Art Coviello, Pdg de RSA :"il faut encapsuler la sécurité dans la couche de virtualisation"

"Le moment est venu pour une refonte en profondeur de la sécurité. Si l'on intègre la sécurité plutôt que de la greffer a posteriori sur un large périmètre, on aboutit en fait à une encapsulation de la technologie (de sécurité) dans la couche de virtualisation". Art Coviello, président de RSA, la division sécurité d'EMC

Il y a trois ans, le président de RSA, Art Coviello, a fait une déclaration audacieuse lors de la Conference RSA, quand il a proclamé que l'industrie de la sécurité cesserait d'exister, et que les fonctions de sécurité seraient intégrées dans l'infrastructure informatique.

Les jours de la sécurité autonome, greffée en bordure du périmètre du réseau sont comptés, avait-il déclaré. Aujourd'hui, Coviello enfonce le clou et explique que sa vision est devenue réalité. Et il veut voir les mêmes technologies qui ont donné vie au cloud computing et à la virtualisation être utilisées pour les sécuriser. Il veut notamment intégrer en profondeur la sécurité dans le nuage afin que les entreprises puissent effectivement gérer et contrôler l'accès aux données tout en continuant de profiter des économies de coûts et de l'efficacité des services en nuage.

SearchSecurity : Il y a trois ans lors de votre intervention à la conférence RSA, vous avez affirmé que l'industrie de la sécurité disparaîtrait d’ici trois à cinq ans. Maintenant, vous parlez d’encapsuler la sécurité dans le nuage et dans les appareils que nous utilisons. Est-ce que la concrétisation de votre vision originale ?

Art Coviello : On me titille beaucoup à ce sujet parce que j’ai littéralement dit qu'il n'y aurait plus besoin d'une industrie de la sécurité d’ici trois ans. En vérité, je pense que les propos d’une analyste de Wall Street, Sarah Friar de Goldman Sachs, me donnent raison. Dans un rapport de recherche remis à l'automne dernier, elle écrit que le secteur de la sécurité est de plus en plus encerclé. Il y a une poignée d’acteurs de grande taille, un tas de petits acteurs, et rien entre les deux. Dans mon discours, j'ai dit qu'il y aurait toujours de la place pour des start-ups innovantes. Lorsqu'un segment innovant de la sécurité émerge, vous voyez les grands du secteur se mettre en branle et ramasser les acteurs les plus pointus. C’est ce qui s’est passé sur la prévention de fuites de données (DLP), mais aussi à un certain niveau dans la SIM (Security Information Management) et la GRC (Governance Risk and Compliance). Ce que j'ai dit il y a trois ans se concrétise aujourd'hui. La sécurité devait finir par être embarquée dans l'infrastructure. C'est la plus grosse vague à ce jour, et plus la virtualisation évoluera vers la constitution d’infrastructures de cloud, plus la sécurité va être encapsulée et intégrée dans l’infrastructure virtuelle.

SearchSecurity : Est-ce la seule façon d’intégrer la sécurité au nuage ? N’y a-t-il pas des alternatives ?

A.C. : Vous vous retrouverez avec les mêmes problèmes que vous avez dans l’environnement physique. Le moment est venu pour une refonte en profondeur de la sécurité. Si l'on intègre la sécurité plutôt que de la greffer a posteriori sur un large périmètre, on aboutit en fait à une encapsulation de la technologie (de sécurité) dans la couche de virtualisation. De sorte que chaque fois que vous créez une machine virtuelle, vous aurez la possibilité d'automatiser tous les contrôles selon la politique adaptée à cette machine virtuelle. Si vous faites cela, vous prenez des kilomètres d’avance par rapport à ce qui se pratique aujourd’hui dans une infrastructure physique. C'est pourquoi je suis si optimiste sur le fait que nous pouvons nous appuyer sur les technologies qui rendent le cloud possible pour le sécuriser.

SearchSecurity : Quelle est votre vision sur la façon dont les politiques et les identités devraient voyager avec les données dans le nuage ?

A.C. : Un des éléments importants, quand vous commencez à externaliser votre informatique dans le nuage, est que vous avez la possibilité de dicter aux prestataires de services vos exigences en matière de fédération de politiques et d'identités. Je ne compte plus le nombre de fois ou l’on ma demandé  : « Qui est responsable de la sécurité ? Le fournisseur de nuage ou le client ?». J'ai l'habitude de répondre : « les deux ».

Si le client a la capacité de faire de la fédération, alors il n'a pas à abdiquer ses responsabilités en matière de définition de politique et de gestion d'identité. Avec la fédération, il peut transférer ses exigences aux fournisseurs de nuages. Ce que le fournisseur doit faire en retour n'est pas seulement d’appliquer la politique et les contraintes en matière de gestion d'identité, mais aussi de démontrer qu'il s’y est conformé tout en étant « multi-tenant ». Et fournir les moyens de délivrer des indicateurs vérifiables pour montrer qu’il a suivi ce qui lui avait été dicté.

SearchSecurity : Où en sont vos clients en matière de virtualisation ? En sont-ils encore largement à opérer des environnements de test et de développement ?

A.C. : Nous voyons des organisations qui sont à des stades variés. Les gens semblent empêtrés dans le discours autour du cloud. Ils ne semblent pas pouvoir le comprendre. Peut-être le terme de nuage est-il une mauvaise métaphore. Le cloud n'est rien de plus que la virtualisation appliquée au degré-n, poussée dans ses extrêmes.

