Quelle organisation ne mesure pas le gouffre qui s’est creusé entre les équipes métiers et les équipes sécurité du SI ? Les équipes de sécurité sont perçues comme des empêcheurs de tourner en rond qui n’apportent aucune valeur au métier mais le ralentissent.

Différentes études réalisées depuis 2010 confirment les chiffres suivants. Un firewall typique utilisé dans le cœur d’un réseau d’entreprise possède entre 5 000 et 50 000 règles.  10 % à 30 % de ces règles sont généralement redondantes. Lorsque l’équipe d’exploitation connait un faible turnover, 20 % des règles sont inutilisées alors qu’avec un fort turnover, 55 % à 75 % des règles sont inutilisées.

Par ailleurs, un courant de pensée initié en 2004 (Jéricho Forum), prône les vertus de la dé-périmétrisation. Parmi les principes fondamentaux, on trouve : « les mécanismes de sécurité doivent être dominants, simples, applicables à grande échelle et faciles à gérer ».

Comment la sécurité est-elle perçue par les métiers ?  Quelle organisation ne mesure pas le gouffre qui s’est creusé entre les équipes métiers et les équipes sécurité du SI ? Chaque nouvelle application métier donne lieu à une ouverture de port sur un firewall géré par la sécurité. La procédure d’ouverture de service est lourde et lente et le bénéfice visible de la couche sécurité déployée est difficilement mesurable pour le métier propriétaire de l’application.

Les équipes de sécurité sont perçues comme des empêcheurs de tourner en rond qui n’apportent aucune valeur au métier mais le ralentissent.

Ce modèle de contrôle d’accès devant les applications d’un Data Center a été adopté par tous à une époque ou la menace était très différente d’aujourd’hui. Ce contrôle d’accès était alors justifié, important, et paraissait gérable à l’échelle de l’entreprise… Il est rentré dans les mœurs informatiques si bien qu’il nous paraît naturel aujourd’hui. 

De nos jours, pour appréhender les menaces modernes (attaques ciblées et persistantes), la gestion d’évènements de sécurité est devenue nécessaire. 100 % de ces attaques utilisent des routes autorisées vers ou depuis le Data Center et il convient donc d’utiliser des technologies de prévention d’intrusions (IPS) positionnées devant les applications pour détecter un exploit de vulnérabilité, une injection de code ou un comportement anormal qui génère une suspicion de compromission.

Le métier de l’IPS est de permettre à des analystes d’évènements de sécurité de mesurer et de minimiser le risque sur les infrastructures et applications qu’ils surveillent. La question se pose alors : « Quelle est la valeur sécurité d’un firewall positionné à cet endroit ? ».

Ou les ressources sont-elles concentrées ?
Plus l’entreprise est vaste, plus elle exerce des métiers différents, plus la problématique est importante. Bien souvent, la gestion de ces règles de contrôle d’accès a été pensée par métier pour mieux correspondre à l’organisation interne de la structure.

Au bout du compte, la gestion de ce contrôle d’accès sur le réseau interne à grande échelle devient une tâche extrêmement lourde, rébarbative, coûteuse et difficilement justifiable d’un point de vue sécurité.  A contrario, la création d’une équipe de gestion d’évènements de sécurité au sein d’un SOC (Security Operating Center) apporte une valeur sécurité indéniable et plus facilement quantifiable.

Comme le SOC permet de mesurer le risque sur les applications et les infrastructures, le service rendu par ces équipes est beaucoup plus facilement valorisable pour les métiers et les requêtes de modification émanant du SOC sont souvent très bien acceptées parce que comprises et respectées (si l’application est porteuse d’un risque réel, tous sont d’accord pour prendre l’action corrective préconisée).

Finalement, la plupart des entreprises dispose d’équipes surdimensionnées pour gérer la partie contrôle d’accès à l’efficacité discutable et peine à investir sur des ressources au niveau du SOC qui elles, apportent un service sécurité incontestable.

