Modernisation de l'informatique : Transférer la sécurité à la gestion des risques
Adopter une approche de la sécurité fondée sur les risques nécessite un changement important dans notre façon de penser la sécurité et les actifs numériques. Mais ce changement est nécessaire compte tenu de l’évolution rapide des menaces numériques et de l’incapacité des modèles de sécurité existants à les atténuer, et encore moins à les gérer.
Des paquets aux charges utiles en passant par les processus
Les cadres d’architecture d’entreprise traditionnels ont été créés sans tenir compte de la sécurité. Il est tout à fait vrai que la sécurité, en général, est une préoccupation secondaire, s’étant largement développée selon un modèle réactif. Autrement dit, les mauvais acteurs ont créé des attaques pour lesquelles les fournisseurs et les leaders technologiques ont mis en place des mesures d’atténuation. Cela est dû à la nature de la transformation numérique. À ses débuts, l’accent était mis sur la productivité et l’efficacité grâce aux applications. Ces applications étaient en grande partie fixes et statiques, résidant dans un centre de données isolé. Le risque d’attaque extérieure était faible car il n’y avait aucun point d’entrée dans le centre de données jusqu’à l’avènement de l’ère Internet.
Dans sa forme la plus ancienne, la sécurité visait à protéger les applications exposées sur Internet aux couches les plus basses de la pile technologique : le réseau. Trop de paquets par seconde indiquaient une sorte d’attaque par déni de service. La réponse sécuritaire ? Des pare-feu capables de bloquer l’origine de l’attaque. Les ports et les protocoles sont devenus la base des politiques de sécurité, avec des seuils basés sur le volume et la vitesse des paquets tentant d'utiliser une application. À ce stade, l’objectif de la sécurité était d’empêcher toute perturbation en bloquant une attaque à l’aide de règles simples et statiques .
Les attaques ont évolué rapidement face à une défense solide. À mesure que les applications sont devenues plus riches et plus performantes, les attaquants ont rapidement découvert des vulnérabilités dans les piles logicielles. L’industrie a commencé à voir des attaques intégrées dans la charge utile des messages échangés entre les utilisateurs et les applications, chacune cherchant à exploiter une vulnérabilité connue qui provoquerait une panne, offrirait un accès non autorisé ou exfiltrerait des données. L’industrie de la sécurité a de nouveau répondu à ces nouvelles formes d’attaques, en créant des solutions capables de détecter et de neutraliser les attaques intégrées. À ce stade, l’objectif de la sécurité était de détecter et de neutraliser les attaques intégrées dans les transactions.
À mesure que l’économie numérique s’est développée, touchant de plus en plus profondément tous les aspects de notre vie, les opportunités pour les attaquants ont également augmenté. La valeur des données et l’accès aux comptes des consommateurs et des entreprises augmentent de manière exponentielle. Considérez qu'environ des milliers de comptes de jeux vidéo de Steam, EA Sports et Epic « sont volés chaque mois, avec des bases de données de comptes en vrac échangées sur des chaînes Telegram privées pour des sommes comprises entre 10 000 et 40 000 dollars » ( BitDefender ). Aujourd’hui, les piratages de comptes sont monnaie courante dans tous les secteurs, des jeux à la finance, en passant par les soins de santé et les services gouvernementaux. En 2021, la fraude a coûté au gouvernement américain environ 87 milliards de dollars en prestations fédérales ( CNBC ). La perte est principalement attribuée au programme d’assurance-chômage lié à la pandémie, qui fonctionnait en grande partie via des services numériques.
Le développement de robots spécialisés conçus pour aider les consommateurs à acquérir l’un des produits d’une édition limitée est en pleine croissance. Ces robots exploitent la technologie et la rapidité pour garantir que les consommateurs peuvent acheter un produit en ligne en moins de temps qu'un être humain ne peut sélectionner la bonne taille et la bonne couleur. Présentées comme une technologie d’aide aux consommateurs, ces robots ont été presque immédiatement exploités par des acteurs malveillants pour épuiser rapidement les ressources dans le but de les revendre à un prix plus élevé. Les robots baskets, les robots grincheux et autres robots spécialisés ciblent de plus en plus des produits et des fournisseurs spécifiques à forte demande.
« Grâce aux sites de revente comme StockX et GOAT , les baskets de collection sont devenues une classe d'actifs, où le prix correspond vaguement à la rapidité avec laquelle un article se vend. Les bots sophistiqués pour baskets, qui peuvent coûter des milliers de dollars, sont essentiels pour créer la rareté artificielle qui donne de la valeur à une basket et, par conséquent, donne à une marque une apparence cool. » ( New York Times )
Le secteur de la sécurité doit désormais répondre aux attaques qui ciblent les processus métier, tels que la connexion à un service ou l’achat de produits, en plus des attaques existantes qui ciblent les services et applications réseau. Les méthodes traditionnelles d’inspection et d’évaluation sont incapables de détecter les attaques contre les processus commerciaux légitimes. Il ne s’agit pas de vulnérabilités et elles ne sont pas non plus sujettes à des exploits de protocole. Il s’agit de processus exposés comme une capacité numérique vulnérable à l’exploitation par ceux qui ont les moyens d’obtenir – ou l’argent pour acheter – l’ensemble approprié d’informations d’identification.
