Expert en transition digitale

Expert en transition digitale


Les lacunes de la protection actuelle des réseaux

Shantanu Bhattacharya, cofondateur et directeur technique, Phone Pass Pty LTD

Les entreprises ont de plus en plus de mal à répondre à toutes les exigences d’un réseau et de la sécurité qui lui est associée afin de fournir une infrastructure réseau sûre, solide, performante et efficace.

Projet de transition digitale

Ces difficultés sont dues aux principaux aspects suivants :

  • Les entreprises doivent fournir à leurs partenaires : vente et chaîne d’approvisionnement, un accès à leur infrastructure réseau pour prendre des décisions au bon moment. Par exemple, le fournisseur est automatiquement informé lorsque le stock est en dessous du filigrane haut ; ou lorsque le fournisseur de passerelle de paiement doit intégrer sa solution au réseau de l’utilisateur de la passerelle de paiement.
  • De nombreuses entreprises autorisent l’utilisation du BYOD (Bring Your Own Device) au sein du réseau de l’entreprise. L’étendue de la gestion de ces appareils est limitée. Il existe un potentiel de perte de données ainsi qu’une surface d’attaque étendue pour les attaquants.
  • Même les entreprises qui n’autorisent pas les appareils BYOD émettent des appareils mobiles qui ne peuvent être entièrement couverts et gérés par des solutions MDM (Mobile Device Management). Même les bonnes solutions MDM nécessitent des audits de sécurité et la définition de politiques d’entreprise pour être efficaces. La plupart des organisations ne disposent pas des ressources nécessaires pour les gérer, notamment en raison du volume de trafic. 
  • De plus, la plupart des utilisateurs ne veulent pas de ces agents invasifs sur leurs appareils mobiles personnels ou même de bureau, ce qui permet aux employeurs d’avoir une visibilité sur l’activité personnelle – des choses comme l’historique de navigation, des choses comme les données de localisation via le GPS, des choses comme leurs identifiants de connexion puisqu’il est difficile de séparer l’utilisation professionnelle et personnelle de la navigation mobile ou de l’utilisation du GPS.
Augmenter son efficacité grâce à la transition digitale
  • Les employés – personnel d’assistance, de marketing et de vente – travaillent depuis des sites qui ne font pas partie de l’infrastructure de l’organisation. Le personnel d’assistance opère souvent à partir du site du client, tandis que les commerciaux et les spécialistes du marketing se rendent à divers endroits pour leurs réunions de vente. Dans tous ces cas, les employés ont besoin d’accéder à l’infrastructure réseau de l’entreprise.
  • Avec l’avènement de Covid19, un pourcentage croissant de personnes travaillent à domicile. Les attaques sur le trafic « Work from Home » (WFH) ont augmenté de 2000% depuis le début de Covid19. De plus, le WFH a étiré le réseau à des niveaux insoupçonnés.
  • Les services en cloud sont de plus en plus utilisés. De nombreuses organisations utilisent plusieurs services en cloud provenant de plusieurs fournisseurs, ce qui rend les choses encore plus complexes.

Les périmètres organisationnels ne sont plus physiques, ils sont logiques.

En dehors de tout ce qui précède, les réseaux d’entreprise sont de plus en plus soutenus par des applications basées sur le cloud pour exécuter leurs services d’entreprise, comme M365, et prendre en charge des flux de travail distribués pour assister les utilisateurs distants, comme ServiceNow. Cette évolution a abouti à l’émergence d’un réseau d’entreprise doté d’un périmètre complexe et se développant radicalement au-delà de la zone communautaire conventionnelle, mettant les responsables de l’infrastructure au défi d’élargir la surface d’attaque en constante expansion.

Les outils de sécurité et de renforcement des réseaux n’ont pas été mis à jour pour combler les vulnérabilités et les lacunes, ce qui rend les solutions VPN obsolètes. Pour que les entreprises puissent continuer à fonctionner dans les nouvelles circonstances, tous les points d’extrémité doivent être sécurisés et gérés avec les mêmes politiques de réseau et de sécurité, indépendamment de leur emplacement.

