Par Jean-Philippe Poirault, Expert international Big Data & Cyber-Security
Nouveaux enjeux dans un monde digital en métamorphose
Dans le passé, les données étaient principalement créées sur des ordinateurs dans des datas centers. La cybersécurité a ainsi débuté comme une protection périmétrique, similaire à la défense des châteaux forts : il s’agissait de protéger le périmètre du data center ainsi que les routes d’accès, en utilisant des pares-feux.
Au fur et à mesure, cette stratégie s’est perfectionnée avec, par exemple, l’intégration de solutions EDR (Endpoint Detection and Response) pour protéger les End Points (PCs, serveurs distants, etc.). Cette approche a fait ses preuves.
Mais dans un environnement numérique en constante évolution, nous vivons aujourd’hui un changement de paradigme. L’approche traditionnelle de la cybersécurité fait face à ses limites avec une évolution constante des surfaces d’attaque.
« Le numérique n’a plus de périmètre »
L’essentiel est de comprendre votre surface d’attaque, c’est-à-dire l’ensemble des points d’entrée mal sécurisés qu’un utilisateur non autorisé pourrait utiliser pour tenter de s’introduire dans votre système d’information. On dit souvent que « le monde digital n’a pas de périmètre ». C’est une réalité dont il faut être conscient.
Plusieurs facteurs contribuent à la disparition du périmètre traditionnel :
1. L’explosion des données
Le nombre de données continue de croître de manière exponentielle : en 2021, nous échangions 64 zettabits de données copiées et créées, contre seulement 2 zettabits dix ans auparavant. Le Big Data, phénomène majeur qui témoigne de l’explosion quantitative et qualitative des informations générées et traitées à l’échelle mondiale, n’est pas sans poser de questions en termes d’impact écologique ainsi qu’en matière de sécurité.
2. L’extension de la surface d’attaque
Le second phénomène est l’explosion du nombre d’appareils connectés : avec l’arrivée de l’IoT et de la 5G, plus de 20 milliards d’objets connectés sont attendus dans les prochaines années. Cette prolifération des petits objets connectés, de robots et de capteurs, de drones, modifie l’architecture globale de l’infrastructure numérique : nous passons d’un environnement centralisé composé uniquement de data center et de cloud à des infrastructures hybrides composées de puissances de calcul centralisées (Cloud, datacenters) et décentralisées (Edge computing, PC, objets connectés).
Contrairement à ce qui était communément admis, il n’est pas question d’envoyer toutes les données dans le cloud. Le nouveau monde numérique est la résultante de la combinaison et l’interconnexion d’architectures multiples : dispositifs divers, Edge Computing (traitement informatique des données au plus près de leur source de production afin de réduire la latence), centres de données, cloud et supercalculateurs.
Cette multiplication des architectures crée une surface d’attaque très différente. On estime que 80 % des données qui sont aujourd’hui prétraitées dans les centres de données (privés ou dans le cloud) seront demain traités à la périphérie des réseaux dans des serveurs dits Edge Computing. Ce phénomène ayant tendance à s’accentuer avec la montée en puissance de l’Intelligence Artificielle et du Machine Learning. Cela change la manière de protéger votre infrastructure puisqu’il devient alors crucial de développer la gestion et la sécurité des données tout au long de leur déplacement d’un point A vers un point B mais également dans leur lieu de stockage.
3. La sophistication des attaques
Malheureusement, avec ce changement de paradigme, des personnes malveillantes inventent de nouveaux types d’attaques. Nous connaissons tous les attaques de ransomware et les attaques par déni de service (DDoS), mais les attaques sur les applications augmentent de manière exponentielle et deviennent chaque jour de plus en plus sophistiquées. Les cybercriminels utilisent de plus en plus l’automatisation pour balayer les systèmes d’information en quelques minutes et pour exploiter les vulnérabilités en quelques heures.
Repenser la stratégie de cyberdéfense
1. Dans ce contexte en évolution constante, nous devons repenser la stratégie de cyberdéfense. Maîtriser sa surface d’attaque
Le premier point crucial est, à nouveau, de maîtriser la surface d’attaque. À ce sujet, il est surprenant d’observer que 69 % des responsables techniques considèrent le shadow IT comme une préoccupation majeure dans la transformation des entreprises[1]. De nombreuses personnes au sein des entreprises créent et gèrent des machines virtuelles dans le cloud, les allument et les éteignent à leur guise. Dans les grandes entreprises, l’environnement global et la surface d’attaque peuvent ainsi évoluer d’un facteur 1000 en une seule journée. Comprendre sa surface d’attaque et les voies d’entrée exploitées par les cybercriminels est essentiel. Selon un récent rapport de l’Unit 43 de Palo Alto Networks, les attaques les plus fréquentes sont faites contre les framework Web, les services d’accès à distance, les systèmes mal configurés, les partages de fichiers et les bases de données.[2]
Connaître la surface d’attaque de l’entreprise est l’un des plus grands défis auxquels sont confrontés les responsables de la sécurité informatique. La question à se poser est la suivante : « Est-ce que je contrôle ma surface d’attaque ? ». Trop souvent, la réponse est négative alors qu’il existe des outils pour y parvenir.
2. Rester vigilant à tous les niveaux
Le deuxième point essentiel est de ne pas oublier les fondamentaux. Certains se disent que, puisque les données ne sont plus uniquement dans un data center mais dans un environnement hybride (souvent multicloud avec plusieurs fournisseurs), ils sont bien protégés. Ils pensent que les environnements hybrides – les hyperscalers – qui investissent massivement dans la sécurité de leurs propres data centers, assurent une protection optimale. L’idée est alors de tout mettre dans le cloud en croyant être entièrement sécurisé.
