Le nouveau périmètre de sécurité des organisations Nous assistons, lentement mais sûrement, à un changement radical dans le monde des réseaux et de la sécurité des accès. Pour le symboliser de manière caricaturale, on est en train de passer d’une situation où il y avait le réseau d’une organisation dans l’enceinte de ses murs et le réseau Internet à l’extérieur, à une situation où tout repose sur le réseau Internet, que se partagent les réseaux de toutes les organisations. Les réseaux des entreprises s’installent durablement dans le réseau internet à travers les infrastructures cloud dépassant la frontière physique des organisations. C’est la notion même de « périmètre de sécurité » qui en est complètement bouleversée. Et par voie de conséquence, la manière de protéger ce nouveau périmètre de sécurité. L’ubiquité, le nouveau paradigme des organisations Si Internet devient le réseau de toute organisation et que toute capacité informatique devient service cloud, quelle est la nouvelle frontière de l’organisation ? Nous assistons à l’éclatement de toute organisation : d’un côté les forces vives du travail, qui ne sont plus forcément « au bureau », mais de plus en plus en déplacement, en télétravail, ou chez un prestataire, et qui sont connectées depuis tous types de réseaux (4G/5G, Wifi, Internet) ;de l’autre côté les outils informatiques de travail, qui ne sont plus nécessairement « dans le datacenter » de l’organisation, mais de plus en plus dans des infrastructures cloud ou chez des fournisseurs de services cloud, et qui sont de plus en plus distribués chez un nombre croissant de prestataires différents. Il apparait donc que les organisations n’ont plus de frontière. Auparavant, on pensait : « à l’intérieur, sécurisé ; à l’extérieur, dangereux ». Désormais, on ne peut plus distinguer l’intérieur et l’extérieur, et l’organisation n’a plus de périmètre de sécurité. Elle ne peut plus donner sa confiance par défaut. D’où l’émergence de cette « philosophie » d’approche de la sécurité qu’on appelle le « zero trust » : partir de l’hypothèse qu’on doit vérifier le niveau de confiance à chaque interaction. Sur quoi alors baser la sécurité des accès à l’outil informatique indispensable au bon fonctionnement de toute organisation ? L’identité est le nouveau périmètre de sécurité des organisations Le réseau ne peut plus déterminer le périmètre des organisations. Ce périmètre doit désormais être géré à un niveau logique : au niveau des « personnes » et des « applications » qu’elles utilisent, et d’une façon beaucoup plus fine, granulaire, à la fois dans l’espace et dans le temps. Il s’agit de partir de l’identité de la « personne » qui accède, que l’on doit considérer dans son contexte global (qui elle est ; ce qu’elle connaît ; où elle se trouve ; quel équipement elle utilise ; depuis quel réseau elle accède ; dans quel cadre elle agit ; comment elle se comporte ; au moment et pendant tout le temps où elle accède). Il s’agit aussi de bien considérer les habilitations sur les « applications » accédées, de manière la plus précise possible, selon des critères fonctionnels, temporels, mais aussi de contexte d’utilisation (on pourra par exemple limiter l’accès à certaines fonctions si l’on considère que l’utilisateur accède à l’application depuis un « contexte plus risqué »). Comme on le voit, l’identité devient le nouveau périmètre de sécurité de l’organisation : c’est l’ « identité » de la personne, dans un sens beaucoup plus large que les seuls moyens de son authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More (qui est la vérification de son identité à un instant donné), qui détermine la portée de ce qu’elle peut faire. Le « digital », que l’on peut voir comme une nième phase de développement de l’informatique et que l’on peut définir comme l’omniprésence de l’informatique, a envahi tous les secteurs et tous les métiers. Toute expérience (client, employé, utilisateur, …) a désormais une composante digitale, et ces différentes expériences qui se produisent à tout moment et pour tout type d’interaction, impactent considérablement la perception humaine. Cette concentration digitale s’est encore amplifiée par l’obligation de distanciation physique et du télétravail, rendant la quasi-totalité des interactions virtuelles. C’est la raison pour laquelle l’amélioration de l’expérience de l’environnement de travail (#betterWE, « better Workplace Experience ») joue un rôle déterminant dans l’ « expérience totale » délivrée. C’est aussi la raison pour laquelle la sécurité doit être la plus transparente possible pour l’utilisateur dans son environnement de travail. Et la meilleure façon d’assurer cette transparence et cette fluidité de l’expérience, tout en élevant le niveau de sécurité et de maîtrise des risques, c’est d’analyser le comportement de l’utilisateur. On peut voler un mot de passe, un code, une clé ou une carte : on vole plus difficilement un comportement. L’analyse comportementale est la base de toute détection de fraude, que ce soit une usurpation d’identité ou une action déplacée. Dans un univers où l’on ne peut faire confiance par défaut, l’analyse comportementale devient le moyen le plus sûr de sécuriser l’utilisateur et l’organisation sans pénaliser la productivité. C’est aussi cette analyse comportementale qui peut rendre la sécurité la plus transparente possible, et d’éviter de dégrader l’expérience utilisateur au profit d’une sécurité contraignante. Si tout est cloud, le cloud doit