En bref, les réseaux actuels ne peuvent pas suivre le rythme des besoins des entreprises. Les réseaux ont été établis pour soutenir les activités commerciales et le non-alignement va à l’encontre de cet objectif. En outre, la sécurité est perçue comme un coût dans la plupart des entreprises, qui hésitent donc à dépenser suffisamment pour résoudre les problèmes et ramener l’alignement. Les CXOs sont plus enclins à dépenser avec un chiffre de ROI calculé sur la dépense.

Projet de transition digitale

Les problèmes de sécurité et leurs tendances

Comme nous l’avons vu, le profil de sécurité des organisations est également beaucoup plus vulnérable dans le contexte du réseau décrit.

  • Compte tenu des lacunes de l’armure MDM, il n’est pas difficile de voir que ces appareils mobiles, qu’ils soient BYOD ou non, posent un sérieux problème de cybersécurité.
  • L’intégration des flux de travail entre diverses organisations partenaires peut également exposer l’organisation considérée à davantage d’attaques de sécurité, dont beaucoup échappent à sa sphère de contrôle.
  • Plus important encore, l’utilisation accrue du WFH par une partie significative de la main d’œuvre pose deux menaces majeures, à savoir la panne ou l’interruption du réseau en raison de l’augmentation du volume de trafic au niveau du réseau périphérique des organisations et les vulnérabilités du réseau domestique affaiblissant le réseau des organisations. Cela peut être grave car le budget de sécurité des ménages est minuscule par rapport à l’ampleur des attaques possibles. Ainsi, un appareil, BYOD ou autre, peut être affecté avant qu’il n’utilise le VPN du réseau domestique pour se connecter au réseau de l’entreprise, ce qui annule toute force que le VPN pourrait avoir. Pour couronner le tout, les technologies VPN elles-mêmes sont très vulnérables, et comme toute autre armure, même une petite faille dans celle-ci pourrait être désastreuse pour les organisations.
  • Aucun fournisseur de cybersécurité ne peut fournir des produits qui ont une force dans tous les domaines de la cybersécurité. En outre, la situation de chaque organisation peut faire en sorte qu’un produit particulier lui convienne mieux que celui fourni par les concurrents du fournisseur. Les organisations qui achètent les produits sont donc plus susceptibles d’acheter différentes parties de la défense en matière de cybersécurité auprès de différents fournisseurs. Le plus souvent, ces produits ne s’intègrent pas de manière transparente aux produits d’autres fournisseurs.
Augmenter son efficacité grâce à la transition digitale

Par conséquent, les organisations se retrouvent avec des solutions ponctuelles, laissant des lacunes importantes malgré les sommes considérables dépensées pour les résoudre.

Tout ceci a incité Gartner à proposer un concept de solution appelé SASE (Service d’accès sécurisé Edge), prononcé comme « sassy ». Avec SASE, les organisations n’ont pas à traiter avec de nombreux fournisseurs du modèle incongru des équipements physiques et virtuels. Ils n’ont à traiter qu’avec un seul fournisseur. Les organisations peuvent fournir davantage de technologies et de services par un seul fournisseur plutôt que deux ou plus, ce qui réduit les coûts d’intégration et de mise à niveau de divers appareils et la complexité indésirable du réseau. SASE facilite, par exemple, les mises à niveau, les correctifs et la maintenance du réseau, ce qui réduit encore les coûts.

La réduction de la complexité du réseau permettra également de réduire la charge de travail du personnel de support informatique. SASE a le potentiel de réduire le budget de support réseau et sécurité ainsi que celui du personnel informatique tout en fournissant une couverture continue pour la surveillance et la réaction aux performances du réseau et aux menaces pour la sécurité en utilisant une solution intégrée et consolidée avec moins de failles de sécurité.

