olly - Fotolia

Les stratégies de cybersécurité doivent être plus dynamiques

Le monde du numérique évolue très vite. Mais selon une étude, les stratégies de cybersécurité sont loin d’avancer assez vite pour suivre le rythme de transformation des menaces.

Une nouvelle étude conduite par l’institut Sans pour Illumio se penche sur les vecteurs d’attaque courants et les faiblesses des stratégies de sécurité. Pour Illumio, la conclusion est simple : la cybersécurité doit être plus dynamique et adaptative. Si les experts tendent à s’accorder sur ce point, leurs points de vue divergent quant à la manière d’y parvenir.

Baptisée The state of dynamic data center and cloud security in the modern enterprise, l’étude s’appuie sur le sondage de 430 professionnels de la sécurité et du risque dans des entreprises de tailles variées. Près de la moitié des participants (44 %) qui ont été confrontés à une brèche de sécurité et ont pu partager leur expérience indiquent avoir perdu des données sensibles. 63 % des sondés ont fait face à au moins une brèche ayant conduit à des pertes de données au cours des 24 derniers mois.

Et Illumio de relever que les craintes suscitées par l’attaque ne sont pas toujours cohérentes avec la réalité de l’attaque. Ainsi, 68 % des sondés craignent que des attaques ne tirent profit de vulnérabilités liées à la gestion des accès (IAM), mais seulement 18 % d’entre eux ont pu blâmer de telles vulnérabilités dans le cadre de compromissions.

« On peut comprendre que l’IAM retienne l’attention de beaucoup, dans la communauté de la sécurité », explique Sumit Agarwal, co-fondateur et vice-président produits de Shape Security : « beaucoup de brèches fortement médiatisées au cours des récentes années renvoient à une hygiène de l’IAM limitée. Lorsque ces erreurs font les gros titres, cela devient très embarrassant pour les responsables ».

Ce sont en fait les vulnérabilités applicatives qui apparaissent en tête de liste des vulnérabilités ayant conduit à des compromissions, avec 50 % des suffrages exprimés. Pour Alan Cohen, directeur commercial d’Illumio, le problème vient largement de la rapidité des développements : « on construit de plus en plus d’applications de manière rapide et agile. Mais la sécurité n’a pas suivi l’avènement du DevOps. La capacité à écrire du code a progressé bien plus que la capacité à sécuriser le code ».

Pour Michael Taylor, responsable du développement de produits et d’applications chez Rook Security, la sécurité doit être prise en compte dès le début : « chercher à faire entrer la sécurité au chausse-pied dans une application après une brèche est inefficace, dans une perspective de coût et de temps de développement. Tester complètement des applications développées en interne avec les mêmes outils que les attaquants devrait être une procédure standard dans toutes les entreprises qui s’attachent à la sécurité ».

Mais quel que soit le vecteur d’attaque, contenir l’offensive et corriger les vulnérabilités après coup reste un grand défi. 37 % des sondés ont indiqué être parvenir à contenir une attaque en l’espace de 8h après sa détection.

Mais si ce chiffre peut être rassurant, Cohen souligne que les autres 63 % des sondés n’ont pas été capables de faire aussi bien. Surtout se pose la question de la détection : « quand réalisez-vous que vous avez un rhume ? Dans la minute de l’infection par le virus, ou à l’apparition des premiers symptômes ? »

Pour lui, le nouveau point clé de la maîtrise des compromissions est le trafic dit est-ouest : « d’un côté, ces éléments ont besoin de communiquer entre eux pour fonctionner comme une application multi-tiers. Mais il est nécessaire de pouvoir contrôler ces échanges. Si vous ne pouvez pas couper les communications entre serveurs applicatifs une fois qu’ils sont compromis, tout ce qui est dans l’application est libre d’accès ».

Mais le confinement n’est pas le seul domaine dans lequel l’IT avance lentement. Ainsi, 56 % des sondés ont indiqué qu’il faut moins de deux semaines pour configurer, approuver et appliquer un changement de contrôle de sécurité. Pour 35 %, il faut plus que ça. Et 9 % des sondés ne savent pas exactement combien de temps il leur faut.

Dès lors, pour Cohen, la voie de l’avenir est dans la rénovation des architectures de sécurité, pour les rendre adaptatives au changement : « la plupart des technologies de sécurité des centres de calcul sont basées sur des points clés du réseau. Elles sont configurées et administrées manuellement. Alors que l’informatique devient plus dynamique et plus distribuée, elle s’administre par l’orchestration et l’automatisation. La sécurité doit suivre le même chemin ». Un constat que faisait déjà Art Coviello, alors patron de RSA, la division sécurité d’EMC, lors de l’édition 2013 de la RSA Conference.

Pour Robert Brown, chez Verismic Software, la solution réside dans l’utilisation plus largement de services Cloud à l’abonnement : « j’ai eu la preuve que les grandes infrastructures associées à ces services, comme Dropbox et Office 365, bénéficient de la crème de la crème en termes de ressources et de technologies pour assurer que les données et le service sont aussi sûrs que possible ».

Pour Agarwal et Taylor, la solution tient surtout à la révision des modèles de confiance utilisés par les équipes de sécurité. Agarwal estime en outre que le recours à la virtualisation devrait permettre une utilisation et une reconfiguration des ressources plus dynamiques. Mais Taylor considère qu’il faudrait tout simplement ne pas accorder de confiance au moindre trafic réseau : « au lieu de construire un réseau entouré de murs entre lesquels on fait confiance à tout le monde, il serait préférable de méfier de tout le trafic réseau par défaut et de concevoir nos systèmes en conséquence ». De quoi réduire au passage la confiance dans les pare-feu et autres IPS/IDS et « pousser les développeurs à construire des applications plus robustes et plus sûres : trop souvent, les développeurs partent du postulat selon lequel leurs applications en seront utilisées que dans la zone de confiance, et n’ont donc pas besoin d’être sécurisées ».

Adapté de l’anglais

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close