Les organisations investissent plus que jamais dans la sécurité. Ironie du sort : ces dépenses croissantes restent malgré tout inférieures aux pertes dues à des failles de sécurité.
Les modèles d’entreprise changent en permanence ; les individus et les terminaux sont de plus en plus connectés ; et les organisations sont à cheval désormais entre le monde physique et le monde digital. Dans ce contexte, et pour rester compétitives, nombreuses sont celles qui doivent repousser les limites à l’aide de nouvelles technologies (IoT, autoapprentissage, intelligence artificielle, etc.). Elles se retrouvent ainsi avec un environnement plus complexe et plus étendu que jamais, avec davantage de vulnérabilités potentielles, et donc plus difficile à sécuriser.
Quelle approche adopter face à ces nouveaux besoins émergents ? Comment les organisations peuvent-elles assurer la sécurité et la conformité des données tout en favorisant l’innovation ? Voici trois éléments clés à prendre en compte à ce sujet :
- La notion de « périmètre » est désormais obsolète
Douves, verrous, caméras de surveillance, pare-feu… Depuis la nuit des temps, la sécurité se focalise sur le « périmètre ». Dans le milieu professionnel d’aujourd’hui, la transformation digitale a engendré des environnements dynamiques, avec des équipes dispersées géographiquement, utilisant une grande variété de terminaux et faisant preuve d’une mobilité totale. Dans ce contexte, quel est l’équivalent d’une douve, appliqué au monde de l’informatique ? Quelles sont les ressources à protéger compte tenu de ce nouvel ordre mondial ?
L’approche traditionnelle en matière de sécurité doit être entièrement revue. Impossible pour les entreprises de veiller à la sûreté de l’ensemble de leurs applications et utilisateurs alors qu’elles sont incapables de définir leur périmètre (s’il en reste un). Il est désormais nécessaire de revoir le concept de base de sécurité des systèmes d’information, et d’en faire un élément essentiel de l’ensemble de l’infrastructure (et non uniquement de sa périphérie). Pour ce faire, les entreprises peuvent s’appuyer sur des solutions logicielles communes telles que des hyperviseurs (pour l’infrastructure d’applications) et des plateformes de gestion de la mobilité (pour les terminaux et l’identité des utilisateurs). Grâce à cette approche, la sécurité touche par définition tous les éléments de l’infrastructure (applications, données, utilisateurs, terminaux, stockage et réseau). La protection est ainsi étendue à tous les niveaux, maximisant la visibilité et le contexte sur l’interaction entre les utilisateurs et les applications et offrant un meilleur alignement des contrôles et stratégies de sécurité aux applications concernées. C’est à ce niveau que résident aujourd’hui les vulnérabilités, et c’est donc là que doivent se concentrer les efforts de protection dans un monde désormais tourné vers des technologies mobiles et distribuées.
- Le risque de dispersion des responsabilités IT est plus grand que jamais
Si les périmètres externes des entreprises ont clairement disparu, les périmètres internes sont également en pleine mutation sur le plan du contrôle des ressources informatiques et de la sécurité. Le Cloud Computing offre aux employés un accès direct et rapide aux données, applications et services lorsqu’ils le veulent, quel que soit l’appareil utilisé.
Cependant, à mesure que les services et individus prennent le contrôle sur le plan technologique, il est de plus en plus, difficile d’obtenir une visibilité concrète sur les ressources. Les organisations peuvent donc facilement perdre le contrôle de la situation. Selon nos propres recherches, 73 % des équipes informatiques et 64 % des utilisateurs métiers estiment qu’il est plus difficile pour les entreprises d’assurer leur sécurité face aux cyberattaques dans ce contexte. En outre, 53 % des personnes interrogées pensent que les services informatiques font par conséquent preuve d’un manque total de contrôle et de responsabilité, tandis que 49 % estiment que tout cela favorise l’acquisition de solutions non sécurisées.
La traditionnelle isolation entre équipes informatiques et métiers modifie les rôles et les responsabilités, mais cela ne doit en aucun cas être à l’origine d’un manque de clarté quant aux individus chargés de la sécurité et de la conformité. Les départements IT doivent être en mesure de gérer cette évolution, tout en offrant aux autres divisions suffisamment de flexibilité pour favoriser l’innovation. Tout cela nécessite une plateforme centralisée où les entreprises pourront exécuter, gérer, connecter et sécuriser leurs applications sur l’ensemble de leurs terminaux (et Cloud), et à partir desquelles les services informatiques pourront tout gérer avec une vue unifiée.
- L’informatique d’aujourd’hui ne sera pas à celle de demain
Le développement, la gestion et l’utilisation de ressources informatiques évoluent constamment. Comment savoir si le contexte d’aujourd’hui ressemblera à celui de demain, et comment le sécuriser ?
Fini l’époque de la prévisibilité : il faut faire preuve d’agilité, de flexibilité et d’évolutivité pour gérer et protéger les systèmes d’information d’une organisation moderne. Si les entreprises ne parviennent pas à suivre le rythme imposé par les métiers, la sécurité deviendra un frein au progrès et à l’innovation.
Un nouveau changement de mentalité est donc nécessaire pour assurer une protection sur le long terme. Jusqu’ici, les organisations se contentaient de superviser en permanence l’intégralité de leur infrastructure à la recherche de logiciels malveillants, et de failles en général. Le problème avec cette approche, c’est qu’elle implique de savoir à quoi ressemblent ces facteurs de risque. Rien de surprenant, donc, à ce qu’elle soit de moins en moins efficace dans un monde où la plupart des menaces émergentes sont des attaques « zero-day » exploitant des failles encore inconnues.
L’évolution constante des cyber menaces, et le rythme et la complexité grandissants des activités exigent clairement une autre méthodologie : se focaliser davantage sur le comportement légitime des systèmes et ressources, et moins sur les manifestations des menaces. Notre nouvelle technologie VMware AppDefense, par exemple, enregistre l’état « normal » d’une application. Une fois ce paramètre défini, toute déviation de comportement peut être signalée et une action, définie préalablement, peut être prise. AppDefense assure une supervision permanente et en temps réel, et prend automatiquement les mesures adéquates, qu’il s’agisse de suspendre la machine virtuelle, de la bloquer ou encore de la mettre en quarantaine.
Cette intelligence contextuelle et cette automatisation évitent aux entreprises de commettre des erreurs en distinguant manuellement les changements légitimes des menaces réelles. C’est donc la seule façon de suivre la cadence imposée par les métiers et de mettre une œuvre une stratégie de sécurité de bout en bout.
Anticiper
Ces observations et évolutions mettent en évidence la nécessité d’établir une source d’informations de référence entre la solution de sécurité et l’environnement devant être protégé. La tendance est clairement à l’accélération et même à la radicalisation de l’innovation et des transformations numériques. Mais grâce à une visibilité accrue et à une meilleure compréhension du contexte, les entreprises seront mieux à même de déchiffrer leurs environnements de plus en plus fragmentés et complexes, et d’offrir une protection adaptée au rythme des métiers afin d’assurer leur sécurité, leur autonomie et de stimuler l’innovation. Cette approche leur permettra de rester compétitives et d’améliorer constamment leurs performances.
VMware était présent au Forum International de la Sécurité à Lille 2018.