Expert : "Combattre l’adversaire de l’intérieur" par Michael Xie
Historiquement, les cyberattaques sur les réseaux d’entreprise étaient menées à partir de l’extérieur. Mais avec la prolifération des dispositifs mobiles personnels et la montée en puissance de l’Internet des Objets, le danger peut désormais venir aussi de l’intérieur. C'est le message que fait passer dans cet avis d'expert, Michael Xie, Fondateur, Président et Chief Technology Officer de Fortinet, l'un des leaders mondiaux de la cybersécurité installé à Sophia Antipolis.
Le monde évolue rapidement. Et l’univers de la sécurité encore plus. Il y a à peine deux ans, la sécurité en entreprise consistait souvent à protéger une organisation des intrus externes. Mais aujourd’hui, le terrain de bataille s’est élargi. Les efforts de sensibilisation de la part des acteurs du marché ont renforcé la connaissance des organisations en matière de sécurité IT, et elles sont plus nombreuses à mettre en place les mesures de sécurité de base pour contrer efficacement les menaces directes.
Cette prise de conscience incite les hackers à se professionnaliser davantage en identifiant de nouveaux moyens pour mettre la main sur des ressources d’entreprise de valeur. Une des stratégies d’attaque qui devient commun dans le monde consiste à infiltrer les réseaux d’entreprise en ciblant les maillons les plus faibles. Il peut s’agir du téléphone mobile d’un collaborateur ou d’un poste de travail avec un accès limité aux données. Ces passerelles sont généralement positionnées sur des segments réseau de faible valeur. Une fois l’assaillant infiltré, il navigue vers des segments plus intéressants du réseau, ceux, précisément, qui sont les mieux protégés contre les attaques externes.
Ce mode opératoire de « mouvement latéral » se révèle efficace dans la majorité des cas, les organisations étant nombreuses à ne pas cloisonner les différents segments de leur réseau, permettant ainsi à l’assaillant de passer simplement de l’un à l’autre.
Dans les années à venir, certaines tendances vont favoriser ces attaques menées à partir du périmètre interne du réseau :
- 1. La prolifération des dispositifs mobiles personnels au sein des environnements professionnels. Ces équipements, souvent peu sécurisés, servent de passerelles vers les réseaux d’entreprises.
- 2. La croissance exponentielle des objets connectés. Les versions précédentes, et même actuelles de ces dispositifs n’ont pas été conçues en faisant de la sécurité une priorité, ce qui rend leur gestion et leur sécurisation complexes.
- 3. Une progression dans les techniques de hacking.
Les pare-feux de segmentation interne deviennent une priorité
De manière traditionnelle, les organisations déploient des pare-feux en périphérie de leur réseau. Ces pare-feux considèrent que le trafic externe (trafic Internet) n’est pas de confiance, tandis que le trafic interne l’est. Ce qui revient à gérer ces deux profils de trafic de manière distincte, sans zone grise, sans ambigüité.
Sauf que le monde n’est guère tout blanc ou noir.
Face à la recrudescence des attaques initiées à partir des segments peu sécurisés du réseau, la frontière entre trafic de confiance et autres s’estompe. Déployer simplement un pare-feu en périphérie de réseau n’est plus suffisant et les organisations doivent repenser leur architecture réseau afin que des pare-feux internes puissent contrôler et restreindre le flux des logiciels malveillants entre les différents segments d’une organisation.
Selon l’analyste Forrester, si les entreprises disposent de périmètres sécurisés, les cybercriminels préparés ont piraté des personnes au sein de l’entreprise et conçu de nouvelles méthodes d’attaques pour contourner les lignes de défenses actuelles. Les professionnels de la sécurité et de la gestion des risques doivent désormais déployer la sécurité de manière pervasive sur leur réseau, et plus seulement en périphérie.