En réalité, la plupart des clients ne lisent pas attentivement les contrats. Certes, les fournisseurs de cloud assument certaines responsabilités en matière de sécurité et mettent à disposition de nombreux outils à cet effet. Pourtant, les clients s’exposent souvent à des risques car ils n’exploitent pas ou ne gèrent pas correctement ces outils. Selon les analyses de Gartner Inc., d’ici 2025, 99 % des incidents de sécurité dans le cloud ne seront pas dus aux hyperscalers mais à une mauvaise utilisation des fonctionnalités de sécurité par les clients.[3]
En outre, le problème n’est jamais purement lié au cloud. La plupart des problèmes de sécurité liés au cloud sont liés aux questions d’hybridation, de cloud hybride. Il est commun de penser que les données, une fois dans le cloud, ne circulent plus. En réalité, les données circulent constamment. Ce n’est donc jamais un problème purement cloud, et cela demande une agilité organisationnelle particulière en matière de sécurité.
3. Tirer profit du Edge computing à bon escient
Le troisième point important concerne l’approche souvent binaire qui consiste à dire « soit je vais complètement dans le cloud, soit je n’y vais pas du tout ». En réalité, ce n’est pas aussi simple. Si vous êtes responsable d’entreprise, vous êtes propriétaire du patrimoine digital et donc des données. Il est crucial de bien réfléchir à la classification de vos données et applications en fonction de leur sensibilité.
Le cloud est très sécurisé pour certaines applications mais pour d’autres, notamment les données extrêmement sensibles, il peut être préférable de ne pas les y placer. Par exemple, 60 % des organisations transfère des données sensibles ou confidentielles dans le cloud, qu’elles soient chiffrées ou non.[4] Avec l’explosion du Edge Computing, il sera possible de traiter de façon sécurisée ses données au plus proche de la source de production (Edge Computing) augmentant de ce fait la sécurité mais accroissant également la performance par une réduction de la latence et une limitation des besoins de bande passante (n’ayant pas à envoyer les données dans le cloud). Ces modèles de calcul déporté vont notamment se développer avec l’explosion de l’AI/ML Artificial Intelligence and Machine Learning.
4. Définir une politique de défense agile
Le quatrième point consiste à faire coexister divers domaines de sécurité dans un environnement hybride. Cela inclut la protection traditionnelle de vos data centers et infrastructures personnelles, ainsi que celle du cloud. Cependant, il est essentiel d’orchestrer l’interconnexion de ces deux environnements de manière cohérente avec une attention particulière accordée à la gestion des identités, qui joue un rôle central dans la protection du périmètre.
De nombreuses entreprises ont mis en place une gestion des identités pour les employés ou pour protéger l’infrastructure. Cependant, lorsqu’elles passent au cloud, elles doivent étendre cette gestion aux données, objets connectés, conteneurs et domaines applicatifs, tout en associant les identités aux certifications autorisées. Cette étape est souvent négligée, surtout lors de la migration vers le cloud.
La partie centrale de cette défense consiste en une gestion automatisée. Nous préconisons une défense agile, concentrée sur l’adaptation de l’environnement aux normes de régulation et sur la rapidité de réaction face aux attaques. Le nombre d’attaques augmente rapidement et les entreprises doivent être prêtes.
Par exemple, ATOS, en tant que responsable de la sécurité des Jeux Olympiques, a observé une augmentation du nombre d’alertes de sécurité par seconde : passage de 400 alertes par seconde lors des JO du Brésil en 2016 à 800 lors des JO du Japon en 2021. Cela montre l’importance d’avoir des moteurs de détection enrichis par l’IA et l’apprentissage automatique (IA/ML) pour réagir rapidement et efficacement.
Importance d’une équipe expérimentée
Un autre aspect fondamental est la capacité de l’entreprise à mobiliser des experts. Les gouvernements soutiennent les universités et la formation, mais le besoin d’experts en cybersécurité va croissant. Les outils seuls ne suffisent pas ; l’expertise interne autant qu’externe est indispensable.
Il est recommandé de tester régulièrement votre entreprise avec des équipes Red Teams et des tests de pénétration pour évaluer la résilience de votre organisation. La sécurité des sauvegardes est souvent négligée ; ces dernières peuvent alors devenir une porte d’entrée pour les attaquants.
Seule une approche holistique permet de naviguer dans ce nouvel écosystème numérique complexe : comprendre et gérer votre surface d’attaque, évoluer avec vos outils, classifier vos données selon les normes, agir rapidement grâce à des outils adaptés, et s’appuyer sur une expertise interne et externe. La combinaison de ces actions permet de réduire le risque et d’assurer avec plus de sérénité le développement de votre entreprise.
Chaque dirigeant d’entreprise a pris conscience que dans un monde digital, les données sont devenues la richesse de l’entreprise.
Chaque dirigeant doit savoir, à tous moments, si les données critiques de l’entreprise sont protégées, menacées ou attaquées. Une feuille de route sur la protection cybersécurité de l’entreprise doit exister et être régulièrement enrichie afin d’accroitre la protection cyber de ces données qui font la richesse de l’entreprise.
[1]The State of SaaS Visibility and Impact report, TIRII, 2022.
[2]La surface d’attaque à l’ére du Cloud : il est urgent d’agir, IT for Business, 21 septembre 2023.
[3]Is the Cloud Secure?,Gartner,10 octobre 2019.
[4]2021 Global Encryption Trends Study, Entrust, 2021