protéger le cloud. Le système d’information des organisations est désormais éclaté en divers services et ressources, certains exploités par l’organisation elle-même et d’autres exploités par des tiers. Il s’agit de sécuriser l’accès « en entrée » à tous les services et ressources dont l’organisation a la responsabilité de l’exploitation, mais également de sécuriser l’accès « en sortie » à tous les services et ressources exploités par ailleurs. On peut distinguer deux natures de contrôle : la protection contre des menaces de plus en plus fortes et l’autorisation d’accès volontaire et explicite. Ne laisser accéder que les « personnes » habilitées et qu’aux « applications » habilitées. Si vous n’avez que les murailles et les douves, personne ne peut pénétrer dans le château de manière « normale » : il faut bien un pont-levis pour permettre l’accès « standard ». Toutefois, les solutions technologiques se combinent de plus en plus pour couvrir les deux natures de contrôle. Maintenant que les systèmes d’information des organisations sont distribués de la sorte, il est devenu habituel de passer par des services cloud pour sécuriser l’accès à ces systèmes d’information ; et comme ces derniers sont ainsi devenus « hybrides », avec des services cloud de tiers et des composants déployés dans leurs propres datacenters, il est aussi naturel que les services cloud de sécurisation des accès soit eux aussi « hybrides ». Dans un monde où tout devient cloud, il est normal que le cloud sécurise le cloud. Le « cloud » est également une approche de gestion du système d’information, vers ce que l’on peut appeler l’ « hyper-automatisation » (ou le « DevOps » poussé à l’extrême, ou, pour intégrer la sécurité dans tous les processus de développement et d’exploitation, « DevSecOps »). L’expérience de self-service des services cloud, l’élasticité du cloud (capacité de l’infrastructure à s’adapter à la charge, qu’elle soit croissante ou décroissante), l’attente de rapidité (voire même de l’immédiateté) des utilisateurs : tout ceci concourt à l’automatisation de toutes les tâches de déploiements et de mises à jour, et aux approches dites de « software defined … » ou de « … as code ». L’approche « SASE » (terme du Gartner pour « Secure Access Service Edge ») n’est rien d’autre qu’une approche intégrée de pilotage des services de réseaux et des services d’accès par du déploiement automatisé avec une gouvernance (policy) globale (centralisée) et des applications (enforcement) locales (décentralisée). D’où l’importance des API/CLI permettant de commander toutes les solutions de réseaux et d’accès de manière automatique. Le recours croissant à l’intelligence artificielle et l’apprentissage machine augmente encore le besoin d’hyper-automatisation : la qualité d’une solution basée sur l’AI/ML repose sur la volumétrie des données sur lesquelles elle est validée. Ce volume croissant de traitements de données génère un besoin croissant d’automatisation de la chaîne d’ingénierie AI/ML. Au-delà de l’effet de mode, les acteurs qui sauront exploiter l’intelligence artificielle et l’apprentissage machine à bon escient, en profondeur, et de manière responsable, apporteront de l’innovation et de la différentiation dans leur secteur. La responsabilité : un enjeu central pour les organisations L’année 2020, si particulière, a poussé les organisations dans les derniers retranchements de leurs enjeux business : l’agilité et la productivité sont poussées « un cran plus loin » vers la résilience, et la conformité légale et réglementaire amène à de nouveaux niveaux d’exigence dans la responsabilité de l’organisation, qu’elle soit économique, écologique ou éthique, ou encore sociale, sociétale ou solidaire. Les plans de continuité d’activité des organisations n’ont-ils pas été bousculés ? Le télétravail n’a-t-il pas bousculé le rapport au travail ? La crise n’a-t-elle pas fait appel à la solidarité de chaque organisation dans la mesure de ses possibilités ? Beaucoup d’autres bouleversements pourraient être évoqués et se révèleront « dans le monde d’après » : la technologie continuera de jouer un rôle clé dans la capacité des organisations à affronter les nouveaux enjeux à venir, et le DSI et le RSSI se sont sans doute rapprochés durablement de la table du comité de direction, l’informatique et la sécurité étant devenus des actifs essentiels et vitaux de toute organisation. C’est dans le sillage de cette analyse et de cette vision que Systancia entend contribuer à l’apport d’une expérience de l’environnement de travail empreinte de toujours plus d’humanité et de sécurité. C’est pourquoi nous vous accompagnerons en 2021 autour de ces nouveaux thèmes de préoccupations : une informatique centrée-personne (l’expérience de l’environnement de travail et le ressenti utilisateur ; la sécurisation du télétravail ; la transparence de la sécurité pour l’utilisateur ; l’identité comme nouveau périmètre de sécurité) ; une informatique centrée-cloud (le cloud comme bouclier du cloud, et les services cloud de sécurité ; le cloud hybride par nature ; les nouvelles architectures de sécurisation des accès ; l’hyper-automatisation appliquée à la sécurité) ; les nouveaux enjeux business (de l’agilité à la résilience ; de la conformité à la responsabilité ; de la technologie à la personne).
Pourquoi la gestion des identités est un levier indispensable à la mise en œuvre d’une politique Zero Trust IGA
Blog Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ?