Discussion :

[Sandra Coret]

Les sept tendances de Cybersécurité 2021 pour aider les entreprises à relever leurs défis business, décryptées par Bernard Debauche, Chief Product & Marketing chez Systancia

Dans toutes les organisations, chaque expérience, qu’elle soit client, collaborateur ou utilisateur, a désormais une composante digitale. Ces différentes expériences ont un impact sur la perception client. Avec la crise Covid-19 et l’obligation de distanciation physique, il a fallu déployer le télétravail pour garantir la continuité d’activité.

Un très grand nombre d'interactions sont devenues virtuelles et 2020 a été l’année de l’accélération de la transformation digitale. Ces transformations vont perdurer et les organisations vont maintenant devoir structurer ce qu’elles ont pu entreprendre dans l’urgence. L’enjeu est alors de pouvoir garantir aux collaborateurs des accès performants et sécurisés à leur environnement de travail, quel que soit le contexte d’usage.

1 - Le zero trust, modèle de référence pour la sécurité des systèmes d’information

"Nous assistons à un changement radical dans le monde des réseaux et de la sécurité des accès. Les organisations passent d’une architecture centrée-réseau (« network-centric ») à une architecture centrée-utilisateur (« user-centric ») et centrée-application (« application-centric »). Auparavant, on pensait : « à l’intérieur, sécurisé ; à l’extérieur, dangereux »."

"Désormais, on ne peut plus distinguer l’intérieur et l’extérieur, et l’organisation n’a plus de périmètre de sécurité. Elle ne peut plus donner sa confiance par défaut. D’où l’émergence de l’approche « zero trust » qui consiste à tester le niveau de confiance à chaque interaction."


2 - L’identité est le nouveau périmètre de sécurité des organisations.

C’est l’identité de la personne et les applications qu’elle utilise qui doivent déterminer la portée de ce qu’elle peut faire, car la sécurité du réseau peut être compromise si les terminaux qui s’y connectent ne sont pas maintenus par l’organisation et dits “de confiance”. Il faut donc considérer les habilitations qui permettent d’accéder aux « applications », de manière la plus précise possible, selon des critères fonctionnels, temporels et liés au contexte d’utilisation. On pourra par exemple limiter l’accès à certaines fonctions si l’on considère que l’utilisateur accède à l’application depuis un « contexte plus risqué ».


3 - L’utilisateur, « le premier rempart »

Avec la digitalisation croissante des interactions, l’enjeu pour les organisations est l’amélioration de l’expérience de l’environnement de travail. Il s’agit de permettre aux collaborateurs, qu’ils soient en mobilité, en télétravail, en astreinte, de réaliser l’ensemble de leurs tâches comme s’ils étaient au bureau, avec les mêmes niveaux de performance, d’ergonomie et de sécurité – qui doit être la plus transparente et la moins contraignante possible.

Lorsqu’on parle d’authentification, le tandem login/mot de passe est un cauchemar pour les utilisateurs et les RSSI. Une authentification transparente, naturelle et continue doit faciliter la vie et l’expérience des utilisateurs pour en faire les premiers acteurs de sa cybersécurité.

4 - Le cloud va protéger le cloud

Le système d’information des organisations est désormais éclaté en divers services et ressources, certains exploités par l’organisation elle-même et d’autres exploités par des tiers. Il est devenu habituel de passer par des services cloud pour sécuriser l’accès à ces systèmes d’information. Comme ces derniers sont devenus « hybrides », avec des composants déployés dans les datacenters de l’organisation et des services cloud de tiers , il est aussi naturel que les services cloud de sécurisation des accès soient également « hybrides ». Dans un monde où tout devient cloud, il est normal que le cloud sécurise le cloud.


5 - SASE : un changement de paradigme

L’éclatement du réseau en services logiciels amène son nouveau lot de technologies et de services d’accès sécurisé hybrides (en partie dans les datacenters exploités par l’entreprise, en partie dans les datacenters exploités par des fournisseurs de services cloud) avec, notamment, le « Secure Access Service Edge » ou « SASE ». Il s’agit de la convergence entre les technologies de gestion des réseaux et les technologies de sécurité des réseaux et des accès. D’un côté les utilisateurs (« workforces ») sont « n’importe où » et doivent trouver le point d’accès le plus proche de là où ils se trouvent ; de l’autre côté les applications (« workloads ») sont « n’importe où » et leurs services ne doivent être accessibles que par les personnes habilitées. Il faut une maîtrise centrale et locale des politiques de sécurité, que ce soit du côté des utilisateurs ou en matière d’applications.


6 - Intelligence Artificielle et Machine Learning pour lutter contre les fraudes

Des applications très concrètes de l’Intelligence Artificielle permettent aujourd’hui de détecter, parmi un volume toujours croissant de données, les signaux faibles d’une situation anormale. L’apprentissage machine des comportements des utilisateurs permet de détecter très rapidement malveillances ou négligences : un gaucher qui utilise la souris et le clavier comme un droitier, un administrateur réseau qui se met à administrer des bases de données, etc. En mettant en œuvre ces technologies, les organisations vont donc être en mesure de prévoir et annihiler toute fraude avant même qu’elle ne soit effective.


7 - L’hyperautomatisation au service de la cybersécurité

Le recours croissant à l’Intelligence Artificielle et l’apprentissage machine augmente le besoin d’hyperautomatisation : le volume croissant de données et le volume croissant des traitements de ces données génèrent un besoin croissant d’automatisation de la chaîne d’ingénierie IA/ML. L’expérience de self-service des services cloud, l’élasticité du cloud, le besoin de rapidité (voire d’immédiateté) des utilisateurs : tout ceci concourt à l’automatisation de toutes les tâches de déploiements et de mises à jour, et aux approches dites de « software defined … » ou de « … as code ».

Bernard Debauche, Chief Product & Marketing chez Systancia

Source : Systancia

Et vous ?

Que pensez-vous de cette analyse de Systancia ?
Connaissez-vous d'autres tendances cybersécurité qui devraient être mises en avant ?

Voir aussi

La technologie zero-trust (ZTNA) serait mieux adaptée que le VPN pour répondre aux enjeux du télétravail, d'après Systancia

Tendances Cybersécurité 2021 : la 5G et la convergence de l'IT et de l'OT sont les principales cibles à surveiller, selon Tenable

[becket]

1 - La confiance par défaut n'a jamais été préconisé dans le monde de la sécurité
2 -

C’est l’identité de la personne et les applications qu’elle utilise qui doivent déterminer la portée ...
On pourra par exemple limiter l’accès à certaines fonctions si l’on considère que l’utilisateur accède à l’application depuis un « contexte plus risqué ».

Comment dire un truc et son contraire dans la même phrase !

3 -

Une authentification transparente, naturelle et continue doit faciliter la vie et l’expérience des utilisateurs pour en faire les premiers acteurs de sa cybersécurité.

Bienvenue dans le monde des licornes qui font des cacas arc-en-ciel ..

L'utilisateur est le maillon le plus faible de la chaine oui, le couple login/mdp est pas fameux, d'accord ... mais le reste.

4 -
Le tiers-de-confiance 2.0 est arrivé ... réjouissez-vous !

6-
Si on met le coté utopiste du truc ... Big-data n'est plus à la mode... donnons lui le nom de IA ... cela sonne mieux.

7-
Sérieusement ???
Le volume des services augmentent, ce qui implique une augmentation du besoin d'automatisation dans le traitement

[marsupial]

La solution de sécurité que j'ai développée en coopération avec THALES a 5 ans d'avance sur la tendance. C'est la licorne qui fait caca des arc-en-ciel à 400 millions pièce. Principaux clients : EDF, la Chine, les états de l'OTAN, la Russie, la SACEM, Google, Apple, Microsoft, THALES (évidemment), Amazon, Twitter, Netflix, et toute une palanquée d'entreprises américaines, etc...
Je pense que si systancia est sur ce marché, sa solution arrive tardivement et certainement pas au niveau de la mienne puisque le hackback n'est pas inclus.

