A l’heure où les applications en mode Cloud et Saas décollent dans les entreprises, une génération de produits de sécurité informatique apparaît dépassée, inadaptée à la nouvelle donne, comme figée dans le passé.
Sur le marché émietté de la sécurité informatique, trop de solutions de protection cultivent actuellement une expertise qui aboutit à tout savoir sur rien, et d’une complexité byzantine.
Bénéfices difficiles à justifier
« On paie de plus en plus cher pour protéger des zones de plus en plus petites du système d’information, pour des bénéfices de plus en plus difficiles à justifier, » résume Lazaro Pejsachowicz, président du Clusif (Club de la sécurité de l’information) et RSSI (Responsable de la sécurité des systèmes d’information) de la CNAMTS, la caisse d’assurances maladie. Sans parler de la complexité croissante des offres ni de leur émiettement.
La couverture des risques avance de façon minime, tandis que le coût avance de façon exponentielle, et non seulement le coût, mais surtout la complexité. La sécurité se déplace avec des semelles de plomb. « Pour couvrir des parties très petites de risques, on a besoin de prendre des technologies extrêmement complexes, et qui ne couvrent pas les parties précédentes, » regrette le RSSI.
Comme la partie couverte est très petite par rapport à la complexité et au coût, il faut montrer que le risque a une probabilité très grande ou qu’il a un impact très grand pour que l’on puisse justifier d’installer ces solutions complexes à mettre en oeuvre.
Un avis que partage Hervé Schauer, spécialiste sécurité, désormais directeur général et associé chez Deloitte. « Trop de solutions de sécurité sont centrées sur l’infrastructure, transformant le responsable sécurité en RSSI infrastructure.Très peu de produits se projettent dans l’avenir, » ajoute-t-il. A l’heure où les entreprises se transforment avec le numérique, les solutions de sécurité qu’on leur propose semblent figées dans le passé. « On est resté dans les années 2000, » dit-il.
Equipements fossilisés
Le monde change. « Trop de produits partent du principe de la protection périmétrique, et de protection du réseau de l’entreprise, » reprend Hervé Schauer. Or les entreprises clientes de ces solutions doivent se repenser avec une dé-périmètrisation complète de leurs infrastructures.
« Tout aujourd’hui est hébergé à droite et à gauche. Pour les utilisateurs, internet et le réseau d’entreprise ce sont la même chose, ils utilisent gmail comme messagerie d’entreprise, » constate Hervé Schauer. Face à cette évolution, « il y a trop de produits de sécurité d’une génération dépassée. Les mécanismes de contrôle sont aujourd’hui totalement différents, » affirme-t-il.
internet est le réseau d’entreprise
Pour une compagnie aérienne par exemple, il faut que le réseau d’entreprise disparaisse, que ce soit internet. Il faut juste des moyens d’authentification et de traçabilité des employés. « Aujourd’hui la sécurité n’est plus faite dans l’infrastructure, dans le firewall, elle est faite à chaque bout. Ensuite, il faut une journalisation pour vérifier que la politique de sécurité est respectée. Et quelque chose de vraiment confidentiel est chiffré, » décrit le spécialiste.
Même sentiment de « déjà vu » devant trop de solutions proposées chez Nicolas Ruff, anciennement expert sécurité chez EADS, et désormais chez Google. « Les systèmes d’information actuels sont des empilements fossilisés d’équipements, difficiles à sécuriser. Ces systèmes sont d’autant plus simples à percer qu’il suffit de connaître les mots de passe par défaut des principaux intégrateurs du marché pour pénétrer la plupart des systèmes qu’ils ont déployés, » pointe-t-il.
De plus, la majorité des attaques demeurent peu sophistiquées. « Elles passent encore par la messagerie et l’ouverture des pièces jointes, » indique Nicolas Ruff en parlant des fameuses attaques APT (Advanced Persistent Threat). Autre souci, « les principales menaces viennent de l’interne, ou d’une collaboration interne, un domaine mal couvert par les offres actuelles, » pointe Lazaro Pejsachowicz. Il veut pouvoir maîtriser l’interne et l’externe en même temps.
Faire le ménage dans les comptes
De fait, les entreprises en sont encore – dans le meilleur des cas – à traquer les comptes utilisateurs créés sur leurs systèmes et à essayer de démêler ceux qui appartiennent à de réels collaborateurs travaillant encore pour l’entreprise, et dans le cas où ils disposent de droits d’administrateur, si cela est justifié.
« Les administrateurs ont tendance à se coopter entre eux, résultat nous avions 400 comptes d’administrateur sur nos systèmes. Une fois le ménage fait, il n’en restait plus que 40, » explique le responsable sécurité d’une compagnie d’assurances qui empile les systèmes Unix, Windows et Mainframe. Pour l’heure, il a fait le ménage pour quatre applications principales de son entreprise. Il en gère en tout 150.
Une sécurité Cloud
A l’heure du Cloud généralisé, il faut de nouvelles approches, et cesser de protéger le système d’information contre des menaces mises en exergue par les fournisseurs afin de valoriser leur technologie.
« Dans la Silicon Valley, les startups n’ont plus d’infrastructure, elles sont dans le Cloud, » rappelle Nicolas Ruff. Mieux, elles n’ont plus besoin d’Active Directory de Microsoft, ajoute Hervé Schauer. « Aujourd’hui, on peut se passer de Active directory et de Microsoft. Tout est internet, toutes les applications sont Web. Dans les sociétés de la Silicon Valley, il n’y a plus Active Directory, » décrit-il.
Bien sûr les technologies progressent, reconnaissent les experts, mais à la marge et pour une complexité grandissante. On peut ajouter du Big Data, mais il faudrait aussi des APIs ouvertes afin d’intégrer les solutions entre elles et cesser de se reposer sur des Appliances fermées qui ne peuvent pas évoluer.
« Comme disait Edison, on n’invente pas l’électricité en perfectionnant la bougie, à un moment il faut tout jeter, et repartir d’une feuille blanche, » propose Nicolas Ruff. Quant à Lazaro Pejsachowicz, il rappelle les bases et les contraintes du métier de responsable sécurité : « le risque zéro n’existe pas. Je ne fais pas de la sécurité, je fais de la protection de l’information selon trois critères : la disponibilité, la confidentialité et l’intégrité. »
Tout est étroitement lié. « Si j’augmente la confidentialité – en chiffrant par exemple – je dégrade forcément la disponibilité, » conclut-il.