Par Célyne Courmont
Si 2020 nous a bien enseigné une leçon c’est qu’il ne faut rien prendre pour acquis et plus particulièrement dans le domaine de la cybersécurité.
Vikas Pandurkar, ancien de l’Insead et de l’école des Ponts et Chaussées, a travaillé pour des entreprises comme Tekelec, Cisco, Level3, Avni (racheté par Veritas), PulseSecure (racheté par Ivanti)…
Il a créé Oxortis il y a 4 ans et a principalement travaillé avec des entreprises en B2B SaaS américains basés sur la côte ouest.
Ancien membre de l’équipe de l’ingénierie de Pulse Secure (leader mondial dans les VPN’s) pour concevoir, développer et mettre en œuvre la nouvelle plateforme basée sur l’approche zero trust, l’entreprise est désormais partenaire privilégié de cette nouvelle plateforme.
En quoi consiste cette approche, comment peut-elle aider les entreprises à sécuriser leur système d’information ? Vikas Pandurkar nous dit tout dans cet entretien !
La cybersécurité dans le contexte de la Covid-19
Il y a eu un avant, un pendant et sûrement un après crise sanitaire. Pour le fondateur d’Oxortis, avant 2020 les entreprises étaient en capacité de maîtriser leur infrastructure grâce à leur périmètre bien défini. Cela se traduisait par des centres de données construits avec des stacks technologiques hétérogènes que les entreprises avaient rachetées et intégrées cela malgré un environnement qui devenait complexe. Ces différentes étapes avaient été gérées à un coût assez élevé, “la part de mobilité pour laquelle les entreprises avaient taillé leur infrastructure avoisinait 10-15%”.
Or, la suite de l’histoire on la connaît : avec le confinement et une grande partie des effectifs à domicile, les entreprises ont dû investir dans de nouveaux équipements pour que les salariés puissent se connecter aux centres de données d’entreprise et travailler.
2020 a aussi changé certaines méthodes de travail : “les entreprises ont souvent des applicatifs qu’ils consommaient en mode SaaS, ou hébergeaient dans des clouds types AWS, Azure, GCP etc.”
Dans le contexte de la crise sanitaire, il était alors de plus en plus compliqué pour des DSI d’être certain qu’ils soient conformes aux normes RGPD ou aux politiques qu’ils avaient définis pour leur société. Répondre à « qui a accédé aux ressources d’entreprise, quoi (ce qu’on a vu, pris, volé…), quand, où (cela s’est produit) et comment (on a été compromis) » devenait également un défi.
Les analystes Forrester, Gartner et autres ont d’ailleurs constaté qu’il y a plus de données sensibles à l’extérieur de l’entreprise (et non dans leurs centres de données) et il y a plus d’appareils personnels qui se connectent aux ressources de l’entreprise. Le télétravail est un facteur important de cette fragilisation, depuis le premier confinement, le nombre d’appareils, serveurs, ressources à provisionner et gérer a augmenté exponentiellement.
L’approche Zero Trust
Comme nous le savons déjà, la crise sanitaire que nous traversons a mis en lumière les nombreuses lacunes des systèmes de sécurité traditionnels. D’après une étude McAfee de 2020, il y a eu 50% de croissance en services dits cloud, 2 fois plus de trafic en cloud émanant des appareils non gérés par l’entreprise et 630% de croissance en événements d’attaques dans des environnements cloud.
Le zero trust est un service de mise en place d’un socle, permettant une visibilité et un contrôle des 4 dimensions suivantes :
- des utilisateurs,
- de leurs appareils (ceux donnés par l’entreprise ainsi que les appareils personnels des collaborateurs),
- de l’infrastructure qui héberge les ressources de l’entreprise
- des applications et des données qui se trouvent dans les diverses infrastructures qu’utilise l’entreprise.
