Tribune de Christophe Auberger, Directeur Technique France chez Fortinet
Les réseaux évoluent à un rythme sans précédent. Les environnements physiques et virtuels, les clouds privés et publics, ainsi que les objets connectés et les terminaux sont toujours plus nombreux, et ils donnent lieu à autant de nouveaux vecteurs d’attaque. La protection des environnements réseau élastiques impose des défis de sécurité aux professionnels de la cybersécurité. Ce constat résulte, en partie, en des cybermenaces qui progressent en envergure et en criticité, et qui exploitent ces vecteurs d’attaques toujours plus nombreux. Il n’est donc guère étonnant que le nombre de piratages d’envergure, utilisant notamment des ransomware, s’affiche en forte hausse, en dépit d’investissements importants en cybersécurité.
Les impacts sur les RSSI et les professionnels de la sécurité sont multiples :
- Le numérique s’impose toujours plus auprès du grand public comme des entreprises, favorisant des stratégies multi-cloud qui élargissent la surface d’attaque.
- Chaque équipement est une cible potentielle pour les cyberattaques. Les menaces deviennent plus intelligentes et les attaques s’automatisent, ce qui rend leur détection
plus complexe.
Pour Fortinet, ces mutations dans l’univers des cybermenaces sont encouragées par 5 facteurs, qui individuellement et collectivement, ne facilitent guère la protection des réseaux, données et communications corporate contre les attaques.
Penchons-nous sur chacun de ces facteurs pour comprendre leur rôle.
1. Internet des Objets
Tout ou presque a sans doute déjà été dit sur l’Internet des Objets (IoT pour Internet of Things). Les prévisions tablent sur une croissance exponentielle, et estiment à 4,3 le nombre d’objets connectés par individu sur la planète à l’horizon 2020. L’IoT se structure en trois catégories. En premier lieu, les objets connectés grand public, ces dispositifs que nous connaissons le mieux, qu’il s’agisse de smartphones, de montres ou de ces gadgets qui nous divertissent. Les utilisateurs veulent connecter leurs dispositifs intelligents à leur réseau d’entreprise, pour consulter leurs emails, synchroniser leur agenda, surfer sur Internet ou encore mesurer leur activité physique au quotidien. La liste des activités accomplies par de tels objets est toujours plus longue, mais ce mélange des genres entre sphère privée et professionnelle n’est pas sans poser quelques défis aux équipes de sécurité IT.
Les deux autres catégories regroupent des équipements invisibles pour le grand public. L’IoT commercial correspond aux dispositifs de contrôle de stocks, de géolocalisation d’équipements, les dispositifs médicaux ou encore les systèmes de production industrielle. Enfin, l’IoT industriel regroupe les compteurs, pompes, valves, plateformes de supervision de pipeline et autres systèmes de contrôle industriel. Ces équipements issus de ces deux catégories présentent d’énormes avantages. Les informations temps-réel proposées dopent la productivité et l’efficacité, et favorisent les avantages concurrentiels. Au sein des villes intelligentes et des infrastructures critiques, ces outils permettent de maîtriser la consommation énergétique et de ressources essentielles, et vont jusqu’à sauver des vies. On ne s’étonnera donc pas que l’IoT ait pu séduire les entreprises aussi rapidement. Gartner s’attend d’ailleurs à ce que près de la moitié des nouveaux processus et systèmes métier intègre des objets connectés d’ici 2020.
Mais l’IoT présente des problématiques de sécurité particulièrement épineuses. La majorité des objets connectés ont fait l’impasse sur la sécurité, avec des options de configuration minimales, voire inexistantes sur le sujet, et une absence de protocoles d’authentification ou d’autorisation. La majorité des objets connectés ne dispose pas d’interface qui permet aux outils de sécurité de s’y installer, ce qui rend quasi-impossible le patching et les mises à jour. Dans ce contexte, il n’est guère étonnant que les experts s’attendent à ce que 25% des cyberattaques ciblent l’Internet des Objets en 2020.
2. Adoption du Cloud
Le cloud réinvente les processus métiers. Au cours des prochaines années, 92% des charges de travail informatiques seront traitées par des centres de données dans le cloud, contre 8% par des centres de données traditionnels sur site. Les services cloud se positionnent souvent hors du périmètre d’action des outils de sécurité traditionnels, et les carences en visibilité et en contrôle ne facilitent pas leur supervision et leur administration, notamment dans le cas des services de sécurité. De plus, les responsabilités en matière de cloud, qui ne sont pas toujours claires pour nombre d’organisations, alimentent la complexité.
Les défis du cloud en matière de sécurité sont réels. L’entreprise classique utilise, en moyenne, 76 applications cloud différentes, adoptant ainsi une stratégie multi-cloud, avec des ressources et workflows qui font appel à différents fournisseurs de services cloud IaaS et SaaS. 49% des entreprises indiquent que leur migration vers les services cloud est freinée par la rareté des compétences en cybersécurité au sein de leur organisation. Même si nombre de fournisseurs cloud offrent certaines garanties de sécurité, voire des accords SLA, certains sujets essentiels ne sont pas abordés, comme la visibilité et le suivi des données transitant d’un cloud à un autre, l’application de règles cohérentes, le stockage de données dans le cloud, l’orchestration et la gestion des règles centralisées, ou encore la capacité à neutraliser le trafic malveillant, initié en interne ou exogène, et présent au sein d’un environnement cloud.
