À l’heure de l’Internet ubiquiste, du Cloud, de la mobilité connectée et de la consumérisation de l’IT, les entreprises doivent repenser leur sécurité et abandonner leur obsession pour la défense périmétrique.
La sécurité informatique a longtemps été pensée en termes de château fort avec une frontière à franchir – les remparts – qui jouait le rôle de filtre. Bien à l’abri, les activités internes étaient forcément considérées saines. Pas besoin de protection. Et dehors peu importait, puisque les remparts étaient là pour protéger. Une approche dite périmétrique, considérée il y a encore quelques années comme satisfaisante pour contrer la majorité des cybermenaces. Il suffisait de bien paramétrer ses pare-feux pour estimer, ou plus exactement croire, ses données, serveurs et PC en sécurité.
La disparition du périmètre
VPN, pare-feux et antivirus restent des composantes clés de toute politique de sécurité, mais ils ne suffisent plus. Et la notion même de « périmètre de sécurité » apparaît absurde dans un monde où bien des données et services de l’entreprise sont hébergés hors de ses murs sur le Cloud, où la plupart des collaborateurs sont nomades et ont un besoin constant de connexion à Internet, où chacun amène dans l’entreprise des périphériques connectés (PC portables, tablettes, montres, smartphones, clés USB, disques externes, etc.) qui sont autant de vecteurs d’attaques supplémentaires.
L’ultra-mobilité des utilisateurs et de leurs appareils rend caduque la notion même de défense périmétrique telle qu’on la concevait autrefois. Elle n’a plus de sens parce que l’entreprise numérique d’aujourd’hui n’a plus de frontière, n’a plus de périmètre définissable. De fait, l’entreprise n’est plus définie par ses murs, mais par un continuum numérique qui s’étend de la donnée au Cloud en passant par les réseaux, les machines et les collaborateurs.
Repenser la sécurité
Il faut donc changer les façons de penser et de concevoir la sécurité. Il faut protéger les données critiques par toutes les méthodes possibles. Il faut penser le réseau comme un ensemble de liaisons point à point sécurisées de bout en bout. Il faut s’assurer que chaque dispositif connecté au système d’information est connu et sécurisé et faire en sorte d’isoler ceux jugés douteux. Il faut s’assurer que chaque dispositif connecté est protégé par des outils actuels et reçoit les mises à jour critiques. Pas uniquement les PC, mais aussi les Mac, les smartphones, les tablettes, les caméras, les appareils réseau et l’IoT.
Il faut protéger l’utilisateur lui-même, son identité, en généralisant l’authentification forte (par carte à puce ou double dispositif) et ne pas se satisfaire des mots de passe. Il faut exploiter ces nouveaux outils de surveillance du continuum numérique qui permettent une analyse de l’ensemble des comportements et une détection, par machine learning, des comportements déviants et des signaux faibles trahissant les cyberattaques.
Enfin, il est illusoire de croire que, parce que l’on a mis en place des outils de protection, l’entreprise est à l’abri d’une intrusion. Ce n’est pas et ne sera jamais le cas. La question que l’on doit se poser consiste à définir si l’on est suffisamment bien armé pour faire en sorte que les attaques réussies et autres intrusions n’aient pas ou peu d’impact sur le patrimoine informationnel de l’entreprise et sur la capacité de cette dernière à poursuivre ses activités normalement.