Les outils qui protègent les processus doivent également être capables de faire la différence entre les logiciels et les consommateurs humains. Cette tâche est rendue plus difficile par le fait que les logiciels (tels que les robots) sont utilisés à la fois par les consommateurs en quête d’efficacité et par les attaquants en quête d’avantages. La sécurité doit à nouveau évoluer, et cette fois-ci, elle doit s’orienter vers la gestion des risques.
Adopter une approche de gestion des risques ne signifie pas abandonner les itérations précédentes de sécurité. En effet, les attaques à chaque niveau de la pile technologique sont constantes et doivent être traitées. Une approche de gestion des risques n’exclut pas l’utilisation de technologies pour prévenir les attaques volumétriques ou celles transmises par des contenus malveillants. Une approche de gestion des risques ne se concentre pas sur la mise en œuvre Il fournit autant de détails que de détails sur la manière dont les menaces sont identifiées et les risques déterminés.
En abordant la sécurité avec une approche basée sur le risque, les organisations peuvent s’éloigner des réponses frénétiques aux attaques. Au lieu de cela, ils peuvent prendre délibérément des décisions de sécurité qui s’alignent sur les résultats commerciaux et tiennent compte de la tolérance de l’entreprise au risque.
Modernisation de la sécurité : Vers une gestion des risques
Les entreprises numériques d’aujourd’hui se connectent à leurs clients et partenaires en proposant des expériences numériques médiatisées par des applications modernes. La protection des applications est donc primordiale dans la tâche de modernisation de la sécurité. Ces applications, et au niveau de granularité suivant, les charges de travail et les services qui sont leurs éléments constitutifs, apportent de la valeur en créant, en enrichissant et/ou en donnant accès aux actifs numériques de l’entreprise d’une manière ou d’une autre ; elles sont donc au cœur d’un état d’esprit de sécurité moderne. La cybersécurité, comme on l’appelle communément aujourd’hui, se concentre fortement sur la protection des applications et des API qui exposent ces applications pour connecter les utilisateurs de tous types aux actifs numériques qui alimentent une entreprise numérique.
Les leaders technologiques connaissent bien les outils et les techniques nécessaires pour mettre en œuvre une sécurité réactive et proactive. La question est : « Comment faire évoluer votre organisation vers une approche basée sur l’évaluation des risques qui repose en grande partie sur l’identité et les actifs ? »
Deux technologies fondamentales sont au cœur de ce changement : l’authentification et le contrôle d’accès. L'authentification fournit des politiques avec le composant d'identité, tandis que le contrôle d'accès fournit la gouvernance des actifs numériques.
L’authentification est essentiellement le processus de détermination et de vérification de l’identité d’un consommateur d’application. Dans le passé, il s’agissait principalement d’humains cherchant à accéder à des applications monolithiques hébergées dans un centre de données privé. Par conséquent, tous les systèmes et services d’authentification pourraient résider dans ce même centre de données. Aujourd’hui, les applications modernes utilisent une architecture distribuée et des API exposées ; par conséquent, l’authentification doit évoluer. L’authentification doit désormais reconnaître non seulement les consommateurs humains, mais également les proxys humains tels que les agents automatisés. De plus, comme les applications distribuées sont composées de services provenant de plusieurs clouds, l’authentification doit exister dans un monde de magasins d’identités fédérés et interentreprises. En bref, bien que l’authentification reste un élément essentiel de la défense de base, la nature élargie des services numériques d’aujourd’hui nécessite une vision évoluée de l’identité et de la manière dont elle est validée.
Le contrôle d’accès a été, et continue d’être, le processus consistant à déterminer qui – ou quoi – peut accéder à une ressource d’entreprise. Mais, comme pour l’authentification, les fonctionnalités requises par le contrôle d’accès ont également évolué parallèlement aux applications d’entreprise. Les premières incarnations du contrôle d’accès se situaient au niveau de la couche réseau ; les consommateurs potentiels d’applications se trouvaient soit « à l’intérieur », soit « à l’extérieur » d’un périmètre défini par les adresses IP du réseau. Mais aujourd’hui, alors que les consommateurs mobiles accèdent à des applications distribuées via plusieurs points de distribution, il n’existe pas de périmètre statique et net pour définir la notion d’intérieur et d’extérieur. Le contrôle d’accès doit donc être formulé en termes d’identité de l’utilisateur, validée par l’authentification. Les consommateurs d’applications modernes ne peuvent plus être séparés en fonction de l’emplacement du réseau, mais sont plutôt classés en fonction de leur identité.
Ces technologies, combinées à un inventaire complet de tous les actifs numériques clés, peuvent être utilisées pour exécuter les décisions prises concernant le risque d’autoriser l’accès à un actif donné. Ces décisions sont basées sur une compréhension de la manière dont ces actifs sont exposés, en conjonction avec les personnes à qui ces actifs devraient – ou ne devraient pas – être exposés.