L’un des principaux avantages de SASE est sa facilité de gestion. SASE, en tant qu’application centrale unique de gestion du cloud, peut contrôler toute la gamme des services à partir d’un seul tableau de bord. Par exemple, la gestion des dispositifs SD-WAN, NGFW, SWG et VPN sur plusieurs sites au sein d’un réseau d’entreprise nécessitera moins d’experts informatiques en raison de la consolidation.

Modèle de sécurité réseau du futur

SASE est donc le modèle futur suggéré par Gartner. Service d’accès sécurisé Edge (SASE) est une suite de solutions de sécurité en nuage à l’échelle de l’entreprise, conçue pour relever les défis de réseau et de sécurité causés par la transformation numérique de l’entreprise – un terme qui désigne tous les changements que nous avons vus au début de cet article. Les changements susmentionnés, avec une main-d’œuvre de plus en plus mobile, feront que les utilisateurs, les appareils, les applications et les données se trouveront en dehors du centre de données et du réseau de l’entreprise, ce qui créera une « inversion du modèle d’accès. » SASE est une nouvelle architecture réseau qui fusionne le SD-WAN (Software-Defined Wide Area Networking) pour former un service cloud unique et unifié.

L’un des avantages uniques de SASE est que sa complexité de gestion n’augmente pas avec la croissance du réseau, car il s’agit d’une seule application de gestion consolidée basée sur le cloud. Elle peut donc contrôler l’ensemble du service sans avoir à refaire entièrement le système existant.

SASE pourrait faire pour l’architecture de sécurité du réseau ce qu’AWS et Azure ont fait pour la fourniture d’applications. Il peut permettre l’hyperscalabilité et l’élasticité de l’infrastructure WAN. Les anciennes solutions cloisonnées nécessitent beaucoup de temps et d’efforts pour monter et descendre en charge. La mise à l’échelle vers le bas est inconnue dans les anciens systèmes. Il faut donc envisager de les rendre obsolètes. D’autre part, les solutions SASE réduisent la charge informatique et rationalisent les délais de mise à disposition.

Avec les solutions SASE basées sur le cloud, le service informatique peut acquérir un site beaucoup plus rapidement qu’avec un ancien système de plusieurs jours, comme c’était le cas avec le WAN traditionnel. En outre, la réduction du matériel sur site se traduit par un minimum de maintenance, de pannes et de licences logicielles. Les gains d’efficacité permettront au support informatique de se consacrer à des tâches plus sensibles et plus productives, telles que la sécurité et la surveillance du réseau.

Les solutions réseau traditionnelles nécessitent davantage de dispositifs et de systèmes de sécurité pour répondre aux exigences et aux normes de sécurité. Souvent, ces solutions traditionnelles ne fournissent pas les dernières fonctionnalités de sécurité telles que IPS, NGFW et SWG, et donc la sécurité nécessaire au fonctionnement de l’entreprise. Les entreprises ont donc besoin de plus de solutions de sécurité pour combler cette lacune, ce qui ne fait qu’ajouter à la complexité, entraînant davantage de problèmes.

SASE supprime ce problème en intégrant dans son infrastructure des fonctions de sécurité telles que les filtres URL, les IPS, les logiciels malveillants et les pare-feu. La fourniture de la solution SASE permet aux entreprises de gérer la sécurité de leur réseau, d’établir des politiques uniformes, d’identifier les irrégularités et de réagir rapidement aux changements. Toutes les frontières et tous les lieux, des sites des organisations aux sites mobiles en nuage, sont protégés de la même manière.

