Rapport du bureau du directeur technique (CTO)
Moderniser l’informatique : axer la sécurité sur la gestion des risques
L’adoption d’une approche de la sécurité fondée sur le risque exige un changement important dans notre façon de concevoir la sécurité et les actifs numériques. Mais ce changement est nécessaire compte tenu de l’évolution rapide des menaces numériques et de l’incapacité des modèles de sécurité existants à les atténuer, et même à rester à la page.
Des paquets aux charges utiles en passant par les processus
Les cadres traditionnels d’architecture d’entreprise ont été créés sans tenir compte de la sécurité. Il est tout à fait vrai que la sécurité, en général, est implémentée après coup, car elle s’est largement développée selon un modèle réactif. En d’autres termes, les acteurs malveillants élaboraient des attaques, et les fournisseurs et les leaders technologiques répondaient par des mesures d’atténuation. Cela est dû à la nature de la transformation numérique. À ses débuts, l’objectif était de favoriser la productivité et l’efficacité par le biais des applications. Celles-ci étaient en grande partie fixes et statiques, résidant dans un centre de données isolé. Il y avait peu de risques d’attaque de l’extérieur, car il n’y avait pas de points d’entrée dans le centre de données, jusqu’à l’avènement de l’Internet.
Dans sa forme la plus ancienne, la sécurité se concentrait sur la protection des applications exposées à Internet aux couches les plus basses de la pile technologique : le réseau. Un nombre excessif de paquets par seconde était le signe d’une attaque par déni de service. La réponse de la sécurité ? Des pare-feu capables de bloquer l’origine de l’attaque. Les ports et les protocoles sont devenus la base des politiques de sécurité, on a établi des seuils de volume et de vitesse pour les paquets tentant d’utiliser une application. À ce stade, l’objectif de la sécurité était d’éviter toute perturbation en bloquant une attaque à l’aide de règles simples et statiques.
Les attaques ont évolué rapidement face à une défense solide. Les applications devenant plus riches et plus performantes, les adversaires ont rapidement découvert des vulnérabilités dans les piles logicielles. Le secteur a commencé à observer des attaques intégrées dans la charge utile des messages échangés entre les utilisateurs et les applications, cherchant à exploiter une vulnérabilité connue pour provoquer une panne, offrir un accès non autorisé ou exfiltrer des données. Le secteur de la sécurité a de nouveau réagi à ces nouvelles formes d’agressions en élaborant des solutions capables de détecter et de neutraliser les attaques intégrées. À ce stade, la sécurité s’est concentrée sur la détection et la neutralisation des attaques intégrées dans les transactions.
L’économie numérique s’est développée, s’immisçant de plus en plus dans tous les aspects de notre vie, et les possibilités offertes aux attaquants se sont multipliées en proportion. La valeur des données et de l’accès aux comptes des consommateurs et des entreprises affiche une croissance exponentielle. On estime que des milliers de comptes de jeux vidéo tels que Steam, EA Sports et Epic « sont volés chaque mois, et [que] des bases de données de comptes en vrac sont échangées sur des canaux Telegram privés pour des sommes comprises entre 10 000 et 40 000 $ » (BitDefender). Aujourd’hui, les rachats de comptes sévissent dans tous les secteurs, du jeu à la finance en passant par la santé et les services gouvernementaux. En 2021, la fraude a coûté au gouvernement américain un montant estimé à 87 milliards $ en prestations fédérales (CNBC). Cette perte est principalement attribuée au programme de chômage mis en place pendant la pandémie et qui était en grande partie géré via des services numériques.
Le développement de bots spécialisés conçus pour aider les consommateurs à acquérir un produit en série limitée est en pleine expansion. Ces bots exploitent la technologie et la vitesse pour permettre aux consommateurs d’acheter un produit en ligne en moins de temps qu’il n’en faut à un être humain pour choisir la bonne taille et la bonne couleur. Présentés comme une technologie d’aide aux consommateurs, ces bots ont presque immédiatement été exploités par des acteurs malveillants pour épuiser rapidement les stocks dans le but de les revendre à un prix plus élevé. Les « sneaker bots », « grinch bots » et autres « specialty bots » ciblent de plus en plus des produits et des fournisseurs spécifiques très demandés.
« Grâce à des sites de revente comme StockX et GOAT, les baskets de collection sont devenues une classe d’actifs, dont le prix correspond vaguement à la vitesse de revente d’un article. Les sneaker bots sophistiqués, qui peuvent coûter des milliers de dollars, sont essentiels pour créer la rareté artificielle qui donne de la valeur à un modèle de basket et, en bout de ligne, flatte l’image de la marque. » (New York Times)
Le secteur de la sécurité doit désormais répondre aux attaques qui ciblent les processus métier, comme la connexion à un service ou l’achat de produits, en plus des attaques habituelles qui ciblent les services et les applications réseau. Les méthodes traditionnelles d’inspection et d’évaluation sont incapables de détecter les attaques visant les processus métier légitimes. Il ne s’agit pas de vulnérabilités, ni d’exploits de protocole. Ce sont des processus exposés, des capacités numériques vulnérables et exploitables par ceux qui ont les moyens — techniques ou financiers — d’obtenir les bons identifiants.
