Cybersecurity Mesh : décentralisation de la cybersécurité

Avec la crise sanitaire due au COVID-19, les entreprises ont considérablement accéléré leur transformation numérique : on estime que 5 ans de transformation ont été réalisés en un an seulement ! Cette accélération a eu pour conséquence une évolution fulgurante de la cybercriminalité obligeant les entreprises à devenir hyper réactives. Elles doivent désormais intégrer cette nouvelle réalité dans l’évolution de la sécurité et des technologies pour faire face à ces nouvelles menaces.

Néanmoins, cette évolution représente un coût important afin d’alphabétiser nos entreprises et de mettre en place ces nouvelles technologies. Ce budget s’élabore en regard des pertes financières que représente une attaque, voire de la perte de crédibilité et de confiance pour les clients entrainant des coûts de communication et de marketing nécessaires à la revalorisation de l’image de la marque.

Changer de paradigme

De fait, en matière de cybersécurité, les entreprises doivent changer de paradigme pour se diriger vers le concept de “cybersécurité maillée“. Cette approche architecturale distribuée pour un cyber contrôle évolutif, flexible et fiable, passe de la protection d’un périmètre informatique traditionnel (analogue à une “ville fortifiée”) à une approche plus modulaire. La méthode centralise l’orchestration des politiques et distribue l’application de la politique de cybersécurité.

Historiquement, la gestion du réseau et de la sécurité sont des services et des compétences centralisés dans les entreprises. Aujourd’hui, la cybersécurité reste à la main de quelques experts qui incarnent une autorité pour définir et/ou valider la sécurité physique ou virtuelle.
Cette stratégie répond bien à des attaques frontales pour couvrir des risques d’intrusion. Il n’est pas facile pour les grandes entreprises dotées d’architectures informatiques complexes (banques, entreprises manufacturières lourdes, organisations gouvernementales) de suivre le rythme d’un modèle plus agile et distribué. Les architectures modernes répartissent les charges de calculs vers la périphérie et le Edge Computing. A ce titre, la surface d’exposition s’accroît proportionnellement au nombre et à la complexité des projets.

Oublier un maillon de la chaîne, c’est ouvrir une potentielle brèche pour les criminels.

Méthode et culture de la sécurité

Aujourd’hui, les attaquants ont modifié leur approche : pour contourner les sécurités mises en place, elles ciblent les maillons faibles du dispositif de l’entreprise pour réaliser des attaques horizontales. Après avoir pris possession d’un maillon faible, les malwares se diffusent horizontalement dans tout le réseau, de serveur en serveur. Ces maillons faibles se situent en périphérie du Système d’Information et sont multiples (ex : serveurs non référencés et non maintenus, utilisateurs mal formés, IoT, etc.). L’ensemble des utilisateurs d’une entreprise doivent faire face à de plus en plus de campagnes de phishing (ou hameçonnage) ou de malwares dont l’objectif est de se diffuser dans le SI pour verrouiller ou extraire de la donnée. Tout comme les attaquants ont évolué, les entreprises doivent s’adapter pour y répondre.

Le changement de paradigme touche en premier lieu le modèle culturel de la cybersécurité et, plus largement, de la sécurité. La sécurité passe ainsi d’une structure centrique à une stratégie de décentralisation. Historiquement, la sécurité suit l’organisation de l’infrastructure qui était centralisée et virtualisée. Aujourd’hui, avec la décentralisation du Système d’Information, la sécurité (outils, organisation et processus) doit suivre le même processus. Ainsi, on fait référence à l’intégration de la sécurité dans une approche « horizontale » et distribuée, plutôt qu’à une approche traditionnelle « verticale » et globale.

