Le modèle de sécurité du futur n’est-il pas celui d’une compagnie aérienne ?

Du château fort à l’aéroport… mais après ?

En 2008, nous avions formalisé une première vision sur l’évolution des modèles de sécurité. Le modèle historique, celui reposant sur la sécurité périmétrique, était alors décrit par l’image d’un château-fort. Un château-fort avec des hauts murs normalement impénétrables (le périmètre), son pont-levis (le pare-feu), mais avec un cœur ouvert à tous (le réseau interne non cloisonné). Et puis, au fil des années, l’ouverture du SI est devenue un élément clé pour réussir la transformation digitale et autoriser certains usages innovants (cloud, BYOD…). Le château-fort c’est donc transformé en aéroport. Un aéroport ouvert par défaut, avec un hall permettant de récupérer des informations simplement ou de faire des achats. Mais un aéroport avec des zones sécurisées, comme le tarmac et les avions, protégeant alors les périmètres les plus critiques. Ce modèle permet d’ouvrir le SI tout en protégeant les actifs les plus critiques.

Demain, un SI de plus en plus décentralisé

En analysant les évolutions actuelles, il est évident que le SI va encore fondamentalement changer. Le SI « interne » va se réduire et regrouper uniquement les périmètres historiques ou très critiques. Les fournisseurs externes et les clouds vont se multiplier et prendre une place prépondérante dans le SI. Ils échangeront directement entre eux des données et interagiront à plusieurs sur des traitements métiers complexes. Les terminaux consommant cette information vont se diversifier, avec les terminaux des clients, les objets connectés ou encore les terminaux personnels des employés. Les données vont donc circuler partout, sur des systèmes et des environnements sur lesquels il n’y a pas de contrôle direct.

La manière d’assurer la cybersécurité dans ce nouveau modèle reposera très certainement sur la création d’une fonction centrale, un service transverse de sécurité. Celui-ci autorisera les différents fournisseurs externes (cloud, partenaires…) et les différents terminaux à accéder aux données en fonction de leur identité (qui, quel rôle) mais aussi de leur niveau de conformité (quelle mise à jour, terminal chiffré, quelle localisation, etc.). Ce modèle est décrit en détail dans le rapport présent ici.

Un modèle inspiré de celui d’une compagnie aérienne

Pour expliquer cette évolution, une autre image simple peut être utilisée. C’est celle de la compagnie aérienne. Aujourd’hui, une compagnie aérienne dispose d’avions. Ils sont l’équivalent des données de notre système d’information. Ces avions sont très critiques pour les compagnies, ils transportent les clients et les équipes de la compagnie aérienne.

Mais les compagnies aériennes font confiance à un écosystème complexe pour s’assurer que les avions arrivent à bon port. Les aéroports accueillent les avions et les passagers comme un fournisseur de cloud peut accueillir des données et les traiter. Les aéroports sont capables d’accueillir des avions de plusieurs compagnies en garantissant la sécurité et la confidentialité, au même titre qu’un fournisseur cloud gère les données de plusieurs clients. Le contrôle aérien s’assure du fonctionnement global du secteur et de la sécurité des différents vols.

Quand une compagnie aérienne décide d’ouvrir une nouvelle ligne, elle évalue la sécurité du pays, de l’aéroport, avant de prendre une décision. Un processus nécessaire aussi avant de souscrire à des offres cloud. Et en fonction du niveau de sécurité du pays et de l’aéroport, la compagnie peut décider d’ajouter des mesures complémentaires de sécurité. Voire parfois de fermer temporairement des lignes en cas de changement brusque de contexte.

Surtout, une compagnie aérienne dispose d’un centre de contrôle opérationnel, qui va suivre et surveiller l’ensemble des vols, l’ensemble des avions, et s’assurer du niveau de sécurité des aéroports en fonction des informations qui lui remontent ou qu’il acquiert via les services de sécurité (threat intelligence). En cas d’incidents ou de crise, c’est le centre opérationnel qui va prendre la main et gérer la crise, imposant des mesures de sécurité nouvelles si besoin.

Un modèle difficile à implémenter

C’est clairement ce modèle de « confiance dynamique », avec une évaluation des droits accès en fonction de la sécurité de ceux qui accèdent (terminaux, serveurs, personnes, etc.), avec la capacité à surveiller globalement les données où qu’elles soient et avec la capacité à pousser de nouvelles règles de sécurité dynamiquement, qui sera au cœur de la cybersécurité dans les années qui viennent. Ce modèle sera requis pour embrasser toutes les innovations à venir.

Ce modèle représente encore un défi, même si de nombreuses initiatives vont dans cette direction. Citons notamment le standard « software defined perimeter » de la Cloud Security Alliance ou l’initative « Beyond Corp » de Google. Une direction à suivre pour les années à venir. Et une image à garder en tête pour l’expliquer simplement.

Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Solucom. Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.