Forrester se fait l’avocat d’un modèle de sécurité de type “zero trust”, dans lequel le réseau est segmenté de manière sécurisée, avec une inspection et une mise en log du trafic. Avec un tel modèle, l’information qui transite entre un ingénieur et son collègue du marketing situé à proximité, par exemple, ne sera plus acheminée sans vérification. Ces deux collaborateurs sont affectés à des segments réseaux différents, et grâce à un pare-feu de segmentation interne (ISFW pour Internal Segmentation Firewall), des règles de sécurité pertinentes seront appliquées tandis que des logs seront générés pour tout trafic transitant d’un département métier à un autre.
Un pare-feu ISFW associe deux types de technologies : d’une part, une segmentation fondée sur des règles qui identifie les paramètres utilisateur pour ensuite appliquer en temps réel et de manière cohérente l’accès des utilisateurs aux ressources d’entreprise. D’autre part, une segmentation par le pare-feu qui divise le réseau interne pour permettre l’analyse du trafic, la mise en logs et un contrôle intégral de la sécurité.
Un ISFW ne remplace pas le pare-feu en périphérie de réseau. Au contraire, il propose de multiples points de contact au sein du réseau, pour déployer une sécurité entre les périmètres réseau existant, ou pour créer de nouveaux segments au sein de périmètres existants.
Il améliore également la visibilité pour que les dirigeants IT puissent visualiser toutes les couches du réseau à partir d’une interface unique.
Le type de protection varie selon le niveau de sécurité requis entre chaque segment du réseau. Une fois le pare-feu déployé au sein de chaque segment d’un réseau d’entreprise, ses règles de sécurité, son outil de logs et ses fonctions de détection permettent d’identifier et de mettre en quarantaine les utilisateurs qui ont été piratés. D’autre part, ces pare-feux rendent la tâche plus complexe pour les hackers qui initient des phases de reconnaissance et de découverte, notamment lorsqu’ils sont déjà présents au sein du réseau.
Les pare-feux ISFW doivent fonctionner de manière synchronisée, en tirant parti d’une veille sur les menaces et en étant associé à des solutions de détection des menaces APT (Advanced Persistent Threat), à l’image du sandboxing, ainsi qu’à des solutions de sécurité pour terminaux, permettant ainsi de prendre des actions pour identifier tout piratage et assurer leur mise en quarantaine.
Lever les barrières de performances et de coûts
Les objections classiques des entreprises au déploiement d’un pare-feu sur chaque segment du réseau tournent généralement autour du prix et des performances. Le trafic interne sur le réseau pouvant être bien plus important que le trafic Internet en volume, peu de pare-feux sont capables d’assurer leur mission sans latence. Et ceux qui le peuvent, lorsque déployés en grand nombre pour sécuriser chaque segment du réseau d’entreprise, peuvent rendre les coûts prohibitifs pour de nombreuses organisations.
Aujourd’hui, cependant, des solutions accessibles existent. Les pare-feux modernes qui utilisent des puces ASIC personnalisées peuvent être suffisamment rapides pour gérer cette fonction de pare-feu de manière économique.
Certains se souviennent peut-être des promesses de la sécurité par ports (per-port security) d’il y a quelques années, jusqu’à ce que des problématiques de mise en œuvre viennent remettre en cause les avantages escomptés. La technologie ISFW actuelle vient réactiver ces promesses. Alors que les technologies en matière de commutation et de sécurité des ports d’accès évoluent, et que les performances s’améliorent, nous serons capables de les associer aux ISFW pour concrétiser ces promesses.
Le concept du pare-feu de segmentation interne invite le secteur de la sécurité réseau à plonger dans une ère particulièrement excitante. Les entreprises qui souhaitent faire avancer leurs opérations et leur métier pour prendre une longueur d’avance sur leurs concurrents gagneront certainement à capitaliser sur cette technologie.
Michael Xie
- Voir les autres avis d'expert de Michael Xie : Tag Michael Xie, ainsi que les avis d'expert de Fortinet : Tag Fortinet