Dans cette approche, la sécurité est un concept plus large qui implique chaque membre de l’entreprise. Elle ne se contente pas de mettre en place un périmètre de sécurité, mais fait de chaque employé de l’entreprise un rempart pour se prémunir des attaques horizontales. Il en est de même pour le développement des applications de l’entreprise où l’ensemble des acteurs ayant un lien avec l’application en cours de développement sont en première ligne de la sécurité du produit. Charge à eux d’intégrer, dès la phase d’idéation et de conception, les modèles de sécurité nécessaires et de prévoir leur implémentation dans le budget. Pour faciliter la démocratisation de la sécurité chez les métiers et les équipes IT, la bonne pratique consiste à déployer dans toutes les équipes projets un Security Champion. Cette personne a la charge d’être le garant des bonnes pratiques sécuritaires de l’entreprise et de garantir le bon niveau d’investissement du projet sur le plan de la sécurité (budget, formation, outillage). En complément de ce rôle interne au projet, il joue aussi un rôle externe pour remonter à la cellule d’Architecture et au RSSI (Responsable de la Sécurité du Système d’Information) les complexités rencontrées par le projet et les besoins d’évolution du framework sécurité actuel.

Pour être efficace, la sécurité se doit d’être inscrite dans l’ADN du projet et non une simple « couche de vernis » ajoutée avant le déploiement. Les Security Champions sont là pour apporter cette culture sécurité dès le début et l’insuffler tout au long du projet en mode DevSecOps. Ce changement culturel est aussi capital pour le Product Owner (PO) – le métier – qui doit composer avec ce Security Champion et s’approprier la culture de la sécurité, de son business model jusqu’à la formalisation de ses besoins.

Pour s’assurer de l’efficacité de ce changement, les formations ne peuvent suffire. L’expérience sur le terrain avec des projets pilotes via les Security Champions et l’acculturation des PO sont indispensables pour diffuser cette culture. Ce nouveau paradigme implique un changement profond de la Direction pour répandre cette culture et faire des KPIs sécurité une composante essentielle des indicateurs métier, au même titre que le chiffre d’affaires.

La Cybersecurity Mesh est un concept qui implique un public plus large que l’IT et qui impose une alphabétisation de toutes les strates de l’entreprise.

L’alphabétisation de l’entreprise sur le plan de la sécurité passe également par celle des tiers. Dans ces nouveaux réseaux maillés, la sécurité du SI est impactée par celle des partenaires. Ce contexte implique aussi de prendre en considération le niveau de qualité de la sécurité chez les tiers dès le processus des achats. Tout comme la santé financière du sous-traitant, la santé de la sécurité est un nouvel indicateur nécessaire dans cette culture.

Ce changement de culture met aussi en avant un besoin de transparence vis-à-vis des membres de l’entreprise et des clients. Au même titre que le RGPD garantit la traçabilité des données des utilisateurs, l’évolution de la sécurité amène de la transparence sur l’utilisation, l’exposition et le stockage des données.

Cette alphabétisation de la sécurité s’accompagne de nouveaux concepts et outils technologiques présentés ci-dessous.

Technologies autour de la cybersécurité

La Cybersecurity Mesh repose sur une approche architecturale distribuée permettant un contrôle de la cybersécurité évolutif, flexible et fiable. Avec désormais de nombreuses ressources existantes en dehors du périmètre de sécurité traditionnel, le maillage de la cybersécurité permet de construire le périmètre de sécurité autour de l’identité d’une personne ou d’un objet. Cette approche de la sécurité plus interchangeable et plus réactive repose sur la centralisation de l’orchestration des politiques de sécurité et la décentralisation de leur mise en l’application.

Techniquement, la Cybersecurity Mesh a pour objectifs :

• Redéfinir le périmètre de cybersécurité autour de l’identité d’une personne ou d’un objet ;
• Une approche architecturale distribuée pour plus de contrôle et une cybersécurité évolutive, flexible et fiable
• Empêcher les attaques horizontales qui exploitent les interconnexions réseaux ;
• Une approche de sécurité réactive plus standardisée.

