lun. Août 26th, 2019
fortinet - christophe auberger

Savoir décider face à une offre de sécurité XXL

Une exclusivité cyberexperts.tech

Par Christophe Auberger, Director Systems Engineering chez Fortinet

Les défis qu’impose la sécurisation de nos réseaux s’amplifient car la transformation numérique étend la surface d’attaque. Les cybercriminels se tiennent prêts à tirer parti de chaque nouveau vecteur d’attaque, mais aussi de la carence de visibilité et de contrôle sur le périmètre à protéger.

Généralement, les solutions de sécurité sont exploitées de manière plutôt cloisonnée, ce qui pèse sur le partage des informations de veille sur les menaces entre chaque outil. Ils sont souvent déployés en périphérie de réseau, alors qu’aujourd’hui, les données sont disséminées et les frontières traditionnelles des réseaux s’estompent.

 

Les solutions de sécurité progressent au même rythme que les cybermenaces

Pour les entreprises de sécurité, ce nouvel univers des menaces est un terrain d’opportunités pour proposer de nouveaux produits à foison sur le marché. Les entreprises clientes qui cherchent à étendre ou renforcer leur sécurité sont souvent confrontées à un flot trop important d’informations. La récente conférence RSA illustre parfaitement ce constat. Plus de 30 000 visiteurs ont pu échanger avec 400 fournisseurs de sécurité qui ont tous assuré la promotion de leur outil de sécurité pour en faire un module essentiel de toute architecture de sécurité. 

Mais en l’absence de normes universelles en matière de performances et sans validation des discours marketing et des spécifications des constructeurs par une instance de confiance, telle que l’ANSSI en France, les entreprises doivent baser leurs décisions critiques sur des données provenant de multiples sources, peu ou prou pertinentes, avec pour seule assurance la bonne foi présumée des fournisseurs. La tâche s’annonce difficile pour les RSSI et les équipes de sécurité qui choisissent leurs outils sur la base des allégations de leurs fournisseurs, ce qui rend complexe l’analyse des risques et des avantages.

Si de telles décisions peuvent se révéler très onéreuses, elles pèsent également lourdement sur les niveaux de sécurité à venir, face à des données critiques et sensibles qui sont disséminées et en mouvement. 

 

Savoir faire la part des choses

Pour aider les organisations à garder la main sur une surface d’attaque en expansion et des menaces en mutation, voici quelques stratégies pertinentes et concrètes à mettre en œuvre :

1 – Consulter les résultats de tests indépendants. Les fiches produits et techniques qu’offrent les constructeurs ne sont pas toujours fiables. La comparaison des données de performances d’un constructeur à un autre est souvent complexe : les critères de test, qu’il s’agisse de la taille des paquets testés, des types de menaces/attaques simulées ou encore du panel de fonctionnalités évaluées sont rarement les mêmes. D’où l’intérêt de tests réalisés par des tiers indépendants. Ces tests permettent de révéler des points faibles et carences qu’un constructeur souhaiterait atténuer, si ce n’est masquer, lorsqu’il a la main sur les tests et leurs résultats.

2 – Se tenir à l’écart des solutions autonomes (« point solution »). De nombreux constructeurs continuent à mettre en avant des outils ne ciblant qu’un périmètre restreint de la cybersécurité et qui peinent à s’intégrer avec l’infrastructure de sécurité existante. Pour être réellement efficaces, les solutions de sécurité doivent intégrer des standards ouverts et se rendre interopérables avec des technologies tierces. Les outils qui opèrent de manière cloisonnée devraient sans doute être évités : ils ne sont pas toujours compatibles à différents environnements, ne sont pas proposés en différents formats de déploiement et peinent à s’intégrer avec les autres plateformes de sécurité existantes. À ce titre, ils alimentent la complexité de la sécurité et pèsent sur son efficacité.

3 – Quand l’innovation devient une commodité. Nombre d’outils de sécurité le clament : ils savent tout faire ! Ainsi, les constructeurs et éditeurs, dans leur grande majorité, n’ont pas hésité à labelliser leurs produits « cloud-ready » il y a quelques années, même si cela ne signifiait pas grand-chose en vérité. La majorité des outils se contentaient d’être compatibles à un ou deux fournisseurs de services cloud. Et même dans ce cas, ils ne tiraient pas toujours parti des fonctions natives de ces clouds.

Aujourd’hui, l’histoire semble se répéter avec l’intelligence artificielle (AI). Plutôt que de succomber aux allégations marketing, les acheteurs doivent, dans un premier temps, déterminer l’intérêt de l’IA dans le cadre de leur stratégie de sécurité, puis se documenter suffisamment sur le sujet pour pouvoir poser les bonnes questions. Notons qu’un algorithme d’IA nécessite de 3 à 5 années d’apprentissage pour être efficace et fiable. Cette formation se doit d’être très spécialisée (la communauté de l’IA recommande plusieurs méthodes d’apprentissage : supervisé, non-supervisé et par renforcement). D’autre part, des volumes très importants de données sont nécessaires, tandis que tout système basé sur l’IA qui ne peut accéder à des dizaines ou des centaines de millions de nœuds dans le cadre de la prise de décision, s’avérera, au final, inadéquat.

4 – L’efficacité d’une solution requiert des performances optimales et une forte interconnectivité. Les outils de sécurité se doivent d’être rapides, même pour les fonctions consommant des ressources importantes, comme l’inspection du trafic chiffré. Et ces outils doivent pouvoir comprendre et sécuriser un univers digital où différents réseaux et solutions sont hyperconnectés, sans perdre le contrôle sur les données et dispositifs, ni induire des failles de sécurité susceptibles d’être exploitées.

 

Revisiter des paradigmes classiques de sécurité revient à étudier les solutions de sécurité sous un angle macro plutôt que micro. Les entreprises ont besoin de solutions favorisant une sécurité unifiée qui s’applique à chaque dispositif, quelles que soient ses fonctionnalités ou sa localisation. Il devient alors possible de voir plus loin et de gagner en efficacité.

Les constructeurs et les professionnels de la sécurité doivent considérer les équipements de sécurité moins en termes de fonctionnalités, et davantage au prisme de leur capacité à contribuer à une stratégie de sécurité intégrée, qui permet aux solutions de partager et de corréler leurs données de veille sur les menaces, mais aussi de participer activement au processus de remédiation suite aux menaces détectées.

%d blogueurs aiment cette page :