“Nous proposons 3 services :
- Nous aidons les entreprises à mettre en place une stratégie zero trust (indépendant de quelconque produit). Nous avons d’ailleurs une accréditation Forrester pour réaliser cette mission.
- Nous proposons des services d’onboarding pour la plateforme de zero trust d’Ivanti (anciennement PulseSecure).
- Mais aussi des services managés, également pour la plateforme d’Ivanti.
Tous types d’entreprise, indépendamment du secteur d’activité, doit protéger ses ressources.”
A ce titre, Oxortis travaille depuis presque 2 ans avec Pulse Secure sur l’élaboration, le développement et la mise en marché de cette nouvelle plateforme. Ils proposent des services managés, leur équipe est basée en Inde dans un centre certifié ISO et CMMi (Capability Maturity Model Integration).
Les avantages de la méthode Zero Trust
Par rapport à l’actualité et au contexte de télétravail qui accroît les cybers risques, la méthode Zero Trust a plusieurs avantages.
Tout d’abord c’est un concept de sécurité qui exige que tous les utilisateurs, même ceux à l’intérieur du réseau de l’entreprise, soient authentifiés et autorisés avant d’obtenir l’accès aux applications et aux données. Une fois que ceci est fait, pour conserver l’accès obtenu, Zero Trust préconise la validation en permanence de la configuration et la posture de sécurité. “Pour un monde de travail de plus en plus à distance, le zero trust est nécessaire et urgent à mettre en œuvre”.
Pour Vikas Pandurkar “Zero Trust est un changement significatif par rapport à la sécurité réseau traditionnelle, il faut prouver à chaque fois que l’on a le droit d’accès à telle ou telle ressources.
L’approche traditionnelle faisait automatiquement confiance aux utilisateurs au point d’exposer l’organisation à des risques pouvant venir d’acteurs internes malveillants et permettant ainsi aux utilisateurs non autorisés un accès étendu une fois à l’intérieur du système.”
Il précise néanmoins que l’approche Zero Trust n’est pas un produit ou un service. “C’est un chemin/framework/paradigme d’avenir qui devrait permettre aux entreprises de toutes tailles de sécuriser les 4 dimensions à protéger en permanence – utilisateurs, appareils, infrastructure, applications/données”.
Pour un peu de contexte, la confiance zéro est née du travail effectué par la Defense Information Systems Agency (DISA) et leur travail sur le concept de périmètre défini par logiciel (SDP – Software Defined Perimeter). Puis, ce travail a été officialisé et popularisé par la Cloud Security Alliance au cours de la dernière décennie. Un SDP incarne les principes de la confiance zéro au niveau du réseau. Il introduit des mécanismes pour contrôler l’accès au niveau du réseau à un système et pour demander l’accès et l’accorder. Un SDP est un réseau virtuel, profondément segmenté et centré sur les terminaux, superposé à tous les autres réseaux physiques et virtuels déjà présents.
L’approche Zero Trust sur le marché français
L’idée du Zero Trust est naissante en France, comme le montre la récente étude d’Opinionway commissionné par le CESIN, seulement 6% des 228 entreprises interrogées sont très engagées dans l’approche et 23% sont en train d’en mettre en place les premières briques.
Comme tout nouveau concept, il est donc normal d’avoir à réaliser une phase d’évangélisation avant que les DSI s’approprient l’idée et l’adoptent.
“On peut se demander : y a-t-il une alternative valable à Zero Trust ? D’autres approches existent certainement, mais elles n’apportent pas les résultats escomptés.”
Vous l’avez peut-être lu, le gouvernement américain a décidé de mettre en place une sécurisation des ressources consistant aux utilisateurs, leurs appareils, les applications et des données qu’ils consomment et sur tout infrastructures. Cela est bien évidemment basé sur les principes de Zero Trust.
Quels sont les constats et les impacts de la crise sanitaire sur votre système d’informations ?
