Quels sont les grands enjeux en matière de sécurité des systèmes d’information ?
La sécurité des systèmes d’information est devenue extrêmement complexe. Le facteur le plus contraignant pour la plupart des services spécialisés est le manque de personnel qualifié. La pénurie de talents et la difficulté à financer le recrutement d’experts ont réduit la capacité des entreprises à adopter de nouvelles technologies de sécurité plus puissantes. Mais les choses sont sur le point de changer. Le manque de professionnels qualifiés va entraîner l’adoption de technologies de nouvelle génération, conçues pour simplifier et automatiser le processus de sécurisation des infrastructures et des applications critiques dans les centres de donnée et dans le Cloud. D’ailleurs, un certain nombre d’entreprises travaillent déjà à automatiser la gestion des incidents. Le besoin de devancer des menaces critiques continuera également à stimuler l’innovation dans d’autres domaines. Notamment celui de la détection et de l’analyse prédictive.
A quoi peut-on s’attendre de la part des cyberpirates cette année ?
La protection des données est de plus en plus complexe face à des attaques de plus en plus sophistiquées. Contrer les menaces croissantes, perpétuées par les États-nations et le crime organisé, nécessite des compétences très pointues. D’autre part, la tendance à l’automatisation est une lame à double tranchant. La militarisation du cyberespace a en effet entraîné la création d’une vague d’outils plus automatisés permettant de créer et d’exécuter des attaques très élaborées. Parmi eux figurent notamment Zeus (pour la création de chevaux de Troie) et BlackPoS (utilisé pour attaquer des terminaux en point de vente et responsable d’un certain nombre de fuites de données subies dans le secteur de la grande distribution). La prolifération de ces logiciels malveillants sophistiqués, dont l’exploitation a été considérablement simplifiée, provoquera une succession d’attaques majeures de la part d’assaillants beaucoup plus variés. Nous constatons déjà une expansion de la population d’attaquants expérimentés, ainsi que la diversification de leurs motivations. Celles-ci incluent désormais des dissidents ou des militants animés par des causes politiques. Ces tendances contribueront certainement, sur un plus long terme, à mieux corréler et identifier ces nouvelles menaces mais cela passera d’abord par une dégradation de la situation avant que les choses ne s’améliorent.
Applications métier, DevOps, Cloud… Comment ces grandes tendances vont-elles modifier la stratégie de sécurité informatique des entreprises ?
Traditionnellement, les équipes de sécurité protégeaient les périmètres du centre de données en travaillant étroitement avec celles des infrastructures. A l’heure du Cloud hybride, où les périmètres d’infrastructure sont moins précis et où les applications (ainsi que les données) deviennent de plus en plus critiques pour les métiers, l’approche traditionnelle doit changer. En 2017, les applications deviendront la préoccupation numéro 1 des équipes chargées de la cybersécurité. Celles-ci chercheront à mieux s’aligner avec les métiers pour déployer leurs stratégies de sécurité. L’accélération de la conteneurisation (mise en conteneurs numériques des applications et données) et de la méthodologie DevOps (développement agile de logiciels), contribuera également à la généralisation de ce nouveau modèle de sécurité.
Est-ce la fin des applications »monolithiques » ?
Probablement. Toujours est-il que, grâce à ces nouvelles approches de développement, les applications passent à une architecture basée sur des composants distribués. Elles constitueront le nouveau socle d’infrastructure sur lequel les équipes de sécurité vont construire leurs politiques de protection. Les équipes métiers seront donc plus transparentes sur leurs composants, ce qui aidera les équipes sécurité à ajuster leur stratégie de contrôle. D’ailleurs, nous pouvons déjà voir les premières manifestations de cette tendance avec la montée en puissance de la micro-segmentation des réseaux, processus au gré duquel une application critique est compartimentée en segments, éléments de traitement et points de filtrage. Par ce processus, les stratégies de contrôle des réseaux sont ainsi alignées sur les frontières des applications. Selon nous, l’adoption de cette approche et d’autres principes de sécurité orientés application ne peut que s’accélérer dans les 12 mois à venir.
Quel est l’avenir pour le Cloud en entreprise ? Comment le sécuriser ?
Jusqu’à maintenant, les questions autour de l’adoption du Cloud (public ou privé) se sont focalisées sur la sécurité. Et bien que des inquiétudes et des défis subsistent, en 2017, les équipes de sécurité se tourneront vers le Cloud pour mettre en œuvre des approches qui étaient impossibles dans le monde des centres de données traditionnels. Un nombre croissant de technologies vouées à sécuriser applications et données par le Cloud feront leur apparition. Citons notamment des mécanismes rattachant les contrôles et les politiques aux composants applicatifs, l’adaptation dynamique du niveau de protection à la posture de l’application, la gestion automatisée des réponses aux incidents de sécurité, la micro-segmentation ainsi qu’une meilleure visibilité et davantage de contrôle. Comme le Cloud évolue d’un modèle basé sur « la confiance absolue » vers un modèle offrant plus de visibilité, d’isolation entre les clients et davantage de contrôle tiers, ses utilisateurs auront la capacité de mesurer le niveau de protection proposé dans le choix de leurs fournisseurs. Cette année, le Cloud offrira plus de sécurité pour héberger de vastes gammes d’applications et de services.
Alors que les employés font de leurs mobiles une utilisation de plus en plus massive, quel sera leur impact sur la gestion des identités ?
Jusqu’ici, la sécurité mobile et la gestion des identités et des accès (IAM) ont été deux marchés séparés mais leurs chemins sont voués à se croiser. Les appareils mobiles sont un outil de travail essentiel pour les employés. Ils servent en effet de dispositifs de communication, de stockage de données et de portails d’applications. Mais surtout, ils sont de plus en plus utilisés comme mécanisme d’identification et d’authentification. Résultat : la gestion des identités évolue rapidement vers un modèle comportemental basé sur les risques. La solution IAM évalue le niveau de risque du terminal, la criticité de l’application et des données accédées ainsi que le niveau de confiance quant à l’identité réelle de l’utilisateur. L’utilité des contrôles basés sur la gestion des risques vient du fait que l’authentification et l’isolation ne suffisaient plus à établir la véracité des identités de façon fiable. La consistance de l’analyse comportementale permet aux entreprises d’adresser des risques liés à la compromission de services, authentifiés, isolés et de confiance, via l’exploitation des imperfections de leur implémentation ou de leur infrastructure. Nous commençons déjà à voir apparaître des solutions de sécurité unifiant ces deux domaines, et cette tendance devrait s’accentuer durant cette année.
Propos recueillis par Ségolène Kahn
Commentez