Penser la sécurité autrement

De plus en plus d’organisations mettent en chantier une remise à plat des infrastructures d’entreprise avec un triple but recherché :
–    Réduire les coûts liés à la sécurité des applications
–    Permettre un modèle de sécurité extensible à grande échelle
–    Repositionner la sécurité au service des métiers

Le principe consiste à cantonner le modèle positif (Règle de firewall classique) au périmètre de l’entreprise et à appliquer un modèle majoritairement  négatif en cœur de réseau et au plus proche des applications (Liste noire prépondérante – IPS – mesure du risque réel).

3 zones dans le Data Center x 3 profils utilisateurs = 9 règles génériques. Le Data Center étant à l’intérieur du périmètre, il s’agit de limiter le nombre de règles du modèle positif au strict minimum pour l’autorisation des accès aux applications. Par défaut, il s’agit de créer 3 zones homogènes de criticité pour les applications (forte, moyenne, faible) et d’y positionner les applications quelque soient les métiers concernés. Coté utilisateurs, on tachera également de définir 3 profils (Etendu-VIP, Classique, Restreint-Stagiaire).

Les règles de firewall du Data Center sont ainsi définies une fois pour toutes et les nouveaux utilisateurs et nouvelles applications sont positionnés dans un des trois groupes et une des trois zones définis et gérés par les règles firewall macroscopiques. Ce modèle n’intègre donc pas d’ouverture de route a priori pour la mise en production d’une application nouvelle.

Gestion de la menace en temps réel. L’IPS est prépondérant dans ce modèle et permet de gérer la menace et le risque en temps réel. De nombreux éditeurs proposent des solutions de NGIPS avec un contrôle applicatif intégré (ou de NGFW qui correspond à la même définition) permettant un calcul d’impact automatique des évènements de sécurité détectés et un pivot par application, groupe d’utilisateurs, système d’exploitation, période de temps, version de service, de client, navigateur…  En d’autres termes, cette solution permet de mesurer le risque réel par application et ce en temps réel et d’en isoler la cause.

Une telle solution permet d’adresser régulièrement aux métiers un rapport sur l’état du risque réel inhérent à chacune des applications en production. Cette information devient aussi importante pour l’équipe sécurité que pour la direction opérationnelle responsable de cette application.

Durcissement applicatif. Dans une telle approche de sécurité, l’idée est donc de ne pas ouvrir de route à chaque nouvelle application mais d’en durcir une en cas de risque réel avéré. Ainsi les solutions modernes permettent d’appliquer un durcissement applicatif en cas de besoin. Il s’agit de dédier une règle de contrôle d’accès à une application et ce, en complément des règles macroscopiques.

Si un risque est avéré sur une application et si ce risque est lié à une version de navigateur précise, il sera possible d’intégrer la vérification du navigateur utilisé au niveau du contrôle d’accès applicatif de durcissement.

Réduction des coûts. La réduction des coûts est immédiate. La surveillance du risque est permanente mais l’action de création de règle de contrôle applicatif n’intervient que si un risque est avéré. Les tâches automatiques et coûteuses liées à l’ouverture de routes disparaissent. Par ailleurs, les tâches nouvelles d’exploitant de sécurité sont beaucoup plus valorisantes pour les individus. 

Modèle extensible. Le simple fait de baser ce modèle sur des critères de criticité et non plus de métiers permet au modèle de s’étendre quelque soit l’évolution de la société. Par ailleurs, le focus étant désormais fait sur la gestion et la réaction au risque, l’énergie et les ressources sont engagées sur les zones et applications qui le nécessitent. Il est possible de prioriser l’utilisation des ressources sur un critère purement de risque informatique et ce constamment.

Ne plus ralentir le déploiement des nouvelles applications. Etre capable de mesurer l’impact en terme de risque réel du lancement récent d’un projet BYOD pour un métier particulier.
Apporter des détails sur les OS incriminés au sein de ce projet, conseiller sur les ajustements à apporter. Proposer un durcissement des règles et imposer quelques contraintes à ce projet sur la base de faits précis et détaillés sur le risque associé. Améliorer les usages afin de réduire l’exposition de l’entreprise… C’est le rôle que joue la sécurité au sein de l’entreprise lorsque ses ressources sont au service de la surveillance du risque, et donc au service des métiers.

Cyrille Badeau, directeur Europe du Sud de Sourcefire

Cyrille Badeau, directeur Europe du Sud de Sourcefire