Projet de transition digitale

SASE (Service d’accès sécurisé Edge) – Ses avantages

L’objectif de l’intégration des performances du réseau et des capacités de sécurité est d’aider les organisations à faire face à des changements tels que le passage aux applications en nuage et à une main-d’œuvre distribuée et mobile. Voici quelques-uns des principaux avantages de la transition vers une architecture SASE :

  • Permettre de nouveaux scénarios commerciaux pour les utilisateurs, les appareils, les applications, les données et les services situés à l’intérieur ou à l’extérieur du périmètre de l’entreprise et de l’entreprise.
  • Améliorer la sécurité en fournissant des contrôles de sécurité à proximité de l’utilisateur, ce qui rend plus difficile pour les attaquants de découvrir et d’exploiter les ressources de l’entreprise.
  • Améliorer l’évolutivité et la résilience grâce à un accès à faible latence aux utilisateurs, aux dispositifs et aux services.
  • Réduire les coûts et la complexité de la gestion des fournisseurs en intégrant la vision des fournisseurs aux systèmes requis et en augmentant la visibilité tout en facilitant la gestion.
  • Favoriser la confiance zéro en utilisant une multitude de signaux de menace, établir la confiance et garantir un accès sécurisé aux ressources internes et à l’internet.
  • Augmenter l’efficacité du personnel chargé des réseaux et de la sécurité en réduisant les frictions dans la sécurisation du réseau sans dégradation des performances.
Augmenter son efficacité grâce à la transition digitale

SASE – Ses inconvénients

Cependant, SASE est-il la solution miracle que nous recherchons tous ? Apparemment, non. Le modèle SASE présente des limites. Je vais en souligner quelques-unes.

Point de défaillance unique

Les inconvénients les plus importants sont que les équipes informatiques renonceront aux avantages du multi-sourcing – tels que la sélection des composants auprès des meilleurs fournisseurs possibles pour les fonctions individuelles, et la diversification du profil de risque lié à l’engagement de plusieurs fournisseurs. Avec l’architecture SASE, les organisations peuvent être confrontées au risque de point de défaillance unique (SPOF) ou d’exposition – comme SASE fournit toutes les fonctions de mise en réseau et de sécurité en tant que service unique, les problèmes techniques ou de sécurité du côté du fournisseur peuvent potentiellement entraîner la défaillance et l’exposition de tout le système.

Les pare-feu pour applications Web ne suffisent pas à eux seuls

On croit souvent à tort qu’une sécurité périmétrique, telle qu’un pare-feu pour applications Web (WAF), suffit à sécuriser une application Web. La sécurité périmétrique sécurise le trafic entrant et sortant de l’application, mais elle ne surveille pas l’activité qui se déroule directement sur le serveur de l’application Web ou entre différents serveurs situés derrière le WAF. Si un WAF passe à côté d’une attaque (comme dans les attaques de Capital One ou d’Equifax), le SASE ne pourra pas empêcher d’autres dommages sur les serveurs d’applications situés derrière le WAF, ni même détecter et contrôler les dommages que le cybercriminel cause sur le serveur d’applications lui-même.

Le NIST reconnaît la nécessité de la sécurité des applications

La sécurité de l’application située sur le serveur d’applications (également connue sous le nom de Runtime Application Self-Protection ou RASP) est désormais reconnue comme une exigence par le NIST (National Institute of Standards and Technologies) pour la sécurité des applications Web dans le cadre de sa structure SP 800-53. En outre, le NIST a ajouté à ce cadre une exigence relative aux tests interactifs de sécurité des applications (IAST). Du point de vue du NIST, c’est un changement important que de reconnaître ces déficits en matière de sécurité des applications dans le cadre de sécurité des applications du NIST.

Conclusion

Je voudrais résumer en disant que chaque organisation est confrontée à d’énormes défis avec les nouvelles façons de faire des affaires qui apparaissent chaque jour. Par conséquent, il est nécessaire de réfléchir et cette solution peut être différente pour chaque organisation. Elles devraient et seraient déterminées par leurs propres circonstances, leur profil de risque et leur appétit pour le risque. J’ai abordé ici une option possible de SASE. Elle apporte beaucoup de promesses, mais doit être adoptée avec les yeux ouverts, afin que les défis soient bien gérés.

Commentaires