En matière de stratégie de cybersécurité, mieux vaut ne pas mettre tous ses œufs dans le même panier. Cet adage est d’autant plus pertinent de nos jours, où la menace cyber est protéiforme et de plus en plus complexe. Regards croisés de nos experts Stormshield sur ce sujet de la pluralité.
À l’heure où le secteur de la téléphonie mobile est agité par les tensions entre États-Unis et Chine au sujet de la maîtrise des réseaux 5G, le rachat de technologies européennes depuis quelques mois alarme les experts les plus alertes du secteur. D’une part, parce que des entreprises françaises spécialisées battent désormais pavillon américain, et d’autre part parce que la crainte de voir des monopoles se constituer dans le secteur resurgit. Or, les situations de monopoles sont généralement problématiques. Souvent, elles restreignent la liberté des utilisateurs en limitant leurs choix et mettent en péril leur sécurité.
Garantir l’équilibre de l’écosystème
En matière de cybersécurité, la constitution de monopoles n’est jamais une bonne nouvelle. Surtout qu’en parallèle, « le monde de la cybersécurité s’américanise », souligne Matthieu Bonenfant, Directeur Marketing de Stormshield. « Or, quand un environnement est trop consolidé autour de gros acteurs forts, cela déséquilibre les écosystèmes. Certaines entreprises ou États peuvent s’arroger le droit de dicter l’état de l’art sur le plan technologique. » Il est donc fondamental que l’écosystème cyber soit équilibré et fonctionne selon un principe de diversité. « La pluralité des solutions et des acteurs est une garantie de liberté et de sécurité pour les entreprises et les utilisateurs. »
Le monde de la cybersécurité s’américanise
Matthieu Bonenfant, Directeur Marketing Stormshield
Ancien secrétaire d’État chargé du numérique du gouvernement français, Mounir Mahjoubi abondait dans ce sens lorsqu’il défendait le moteur de recherche français Qwant au nom de « l’opportunité d’introduire de la diversité technologique » dans les outils du quotidien.
« Nous avons l'opportunité d'introduire de la diversité technologique dans les choix que nous faisons » 💬 @mounir encourage les administrations, les entreprises et les citoyens à découvrir Qwant ! #SwitchToQwant pic.twitter.com/I4BYTvDEKt
— Qwant (@Qwant_FR) 13 mars 2019
Assurer une protection optimale face à la complexité des menaces
Au-delà de l’enjeu (fondamental) de souveraineté numérique, la pluralité garantit également un niveau optimal de sécurité. « Aujourd’hui la menace cyber est de plus en plus complexe et sophistiquée », rappelle Simon Dansette, Product Manager pour Stormshield. « L’uniformisation des solutions de sécurité augmente donc le risque de voir l’un des systèmes se faire contourner de manière massive par les attaquants. Et ce, malgré des effets bénéfiques – comme sur la masse d’informations récupérées au service de l'amélioration continue des systèmes de détection. » En début d’année, la décision de Microsoft d’uniformiser ses systèmes de sécurité et de les intégrer nativement à Office365 ou Windows 10 illustre bien cet aspect. Si on ne peut que saluer cette intention qui va a priori dans le sens d’un renforcement de la sécurité des utilisateurs, il est important d’en rappeler également les limites.
L’uniformisation des solutions de sécurité augmente donc le risque de voir l’un des systèmes se faire contourner de manière massive par les attaquants
Simon Dansette, Product Manager Stormshield
« Schématiquement, si tout le monde utilise le même système d’alarme, un attaquant potentiel sera plus motivé pour trouver le meilleur moyen de le désactiver et pourra ainsi augmenter considérablement le nombre de ses méfaits », rappelle Matthieu Bonenfant. « Un bon système de sécurité est donc un système multicouches, basé sur le principe de défense en profondeur en exploitant différentes technologies. » Attention toutefois : cette superposition doit être cohérente de bout en bout et ne négliger aucun niveau de sécurité. « J’ai souvent vu des entreprises équipées de firewalls très impressionnant, mais dont les connexions Wifi au réseau interne utilisaient des mots de passe trop faibles. Ou d’autres qui disposaient d’infrastructures de sécurité très sophistiquées pour leur messagerie ou leur ERP mais qui ne protégeaient absolument pas leur service R&D », souligne Davide Pala, Ingénieur Pre-Sales pour Stormshield.
