Être à même d’identifier et d’atténuer efficacement les menaces : tels sont les deux piliers fondateurs d’une stratégie de cybersécurité digne de ce nom. Des compromis devront forcément être faits pour trouver un équilibre entre coût, complexité, pertinence de la solution et facilité de mise en œuvre. Cependant, une stratégie s’appuyant sur un éventail limité de méthodes de sécurité risque de manquer son objectif, en n’offrant pas un niveau de protection approprié pour les applications et les données de l’entreprise. Une approche multicouche assure une cybersécurité complète, adaptée au mode de fonctionnement actuel des entreprises.

Instinctivement, une approche « multicouche » semble plus performante qu’une approche unilatérale, à un seul niveau de contrôle, quels que soient les prouesses ou les miracles promis par celui-ci. Mais il est bien entendu exclu de la jouer « à l’instinct » pour valider une solution dans le cadre d’une étude de cas. Nous devons donc nous appuyer sur des chiffres pour jauger les atouts d’une stratégie de sécurité multicouche :

  • Si une mesure de sécurité est efficace à 99,9 %, alors une violation potentielle sur 1 000 va passer à travers les mailles du filet. Un tel ratio s’avérerait assez inefficace dans la vie réelle, mais retenons-le tout de même pour notre exemple.
  • Si l’on ajoute un autre type de mesure de sécurité (soit une sécurité multicouche), offrant le même niveau de protection de une sur 1 000 , le « taux de transformation » des violations potentielles pourrait alors être de une sur 2 000.
  • À ceci près que la probabilité de réalisation de deux événements simultanés se calcule par multiplication, et non par addition. Dès lors, deux probabilités à une sur 1 000 conduisent à un ratio d’une sur un million. Ce qui réduit déjà drastiquement les chances pour qu’une violation se produise.

En cybersécurité, toute ligne de défense déployée est en mesure de bloquer une attaque au cours de son cycle de vie. Cependant, chaque solution a ses points forts, ses points faibles et sa propre finalité ; lorsqu’ils sont déployés à l’unisson, ces outils en couches définissent une posture de sécurité plus complète, dont la portée va bien au-delà d’un déploiement unique et autonome, par exemple une simple protection des endpoints. L’équivalent de l’étiquette-énergie n’est pas encore d’actualité sur les fiches produits des technologies de sécurité. Cependant, quelques petits calculs élémentaires de probabilités permettent d’apporter davantage de crédit à une stratégie de sécurité, et surtout des arguments implacables, à même de remporter l’adhésion de la direction et des différentes parties prenantes.

Trois façons de contrecarrer les attaques

Il existe globalement trois manières de déjouer les cyberattaques :

1/ Protection/prévention

Ce type de défense, qui inclut la plupart des fonctionnalités de sécurité des endpoints, peut s’apparenter aux anticorps qui protègent le corps humain contre les infections. Une tentative d’attaque va être détectée et des mesures automatisées d’atténuation vont être déployées, pour éviter que l’infection ne se propage. Cette atténuation peut se traduire par des processus résistants aux attaques, ou des mesures de sécurité déclenchées par des ensembles prédéfinis de circonstances ou de règles.

2/ Détection

Ici, la mesure de défense intervient sur les symptômes d’une attaque existante ou en cours. La technologie de cybersécurité sait ce qu’elle doit rechercher, bénéficie d’une visibilité sur ces menaces et, si elles sont avérées, offre à une organisation la possibilité de répondre à l’attaque, ou d’en atténuer les répercussions. Sans preuve dûment identifiée, la menace passerait inaperçue et deviendrait très probablement une violation avérée.

3/ Évitement

Selon Sun Tzu, la plus grande victoire est celle qui consiste à vaincre l’ennemi sans combattre. Si l’on retranscrit les théories de l’auteur de l’Art de la guerre dans le contexte de la sécurité moderne, on pourrait dire que l’absence de surface d’attaque permet de se prémunir d’une quelconque violation. Appliqué à la sécurité informatique, cela signifie que les attaques peuvent être évitées en n’offrant aux cybercriminels aucune surface d’attaque directement accessible. Cette stratégie d’évitement est encore bien trop rarement utilisée ou même envisagée aujourd’hui, dans le cadre de la réduction des risques pour les entreprises. Au contraire, bien souvent les entreprises n’ont pas conscience de leurs surfaces d’attaque, et les outils permettant de les réduire sont considérés comme d’aimables gadgets.

En intégrant ces trois stratégies d’atténuation/de défense, une organisation dispose  d’un niveau de défense indiscutablement supérieur. Sans tomber dans l’analyse de la « Kill Chain », vue et revue, qui dit évitement dit réduction des attaques, qui dit protection dit blocage des assaillants, et qui dit détection dit réponse apportée aux menaces passant à travers les mailles du filet. Globalement, le résultat final est une réduction des incidents de cybersécurité potentiels et avérés.

Le modèle Zero Trust et la stratégie de sécurité multicouche

Une stratégie de sécurité multicouche aide les organisations à répondre à un niveau de menace toujours croissant et à s’adapter à un environnement de travail en perpétuelle mutation. Les stratégies de cybersécurité qui reposaient historiquement sur des périmètres de protection vont devoir être repensées. Le télétravail, tendance qui s’est vue accélérée par la pandémie, est l’une des principales mutations auxquelles les professionnels de la sécurité doivent s’adapter.

Fortes de ce constat, de nombreuses entreprises s’orientent vers un environnement Zero Trust, dans lequel les réseaux entre l’utilisateur et l’application sont relégués au range de « passoires », et ne peuvent à ce titre être considérés comme des environnements de confiance. Traditionnellement, lorsque les employés ont accès à l’ensemble du réseau sur lequel l’application est hébergée, et non simplement l’application à proprement parler, ce réseau et toutes les autres applications résidentes se retrouvent exposés. Ce problème est devenu majeur depuis l’explosion du nombre de télétravailleurs, qui a entraîné un élargissement du parc informatique des entreprises. Pour de nombreuses organisations, ce parc inclut désormais un plus grand nombre d’appareils professionnels et personnels, ainsi que des points d’accès résidentiels.

Le modèle Zero Trust permet de sécuriser chacun des accès. Les utilisateurs accèdent ainsi aisément aux applications dont ils ont besoin, sans exposer le réseau à des menaces supplémentaires. En adoptant un modèle d’architecture non plus de réseaux à définition logicielle mais de politiques définies par logiciel, permettant de connecter en toute sécurité l’utilisateur visé à l’application ou au service adéquat, une plate-forme unique et sécurisée est établie entre les utilisateurs et Internet, qui va inspecter l’intégralité du trafic et appliquer une sécurité multicouche offrant le plus haut niveau de protection.

Les entreprises sont de plus en plus conscientes de la nécessité de protéger leurs appareils, leurs systèmes et leurs données, en pensant la cybersécurité selon une approche multifacette. Ce modèle est en outre applicable sans compliquer inutilement la solution, et n’engendre pas de réticences au niveau des utilisateurs finaux. Inévitablement, de plus en plus de processus de sécurité sont exécutés dans le cloud, qui constitue le site d’accès aux applications. La sécurité multicouche offre la meilleure forme de défense car elle se veut proactive, à plusieurs niveaux : éviter les cyberattaques, les détecter et s’en protéger, et prévenir les dommages qu’elles peuvent causer.
___________________

Par Marc Lueck, RSSI EMEA chez Zscaler