Beaucoup commencent avec la virtualisation des activités de test et de développement, et pas avec leurs applications critiques. C'est encore le stade où en sont la majorité des organisations. Elles ne virtualisent toujours pas leurs systèmes de production et leurs applications critiques. Certaines le font, mais ce n'est pas la majorité. D'autres développent des nuages internes pour certains pans de leurs infrastructures.

SearchSecurity : En fin de compte, vous devez contrôler l'accès aux données stockées dans le nuage et savoir quels utilisateurs y accèdent, ce qu'ils font avec et où ils transfèrent les données. Vous semblez considérer la GRC comme un moyen pour ce faire. Pourquoi la GRC (Governance Risk and Compliance) plutôt que la SIM (Security Information Management) ?

A.C. : les deux approches ne sont pas mutuellement exclusives. Elles sont complémentaires. Nous avons parlé avec Intel de la construction d'une racine de confiance au niveau du matériel lui même [racine basée notamment sur les capacités du TPM embarqué sur les cartes mères]. Cela signifie que le client ou le fournisseur de nuages peut être sûr qu’il ne subira plus d’attaques liées au BIOS ou à la plate-forme. Il dispose donc de la confiance nécessaire pour déployer une couche virtuelle au dessus de cela. Les mécanismes de contrôle de la couche virtuelle et ceux que vous lui ajoutez peuvent ensuite verser leurs informations dans des plates-formes qui recueillent les données de log et permettent d’analyser ces informations. Et ce n'est pas fini ; vous avez ensuite besoin d'un tableau de bord pour pouvoir regarder ces données en fonction de votre modèle de gouvernance, de contrôle des risques et de conformité réglementaire. C'est vraiment lorsque la SIM complète la plate-forme de GRC que l’on dispose d’une plate-forme aboutie.

SearchSecurity : Pourquoi voit-on un tel regain d’intérêt pour la guerre cybernétique et le cyberterrorisme. Ce n'est pas un problème nouveau...

A.C. : Je crois qu'il y a eu un vrai changement l'an dernier - je l’avais remarqué bien avant la cyber-attaque Aurora sur Google - : la rapidité avec laquelle les logiciels malveillants évoluent, ainsi que l'intensité et le volume de distribution de logiciels malveillants ont atteint des proportions pandémiques l'an dernier. On me pose souvent la question : « Quoi de neuf en matière de menaces ? ». Il n’est pas nécessaire qu’il y ait beaucoup de nouveautés si les logiciels malveillants et efficaces évoluent à un rythme plus rapide et dans de plus grands volumes. Nous en sommes au point où même les petites et moyennes entreprises sont touchées parce que les menaces sont généralisées sur Internet. Ces trucs sont tellement automatisés, que même les petites entreprises sont touchées. C'est ce qui me fait dire qu’on a atteint le stade de la pandémie. Ce qui est arrivé à Google n'est qu'une manifestation de ce qui est en train de se passer.

SearchSecurity : Quel est votre avis sur la nomination d’Howard Schmidt en tant que coordonnateur de la cybersécurité des Etats-Unis, et en particulier sur le fait qu’il est à la fois technologue et politicien ? Est-ce le bon type de profil pour ce poste ?

A.C. : Je le crois. Je mettrais l'accent sur la partie technologue. Il a été chez Microsoft [Schmidt a été en charge de la sécurité des données puis RSSI de Microsoft et a été l’un des inspirateurs du Trustworthy Computing chez l’éditeur, NDLR]. Il a ensuite travaillé pour eBay [Comme RSSI, il a notamment travaillé sur les initiatives anti-fraude du e-marchand, NDLR]. Vous ne voudriez pas que j’occupe une telle position, car je ne suis pas un très bon politique, or vous devez avoir des compétences en la matière à ce niveau-là. Ce qui qualifie le plus Howard pour ce poste, ce sont ses profondes connaissances des technologies et sa capacité à articuler cette
notion d'équilibre - qui consiste à ne pas minimiser les menaces et à ne pas non
les exagérer - tout en formulant les recommandations sur ce qu’il faut mettre en œuvre ou corriger pour arriver à un résultat satisfaisant.

SearchSecurity : La tâche n'est-elle pas trop large pour une seule personne ?

A.C. : Son titre est coordinateur de la cybersécurité. Les gens ont tendance à attacher le mot tsar à cela. Mais il n’a ni le budget, ni l’autorité qui en feraient un tsar. Ce qu'il possède en revanche, c'est l'oreille du président, l'oreille du Conseil national de sécurité et cela a un poids non négligeable. Ce qui me rend heureux, c'est le fait que le Department de la sécurité intérieure [DHS ou Department of Homeland Security] a été renforcé sensiblement. J'ai toujours eu le plus grand respect pour les capacités de la NSA et je pense qu'il est extrêmement important pour eux de collaborer avec le DHS ; il est évident qu'ils ne peuvent pas jouer un rôle opérationnel à l’intérieur de nos frontières, mais ils peuvent certainement transmettre une partie de leur savoir et ajouter de la valeur au DHS. Pour ce faire, vous devez toutefois avoir une équipe suffisamment musclée et compétente au DHS pour absorber ce savoir et cette formation et l’utiliser de façon opérationnelle. C’est pourquoi j’apprécie ce que fait ce gouvernement. Mais nous avons besoin d’un sens encore plus aigu de l’urgence.

Propos recueillis par Michael S. Mimoso, directeur de la rédaction, SearchSecurity.com