Du Zero Trust au CyberMesh

La Cybersecurity Mesh est une extension du Zero Trust Network qui repose sur le principe que tout réseau, ainsi que les ressources attachées, est hostile. Aussi, pour accéder à un objet, le demandeur doit s’authentifier à chaque fois et prouver qu’il est digne de confiance.

Les principes du Zero Trust sont :

• une authentification portée par l’application et non par le réseau ;
• le chiffrement de tout le trafic ;
• l’évaluation de l’identité de l’utilisateur, de l’appareil et du contexte de la session ;
• la mise en œuvre du Multi Factor Authentication (MFA).

A cet arsenal, la Cybersecurity Mesh étend le rayon d’action du Zero Trust Network pour créer un périmètre de sécurité autour du demandeur et de l’objet ciblé, quelle que soit leur localisation, à tout moment et sur n’importe quel device. Dans cette structure, les organes centraux de gestion de l’identité deviennent des SPOF (Single Point Of Failure) qu’il faut transformer.

Une des promesses du web 3.0 est d’offrir un web décentralisé, à l’instar de ce qui existe avec le peer to peer ou la blockchain. Un des objectifs de cette nouvelle version du web doit permettre d’interconnecter directement les utilisateurs entre eux et de réduire les SPOF. Dans ce monde du web 3.0, les flux ne convergent pas vers des serveurs centraux qui desservent les services et assurent la sécurité. Le maillage de la sécurité sur l’ensemble du réseau devient indispensable pour assurer un service de qualité.

Des normes d’identité décentralisées

Les approches centralisées de la gestion des données d’identité simplifient la gestion des identités, mais rendent plus difficiles la résilience et l’accès de ce système à tout objet ou demandeur interne ou externe au système. Avec l’approche décentralisée permise par le modèle de maillage de la Cybersecurity Mesh, les technologies comme la Blockchain garantissent la confidentialité et permettent aux individus de valider les demandes d’informations en fournissant uniquement au demandeur la quantité minimale d’informations requise. Les Identity Access Managers tels qu’on les connaît deviendront des consoles pour définir les règles déployées via des smart contracts utilisés par des blockchains de gestion d’identité. Ainsi, les maillons de la chaine pourront aussi être déployés sur des réseaux périphériques au plus proche des objets connectés.

Le maillage comprend des couches d’identité, de politique, de posture et de tableaux de bord. Les technologies de sécurité distribuées offrant l’interopérabilité seront la clé du maillage de sécurité.

Une approche maillée de la cybersécurité de l’IoT

Avec l’augmentation spectaculaire du nombre de dispositifs connectés à Internet (IoT), le nombre de points d’accès Internet s’accroît proportionnellement. Ce qui ouvre autant de portes aux pirates pour exfiltrer des données.

Le niveau de sécurité d’un système informatique est défini par son maillon le plus faible.

Une approche maillée de la cybersécurité de l’IoT établit une approche plus robuste, plus souple et plus modulaire de la sécurité des réseaux. Ici, chaque nœud a son propre périmètre de sécurité, avec son niveau d’accès aux différents réseaux. Cette structure permet d’empêcher les pirates d’exploiter la faiblesse d’un nœud pour créer une attaque « horizontale » et accéder à un réseau contenant plus de données sensibles.

Autres conséquences d’une cybersécurité décentralisée

Un effet collatéral imprévu de cette approche est qu’elle permet de faciliter la décentralisation des locaux et le télétravail. Le maillage de la sécurité sur le plan humain et informatique diffuse la sécurité au-delà du réseau de l’entreprise pour la rendre opérationnelle quelle que soit la localisation du demandeur. Les locaux et les ordinateurs mis à disposition des utilisateurs ne sont plus une nécessité, ce qui peut générer des économies pour les entreprises et offrir de la flexibilité pour les utilisateurs.

Vous souhaitez en savoir plus sur les tendances technologiques et sectorielles à suivre pour les 5 prochaines années ? Téléchargez gratuitement la Tech’Vision 2022 de Cellenza !