Les outils qui protègent les processus doivent également être en mesure de différencier les consommateurs logiciels des consommateurs humains. Cette tâche est d’autant plus complexe que les logiciels (et notamment les bots) sont utilisés à la fois par des consommateurs en quête d’efficacité et par des malfaiteurs. La sécurité doit évoluer à nouveau, et cette fois-ci, elle doit s’orienter vers la gestion des risques.
Adopter une approche de gestion des risques ne signifie pas abandonner les itérations précédentes de la sécurité. En effet, des attaques ciblent constamment chaque couche de la pile technologique et elles doivent être traitées. Une approche axée sur la gestion des risques n’exclut pas d’utiliser des technologies pour prévenir les attaques volumétriques ou délivrées par du contenu malveillant. Une approche de gestion des risques ne se concentre pas tant sur les détails de la mise en œuvre que sur la manière dont les menaces sont identifiées et le risque, déterminé.
En abordant la sécurité dans un état d’esprit basé sur le risque, les organisations peuvent s’affranchir de la frénésie des réponses aux attaques. Elles sont alors libres de prendre des décisions de sécurité qui s’alignent sur les résultats commerciaux et tiennent compte de la tolérance de l’entreprise au risque.
Moderniser la sécurité : vers la gestion des risques
Les entreprises numériques d’aujourd’hui échangent avec leurs clients et partenaires en leur offrant des expériences numériques via des applications modernes. La protection des applications est donc primordiale pour la modernisation de la sécurité. Ces applications — et, au niveau de granularité suivant, les charges de travail et les services qui les composent — apportent de la valeur en créant, en enrichissant ou en donnant accès aux ressources numériques de l’entreprise d’une manière ou d’une autre : elles sont donc au cœur d’une approche moderne de la sécurité. La cybersécurité, comme on l’appelle communément aujourd’hui, est fortement axée sur la protection des applications et des API qui exposent ces applications pour connecter des utilisateurs de tous types aux ressources qui alimentent une entreprise numérique.
Les leaders technologiques connaissent bien les outils et les techniques nécessaires pour mettre en œuvre une sécurité réactive et proactive. La question qui se pose est la suivante : « Comment faire passer votre organisation à une approche fondée sur l’évaluation du risque reposant en grande partie sur l’identité et les actifs ? »
Deux technologies essentielles sont au cœur de cette évolution : l’authentification et le contrôle d’accès. L’authentification fournit la composante identité aux politiques, tandis que le contrôle d’accès assure la gouvernance des actifs numériques
L’authentification est essentiellement le processus de détermination et de vérification de l’identité d’un consommateur d’applications. Auparavant, il s’agissait principalement d’humains, qui cherchaient à accéder à des applications monolithiques situées dans un centre de données privé. Par conséquent, tous les systèmes et services d’authentification pouvaient résider dans ce même centre de données. Aujourd’hui, les applications modernes utilisent une architecture distribuée et des API exposées ; l’authentification doit donc évoluer. Elle doit désormais reconnaître non seulement les consommateurs humains, mais aussi les mandataires des humains que sont, entre autres, les agents automatisés. En outre, les applications distribuées étant composées de services provenant de plusieurs clouds, l’authentification doit se faire dans un univers de magasins d’identité fédérés et interentreprises. En résumé, si l’authentification reste un élément essentiel de la défense de base, la diversification des services numériques actuels exige une vision évoluée de l’identité et de la manière dont on la valide.
Le contrôle d’accès a été, et reste aujourd’hui, le processus qui consiste à déterminer qui — ou quoi — peut accéder à une ressource d’entreprise. Mais comme pour l’authentification, la fonctionnalité attendue du contrôle d’accès a également évolué avec les applications d’entreprise. Les premières incarnations du contrôle d’accès se situaient au niveau de la couche réseau ; les consommateurs potentiels d’applications étaient soit « à l’intérieur », soit « à l’extérieur » d’un périmètre défini par les adresses IP du réseau. Mais aujourd’hui, des consommateurs mobiles accèdent à des applications distribuées via de multiples points de livraison : il n’existe plus de périmètre statique et net pour définir la notion d’intérieur et d’extérieur. Par conséquent, le contrôle d’accès doit être formulé en termes d’identité d’utilisateur, telle que validée par l’authentification. Les consommateurs d’applications modernes ne peuvent plus être catégorisés en fonction de leur emplacement sur le réseau, mais plutôt en fonction de leur identité.