[fredoche]

Salut Marsupial

Tu peux nous en dire un peu plus, ne serait-ce que sur les concepts mis en œuvre, ou un lien ?

[marsupial]

Technologies employées : C + assembleur pour l'optimisation de l'API; Java pour l'interface; Python pour l'IA écrite en C + assembleur.

Etape 1 : audit des réseaux sur la présence de malware avant la prise d'empreinte logicielle et matérielle

Etape 2 : injection de la sonde systèmes et réseaux ( y compris le Cloud )

Etape 3 : création d'une base de profils utilisateurs logiciel et matériel stockée sur serveur d'authentification Debian ( ou autre )

Etape 4 : génération d'une clé publique à partir des profils

Etape 5 : authentification à l'aide d'une carte à puce par token accompagnée d'un code envoyé par SMS/app

Etape 6 : politique de sécurité basée sur l'empreinte logicielle, matérielle et droits d'accès

Etape 7 : en cas d'intrusion ou de détection de modification de profil ou empreinte par l'IA, prise en main des IP incriminées manuellement par un agent du SoC ou automatiquement par l'IA ( nous avons automatisé pour la sécurisation de la root Internet )

Le hackback peut se faire manuellement ultérieurement ( ou comme attaque lors d'un audit ). Les logs systèmes et réseaux sont analysés en real-time. Fonctionne pour tout type d'OS, y compris mobile. Le tout est chiffré AES-256.
Je ne parlerai pas du travail des admins. Cela n'empèche pas le reste : Firewall, antivirus, etc... La solution est légère, robuste et rapide. Mais surtout efficace sans prendre une demi-heure au démarrage de chaque PC pour la politique de sécurité. Elle fait l'objet de 19 brevets et est classée confidentiel Défense entre autre.

[fredoche]

Merci c'est très intéressant

Effectivement cela fait voir les choses autrement.

Cette notion d'empreinte complexe utilisée à plusieurs niveaux, je trouve ça très intelligent... évidemment bravo à vous

J'aurai bien 2-3 questions :
Du coup par la suite les mises à jour supposent de remettre en cause les empreintes, et font partie d'un processus autorisé de manière spécifique ?
N'y a t'il pas possibilité à ce moment là de hacker le système en introduisant des éléments malveillants qui seront intégrés à la nouvelle empreinte en profitant de l'opportunité ?
Le SSO est-il sous-entendu par les points 4 et 5 ? Reverse-proxy ensuite ? Comment cela fonctionne entre les niveaux systèmes et les applications type web ? un genre SAML ?

[marsupial]

Les mises à jour se déclenchent manuellement comme l'ajout de nouveaux utilisateurs modifiant l'empreinte dans un processus séparé.
C'est le zéro-trust qui pousse à vérifier chaque soft qui empêche de se faire hacker. Dans l'attaque Solarwinds, par exemple, la chaîne d'approvisionnement est compromise. Admettons que le réseau soit compromis dans l'empreinte, le déplacement de l'attaquant est limité par la sonde d'une part, et la politique de sécurité d'autre part. De plus, l'authentification est blindée de telle manière qu'aucun hacker puisse se connecter avec un quelconque compte sans carte à puce et le code accompagnant chaque connexion.
Dans les profils utilisateurs, il se trouve la liste des accès autorisés, des softs lourds ou web pour ne pas installer n'importe quoi et ne laisser qu'un degré de liberté limité en cas de compromission. Le SSO est compris dans les points 4 et 5.

Sinon contact@thalesgroup.com

Disons que c'est un projet qui a mûri pendant 20 ans environ dans ma tête et THALES m'a donné les moyens de le réaliser après 10 ans de veille sécuritaire. Je remercie au passage tout developpez.com ( rédacteurs, auteurs, contributeurs, etc... ). Bon, je me suis aussi servi en documentation sur les réseaux torrents et différents FTP (les slaves sont très forts)