Mettre en œuvre la pluralité
À quoi ressemble donc une protection efficace ? Elle repose sur deux piliers : une pluralité de technologies (défense en profondeur) et une diversité de marques éditrices. « Du point de vue des solutions, on peut mettre en place des protections à différents niveaux », explique Simon Dansette. « Il y a schématiquement le niveau des services, comme le cloud ou encore les messageries à protéger contre des menaces de type spam ou phishing. Il y a ensuite le niveau du réseau (ou niveau « périmètre ») que l’on peut protéger avec des outils de type firewall ou UTM. Enfin, il y a le niveau des postes de travail qui doivent être équipés d’outils de type antivirus puis EDR, qui constituent le dernier rempart contre les malwares. Dans un système d’information réel, les différentes couches vont au-delà des 3 niveaux mentionnés et sont en constante évolution. »
Avec le panachage des technologies, l’autre pilier de la pluralité repose sur le choix de plusieurs marques ou éditeurs pour assurer une sécurité optimale. Si une marque disparait ou si ses mécanismes de sécurité sont défaillants, on évite ainsi de se retrouver complétement exposé. C’est le principe que l’on retrouve également avec la notion de double barrière technologique. « Pour une fonction de sécurité similaire, on recommande souvent de favoriser des éditeurs différents. Comme ils n’ont pas la même approche si un système n’est pas capable de détecter une menace, l’autre pourra prendre le relai », explique Matthieu Bonenfant. « On peut par exemple placer deux firewalls d’éditeurs différents l’un derrière l’autre. Ou utiliser au niveau de la passerelle une technologie antimalware différente de celle déployée sur les postes de travail. »
Plaidoyer pour une pluralité intégrée
Certains ne manqueront pas de relever qu’à l’heure où le secteur souffre d’une pénurie de ressources et de talents avec des budgets qui ne sont pas extensibles à l’infini, la gestion d’un multitude de solutions plurielles peut relever de la gageure pour les RSSI. D’ailleurs, on le voit, certains éditeurs ont pris acte de ces difficultés et proposent des solutions globales, pensées en interopérabilité, de manière à faciliter l’administration. Pour Matthieu Bonenfant, l’idée se défend. Néanmoins, « il est tout à fait possible d’administrer et d’orchestrer des systèmes hétérogènes de manière simultanée grâce à des API, ces interfaces de programmation qui permettent de créer des passerelles afin d’échanger des données ou des instructions ». Pour cela, « il est important que tous les produits reposent sur des standards communs comme le REST API. Ainsi, ils seront donc administrables à l’aide d’outils open source comme Ansible ou le scripting Python », précise Davide Pala.
Avant d’élargir le propos au-delà du dialogue entre systèmes : « dans un scénario d'intégration, il n'est pas moins important de pouvoir générer des journaux facilement analysables et de les envoyer par des protocoles standard tels que Syslog. À l’image des écosystèmes naturels, les écosystèmes de cybersécurité doivent dialoguer et communiquer. La pluralité doit impérativement être intégrée. »
À l’image des écosystèmes naturels, les écosystèmes de cybersécurité doivent dialoguer et communiquer. La pluralité doit impérativement être intégrée
Davide Pala, Ingénieur Pre-Sales pour Stormshield
Dans un contexte où la menace cyber est en constante évolution, la pluralité des technologies et des éditeurs apparait donc comme un rempart indispensable. Avis aux RSSI, c’est certainement l’un des chantiers les plus importants de votre feuille de route !