Ces technologies, lorsqu’elles sont associées à un inventaire complet des principaux actifs numériques, peuvent être utilisées pour exécuter les décisions prises concernant le risque présenté par l’accès à un actif donné. Ces décisions sont fondées sur la compréhension de la manière dont ces actifs sont exposés et sur les personnes auxquelles ils doivent ou non être exposés
Ainsi, la première étape de la modernisation de la sécurité consiste à créer ou à améliorer l’inventaire des actifs en mettant l’accent sur les moyens et les raisons d’y accéder. En outre, les responsables technologiques doivent garder à l’esprit que les applications sont le principal moyen d’accès à toutes les données et que, par conséquent, l’inventaire doit également permettre de relier les actifs aux applications qui interagissent avec eux
Ensuite, les décideurs technologiques devront collaborer avec les décideurs métier pour établir les profils de risque/récompense des actifs clés. Ces profils risque/récompense doivent aligner les actions de sécurité sur les résultats commerciaux. Par exemple, une étude d’AiteNovarica nous apprend que « les commerçants perdent 75 fois plus de revenus à cause de refus infondés qu’à cause de la fraude » : le risque associé au faux refus est potentiellement supérieur au risque d’autoriser une transaction illégitime.
Par conséquent, les interactions liées à cette transaction doivent être autorisées ou refusées en fonction de la tolérance au risque de l’organisation. Parmi les facteurs qui peuvent influencer la décision, pensons à la valeur de la transaction et au degré de certitude concernant la légitimité de l’utilisateur. Le système est-il à 50 % certain que l’utilisateur est légitime ? Plus ? Moins ? Chaque organisation déterminera sa tolérance au risque et, en fonction de cette tolérance, ajustera ses profils pour appliquer la sécurité dans ces limites. Un profil risque/récompense oriente les humains et les systèmes et les aide à déterminer comment aborder le risque potentiel. Les organisations plus réfractaires au risque auront tendance à le pondérer davantage et à appliquer des contrôles pour l’éviter. À l’inverse, les organisations dont la tolérance au risque est plus élevée considéreront la récompense comme un facteur plus important pour déterminer comment appliquer les contrôles de sécurité.
Dans ce cas, la granularité — celle de l’évaluation au niveau transactionnel — implique la capacité d’évaluer en permanence les interactions numériques et d’adapter les décisions de sécurité en fonction du contexte en temps réel, évalué par rapport aux politiques. Cette approche est une capacité clé des approches confiance zéro, tout comme les technologies clés utilisées pour appliquer les décisions : l’authentification (qui) et le contrôle d’accès (quoi), comme décrit dans ce livre blanc, « Sécurité à confiance zéro : pourquoi la confiance zéro est-elle essentielle (et pas seulement pour l’accès) »
La capacité à évaluer en permanence les interactions numériques dépend d’une stratégie de données et d’observabilité au niveau de l’entreprise. Autrement dit, l’organisation doit avoir une stratégie et s’orienter vers une observabilité complète, et elle doit chercher un moyen de connecter et de corréler les interactions entre des magasins disparates si elle ne centralise pas les données dans un seul magasin.
Ainsi, le passage à la gestion des risques s’articule autour de l’adoption de trois technologies spécifiques : l’identité, l’observabilité et le contrôle d’accès, l’exécution étant régie par une approche globale de confiance zéro.
La modernisation de l’informatique doit inclure la sécurité
L’une des principales compétences d’une entreprise numérique est la sécurité : celle de ses actifs numériques, celle de ses données et celle des informations financières et personnelles de ses clients.
Dans une entreprise numérique, toutes les interactions ou presque se font par voie numérique, et la sécurité doit donc devenir le VIP de l’entreprise et, pour l’informatique, de l’architecture. Pour la plupart des entreprises, cela consiste à évaluer les pratiques, les outils et les politiques de sécurité — souvent mis en place de manière ad hoc pour lutter contre les attaques et les menaces émergentes — afin de déterminer s’ils restent pertinents dans un environnement essentiellement numérique. Une approche plus volontaire et plus complète sera nécessaire pour sécuriser pleinement tous les actifs et interactions numériques dont dépendent le succès de l’entreprise dans une économie numérique.
De nombreuses facettes du fonctionnement d’une entreprise numérique n’ont pas été prises en compte lors de la mise en place de l’architecture d’entreprise qui forme les fondations technologiques d’une organisation. La sécurité est l’une des facettes à avoir souffert d’un manque d’attention.
Nous nous dirigeons à vive allure vers un monde numérique avant tout, et les organisations doivent moderniser leur informatique pour tenir le rythme du changement et prendre des décisions basées sur les données, indispensables à un succès durable. La modernisation de l’architecture d’entreprise constitue une étape importante. Cela doit inclure une approche plus englobante, plus complète et finalement plus adaptative de la sécurité : une approche de gestion des risques.
Pour en savoir plus sur la modernisation de l’architecture — et en particulier de la sécurité — au service d’une entreprise numérique, plongez dans notre nouveau livre « Enterprise Architecture for Digital Business » (non traduit) chez O’Reilly.