Ainsi, la première étape de la modernisation de la sécurité consiste à créer ou à améliorer l’inventaire des actifs en mettant l’accent sur les moyens par lesquels ces actifs sont accessibles et pourquoi. De plus, les responsables technologiques doivent garder à l’esprit que les applications sont le principal moyen par lequel toutes les données sont accessibles et que, par conséquent, l’inventaire doit également être en mesure de mapper les actifs aux applications qui interagissent avec eux.
Ensuite, les leaders technologiques devront collaborer avec les chefs d’entreprise pour établir des profils de risque/récompense pour les actifs clés. Les profils de risque/récompense qui en résultent doivent aligner les actions de sécurité sur les résultats commerciaux. Par exemple, une étude d’AiteNovarica nous apprend que « les commerçants perdent 75 fois plus de revenus à cause de faux refus qu’à cause de la fraude », ce qui fait que le risque de ce que l’on appelle un faux refus est potentiellement supérieur au risque d’autoriser une transaction.
Par conséquent, les interactions liées à cette transaction doivent être autorisées ou refusées en fonction de la tolérance au risque de l’organisation. Les facteurs susceptibles d’influencer la décision comprennent la valeur de la transaction et la certitude associée à la légitimité de l’utilisateur. Le système est-il sûr à 50 % que l’utilisateur est légitime ? Plus sûr ? Moins? Chaque organisation déterminera sa tolérance au risque et, en fonction de cette tolérance, ajustera ses profils pour appliquer la sécurité dans ces limites. Un profil risque/récompense guide les humains et les systèmes pour déterminer comment gérer le risque potentiel. Les organisations moins enclines au risque auront tendance à accorder une plus grande importance au risque et à appliquer des contrôles pour l’éviter. À l’inverse, les organisations ayant une tolérance au risque plus élevée considéreront la récompense comme un facteur plus important pour déterminer la manière d’appliquer les contrôles de sécurité.
La granularité ici – celle de l’évaluation au niveau transactionnel – implique la capacité d’ évaluer en continu les interactions numériques et d’adapter les décisions de sécurité en fonction du contexte en temps réel évalué par rapport aux politiques. Cette approche est une capacité clé des approches Zero Trust, tout comme les technologies clés utilisées pour appliquer les décisions : l’authentification (qui) et le contrôle d’accès (quoi), comme décrit dans ce livre blanc, « Zero Trust Security : Pourquoi le Zero Trust est important (et pour bien plus que le simple accès) .”
La capacité à évaluer en continu les interactions numériques dépend d'une stratégie de données et d'observabilité au niveau de l'entreprise, à savoir que l'organisation dispose d'une stratégie et s'oriente vers l'activation d'une observabilité complète ainsi que d'un moyen de connecter et de corréler les interactions entre des magasins disparates si elle ne centralise pas les données dans un seul magasin.
Ainsi, le passage à la gestion des risques s’articule autour de l’adoption de trois technologies spécifiques : l’identité, l’observabilité et le contrôle d’accès avec une approche globale de confiance zéro régissant l’exécution.
La modernisation de l’informatique doit inclure la sécurité
L’une des capacités clés d’une entreprise numérique est la sécurité : la sécurité de ses actifs numériques, de ses données et des informations financières et personnelles de ses clients.
Dans une entreprise numérique, presque toutes les interactions sont effectuées numériquement et la sécurité doit donc devenir un élément de premier ordre de l’entreprise et, pour l’informatique, de l’architecture de l’entreprise. Pour la plupart, cela signifiera évaluer les pratiques, les outils et les politiques de sécurité (dont beaucoup sont mis en place de manière ponctuelle pour lutter contre les attaques croissantes et les menaces émergentes) en vue de déterminer si elles restent pertinentes dans un environnement principalement numérique. Une approche plus délibérée et plus globale sera nécessaire pour sécuriser pleinement tous les actifs numériques et les interactions nécessaires à la prospérité de l’organisation dans une économie numérique.
De nombreuses facettes du fonctionnement d’une entreprise numérique n’ont pas été prises en compte lorsque les organisations ont mis en place leurs fondations technologiques sous la forme d’une architecture d’entreprise. La sécurité est l’une de ces facettes insuffisamment prises en compte.
Alors que nous avançons à toute allure vers un monde numérique par défaut, il est nécessaire pour les organisations de moderniser leur informatique afin de soutenir et de permettre le rythme du changement et la prise de décision basée sur les données nécessaires pour prospérer à l’avenir. Une étape importante est la modernisation de l’architecture d’entreprise. Cela doit inclure une approche de la sécurité plus globale, plus complète et, en fin de compte, plus adaptative : une approche de gestion des risques.
Pour en savoir plus sur la modernisation de l'architecture, en particulier de la sécurité, au service d'une entreprise numérique, plongez dans notre nouveau livre O'Reilly, « Enterprise Architecture for Digital Business ».