RSA Conference : Microsoft promeut les architectures sans confiance

Microsoft estime que le monde informatique serait beaucoup plus sûr si les entreprises abandonnaient leurs pare-feu et adoptaient des architectures dites zero trust, ou sans confiance, pour protéger leurs données et leurs applications.

Car pour l’éditeur, qui développait son propos cette semaine, lors de RSA Conference, les pare-feu ne sont plus utiles comme première ligne de défense. Cette technologie, à laquelle beaucoup accordent encore leur confiance, serait ainsi obsolète, du fait de la variété de dispositifs que les employés utilisent pour accéder aux données de l'entreprise à partir d'endroits et de réseaux tout aussi divers. Qui plus, ces données et les applications métiers ne résident plus uniquement dans des centres de calcul privés, mais aussi dans des infrastructures Cloud publiques et des services SaaS.

Ce contexte apparaît bien différent de celui qui prévalait lorsqu’Internet en était à ses débuts et que les entreprises déployaient leurs premiers pare-feu. Alors pour Matt Soseman, architecte sécurité chez Microsoft, l’approche de la sécurité en profondeur « change la donne – qu’il s’agisse d’une solution Microsoft ou autre. Je pense que cela peut réduire le risque et améliorer la posture de sécurité, quelle que soit la solution ».

Le concept décrit par Matt Soseman commence à être bien connu : il s’agit de combiner différents contrôles de sécurité pour identifier les personnes qui tentent d’accéder aux données de l’entreprise et déterminer s’il est raisonnable de leur faire confiance, ainsi qu’à leurs terminaux.

Matt Soseman illustre son propose avec plusieurs scénarios où, par exemple, les contrôles de sécurité en place refusent l'accès à certains appareils, permettent l'accès en lecture seule aux données, ou demandent aux utilisateurs de mettre à jour leur terminal pour obtenir la permission d'accéder à une application ou certaines données.

Pour Eric Hanselman, analyste chez 451 Research, ce type de réflexion encourage surtout les entreprises à déployer des contrôles basés sur l'identité plus exigeants, susceptibles remplacer certaines fonctionnalités de pare-feu. Pour autant, « la réalité du sans confiance dans les applications concrètes, c'est qu'elle augmente le pare-feu, plutôt qu’elle ne le remplace ». Pour selon lui, pour la plupart des entreprises, « il existe encore des exigences architecturales en matière de pare-feu pour assurer la protection ».

En outre, la position de Microsoft n'est pas révolutionnaire. Google l’a détaillée il y a plusieurs années. Et lors de l’édition 2018 de RSA Conference, Andy Ellis, responsable sécurité d’Akamai, s’inscrivait sur la même ligne, affirmant que les pare-feu ne devraient pas être considérés comme le principal moyen de sécurité.

Certains participants à la session de Matt Soseman n’ont d’ailleurs pas caché une certaine déception. L’un d’entre eux, un responsable de la sécurité de bases de données ayant souhaité rester anonyme, estime ainsi que « la plupart des choses dont [Matt Soseman] a parlé relèvent de la sécurité traditionnelle. J’attendais quelque chose de plus radical ».

Il voulait ainsi en apprendre plus sur la mise à profit de l'apprentissage automatique en mode cloud dans une architecture sans confiance, ou encore des informations sur la manière dont une entreprise pourrait utiliser la microsegmentation pour renforcer une telle architecture.

Enfin, tout le monde ne pense pas que les pare-feu constituent des technologies inefficaces et dépassées. Les produits virtualisés, par exemple, agissent comme un agent de la circulation autour d'une application en mode cloud. Alors tant pis s’il peut donner l’impression de prêcher pour sa paroisse, mais Nikesh Arora, Pdg de Palo Alto Networks, assure avoir une « mauvaise nouvelle » pour ceux qui pensent que les pare-feu sont obsolètes : « les pare-feu ne disparaîtront pas. Ils vont rester là pendant un moment ».