Suite à la crise sanitaire et aux changements que celle-ci a entraînés dans le monde du travail, plusieurs risques sont à essayer d’anticiper pour les entreprises :
- Beaucoup d’entreprises étrangères ont franchi le pas et ont annoncé que les effectifs ne seraient pas obligés de revenir au bureau. « Anywhere workplace » veut dire que les DSI seront obligés de mieux sécuriser, veiller et contrôler en permanence, et donc d’être plus réactif pour limiter les incidents, qui ne cesseront d’augmenter.
- La récente étude d’AMRAE montre que l’indemnisation a triplé entre 2019 et 2020 et avoisine 217 millions d’euros. 87% des grandes sociétés sont couvertes et seulement 8% d’ETI d’après cette étude. “Il est fort probable que les assureurs demandent des primes contre des attaques cybers plus importantes à défaut de faire valider l’environnement sécurisé (par des experts) de l’entreprise et leur capacité à contrer des attaques.” On voit déjà la naissance de sociétés comme Cyberacuview, qui est un consortium de 7 assureurs, pour mieux organiser et structurer leur offre de cyber sécurité.
- Aussi, les segments et les sous-segments du marché de sécurité sont en constante évolution. Les experts sont peu nombreux sur ce dernier et ils s’arrachent à prix d’or et ne peuvent pas tout gérer. “On va devoir se reposer sur l’automatisation pour un certain nombre de choses, et on le constate déjà dans les nouvelles plateformes/ produits de sécurité”.
- Aussi, en cas de non-paiement de rançon, les personnes malveillantes peuvent menacer de divulguer des données sensibles (comme par exemple en Finlande avec l’entreprise Vastaamo) et le faire payer.
“Il vaut mieux se préparer en amont”
Pour Vikas Pandurkar il est urgent de faire quelque chose dès maintenant pour prévenir un maximum ces risques.
Selon l’étude de Veracode titré « state of application security, 2020 », 83% des 85000 applications testées avaient au moins une faille de sécurité. La plupart en avaient beaucoup plus. L’étude démontre un ensemble de 10 millions de failles, et 20% de toutes les applications ont révélé au moins une faille de sévérité élevée. Un certain nombre de ces vulnérabilités ont été publiées par la communauté OWASP (Open Web Application Security Project) dès 2017.
Selon des experts, des technologies permettent de faire un scan de tout internet (toutes les adresses IP4 public, +4 Milliards d’adresses IP) en moins d’une heure. Il suffit aux acteurs malveillants de trouver une vulnérabilité (CVE) qu’ils peuvent exploiter avant qu’une entreprise découvre qu’il y en a une chez eux.
“Des entreprises qui revoient leurs processus de sécurité mensuellement, qui font des tests de pénétration tous les trimestres auront du mal à résister à un attaquant beaucoup plus réactif. Si les douze derniers mois nous ont prouvé quelque chose c’est bien cela. Si l’on creuse, les sociétés qui ont subi ces attaques se sont très probablement fié à leurs investissements en VPN’s, Firewall et d’autres produits adaptés pour un périmètre qui n’existe plus. Contre des intrusions préméditées et qui n’épargnent ni des sociétés privées, ni des institutions publiques, il vaut mieux se préparer – dès hier.”
Comment le zéro trust s’inscrit dans les prestations en cybersécurité d’AGAETIS et NOVENCIA ?
En tant que cabinet de conseil nous sommes toujours en veille d’approches complémentaires à nos savoir-faire et nous cherchons en permanence des méthodes et solutions pour augmenter le niveau de maturité aux risques cyber de nos clients.
Nos consultants interviennent en amont sur des phases d’audit/conseil pour évaluer la pertinence et le plan de charge à établir pour être en capacité de déployer une approche Zero Trust à grande échelle.
En septembre nous organisons chez Novencia un événement autour de la cyber sécurité où l’approche Zero trust sera détaillée et nous présenterons des cas d’usages.
→ Plus d’informations sur notre offre en cybersécurité.
Source : agaetis.fr