabilités possibles.La différence se place dans sa stratégie d’amélioration des mécanismes de défense. Au au courant des défenses déjà en place, elle met en place des audits de sécurité, de l’analyse de logs, du reverse engineering, des élaborations de scénarios à risque…
La Green Team, enfin, unique en son genre, gère la protection quand tout va bien… et remédie quand tout va mal. Elle fournit des services réactifs, émis en réaction à un incident : identification, confinement, éradication, retour à la normale. Elle actualise le plan de réponse aux incidents en fonction des retours et de toute lacune identifiée.
Faire de l’humain le maillon fort !
Les ressources sont là, pleinement opérationnelles. Mais tant CSM qu’Advens continuent d’insister sur l’humain. Il est let reste le premier rôle de la démarche ! Sans lui, impossible de mettre en place une démarche de cybersécurité qui apporte de la valeur aux organisations qu’il faut protéger.
C’est avant tout l’humain qui permet de faire le lien avec le métier, avec le contexte, avec les autres humains à protéger. «On considère souvent à tort que l’humain est le maillon faible de la sécurité… il faut en faire le maillon fort !», conclut Benjamin Leroux.