3. Ransomware
Le ransomware, régulièrement à la une de l’actualité, présente une facture de 1 milliard de dollars en 2016, un chiffre qui devrait doubler en 2017. Avec le ransomware, les cybercriminels en herbe peuvent mener leurs attaques via le Ransomware-as-a-Service. Ce type de service capitalise sur des « franchises », en leur offrant des outils de hack et de rançon à un tarif d’entrée très abordable, et moyennant un partage des profits générés par ces exactions.
La menace du ransomware est réelle, avec 4 000 attaques chaque jour, infectant de 30 000 à 50 000 dispositifs par mois. Mais la menace la plus grave n’est pas tant le montant de la rançon à régler, mais plutôt l’indisponibilité qui en résulte. 63% des entreprises qui ont déclaré avoir subi une attaque par ransomware l’année dernière soulignent que l’indisponibilité dont elles ont souffert a eu des répercussions importantes sur leurs opérations. En effet, lorsque le ransomware s’en prend à des acteurs des soins de santé ou à des organisations d’intérêt vital, les indisponibilités peuvent être une question de vie ou de mort. 3,5% des organisations ayant subi une attaque l’année dernière indiquent que des vies ont été mises en péril.
4. SSL
Le trafic réseau, dont la croissance est exponentielle, est en passe de submerger les outils de sécurité traditionnels. Mais il ne s’agit pas que du trafic. Ce dernier contient des données confidentielles et sensibles chiffrées à l’aide de technologies de type SSL. En réalité, le rapport de sécurité Threat Landscape Report de Fortinet sur le second trimestre 2017 indique que plus de la moitié du trafic réseau est chiffré, et ce volume continue à progresser de 20% par an.
Si le chiffrement SSL protège nombre de données qui transitent sur les réseaux corporate, il permet également aux cybercriminels de dissimuler malware et trafic malveillant. Les organisations doivent donc pouvoir déchiffrer et inspecter chaque message puis, en l’absence de contenu malveillant, les re-chiffrer et les acheminer vers leur destination.
Le moins qu’on puisse dire est que ce processus est complexe à mettre en œuvre. L’inspection du trafic SSL consomme des ressources importantes, avec un impact majeur sur les performances et des risques de congestion, surtout si les outils de sécurité ne peuvent suivre le rythme. Au final, les organisations qui gèrent des données et applications sensibles au temps et à la latence choisissent souvent de ne pas chiffrer leur trafic critique, ou de ne pas l’inspecter. Malheureusement, ces deux options attisent les risques dans le cadre d’un univers de menaces particulièrement complexe.
5. Carence de compétences en matière de cybersécurité
Alors que les organisations se doivent de déployer un arsenal de sécurité toujours plus sophistiqué et évolutif, elles subissent une pénurie mondiale des compétences en cybersécurité. Une étude menée par Information Systems Security Association (ISSA) et l’analyste Enterprise Strategy Group (ESG) révèle en effet que 70% des organisations interrogées se déclarent impactées : 54% d’entre elles indiquent avoir subi un incident de sécurité au cours de l’année passée résultant d’une équipe de sécurité trop peu étoffée ou pas assez formée. La problématique n’est pas prête à se résoudre, puisqu’à l’horizon 2020, ce seront 1,5 millions de profils qui feront défaut, ce chiffre s’établissant déjà à 1 million aujourd’hui.
Ces carences en cybersécurité sont exacerbées par la croissance du nombre d’outils de sécurité. Les organisations se préparent à combattre de nouvelles menaces de sécurité, déployant des dizaines de solutions de sécurité provenant de constructeurs et éditeurs différents, sur l’ensemble de leur réseau multisite. Ces outils n’ont néanmoins jamais été conçus pour collaborer au sein d’environnements versatiles et décloisonnés. Pire, ces outils ont tendance à fonctionner de manière isolée les uns des autres, et avec des configurations et des consoles d’administration différentes qui impliquent de corréler manuellement les données entre elles pour détecter les menaces. L’intégration et la gestion d’un nombre croissant de systèmes disparates sont chronophages et pèsent lourdement sur les ressources humaines, ces dernières étant pourtant précieuses et rares pour nombre d’organisations.
Il est temps de rendre votre sécurité plus collaborative
Chacun de ces défis, per se, est imposant. Mais associés les uns aux autres, ils peuvent être accablants. Les organisations sont invitées à repenser leur stratégie actuelle qui consiste à déployer des outils de sécurité distincts, et à adopter une approche consolidée qui favorise l’intégration et l’automatisation des technologies traditionnelles de sécurité au sein d’un écosystème de sécurité holistique, capable de se dimensionner et de s’adapter aux réseaux élastiques actuels, pour ainsi protéger les équipements et données présents sur l’ensemble de l’écosystème corporate.
Commenter cet article