Jean-Francois Beauzel

Cyber sécurité, et si on arrêtait d’acheter et que l’on prenait le temps de configurer nos solutions

Firewall Next Gen, Sandbox, Anti Malware, NIDS, WAF, Honey pot, Privileged Access Management, SIEM, Proxy, Threat prevention, DLP… Toutes ces solutions, nous les voyons s’entasser au sein des SI, comme une course à l’armement où il faut pouvoir dire : « Moi aussi j’en ai un ». Mais si on mettait sur pause quelques instants, et que l’on prenait le temps de repenser la stratégie de sécurité, et l’usage que nous faisons de ces outils ?

Définir des objectifs clairs

Dans ma carrière, j’ai pu effectuer un certain nombre d’audits, avec quasiment toujours la même conclusion, une sous-utilisation des capacités techniques des équipements.
A cela, une raison majeure, l’absence de définition concrète de l’usage que l’on souhaite en faire. Posez-vous la question, un firewall « Next Gen » c’est super, mais que voulez-vous en faire, et cette vision est-elle partagée au sein de l’entreprise ? Avez-vous embarqué avec vous l’ensemble de la DSI, et les éventuels métiers qui pourraient en tirer avantage ?
Sans une définition claire des objectifs, et un engagement large, vous ne parviendrez pas à en tirer parti. Et cela vaut pour tous les équipements de sécurité : dès la conception du projet, il faut définir les fonctions que l’on va implémenter, et à quel rythme.

Exploiter correctement les solutions existantes...

Un autre point crucial à anticiper, c’est l’exploitation. Les boites magiques, n’en déplaise aux vendeurs de solutions, ça n’existe pas. Les nouvelles fonctionnalités et l’automatisation, y compris le « machine learning », cela nécessite des ressources humaines. Il faut maintenir en condition opérationnelle, mettre à jour, mais pas seulement.
Tous ces éléments produisent des logs, qu’il faudra intégrer, consolider et interpréter, de préférence dans un SIEM qui vous permettra de corréler les éléments collectés entre différents éléments de votre SI, mais également de les confronter à des bases d’IOC, publiques ou souscrites, et de les traités avec du « machine learning », qu’il vous faudra éduquer, pour identifier avec précision ce qui est « anormal ».

...optimiser et adapter...

Il sera également nécessaire d’affiner les configurations, de les affiner avec le temps pour réduire les faux positifs, mais également de vous protéger de nouvelles menaces. Les exemples les plus parlants sont ceux des WAF et des NIDS, car si ces équipements peuvent vous permettre de détecter et éventuellement de bloquer certains comportements, la configuration de ceux-ci doit suivre l’évolution de vos plateformes, réadapter les signatures et tester que les évolutions ne vont pas venir réduire les capacités de détection ou déclencher un tsunami de faux positifs.
Sans ces opérations d’analyses et de customisations, votre plateforme perdra rapidement en efficacité et finira par être perçue au mieux comme inutile, au pire comme une gêne.

...dès le début...

Et tout cela commence dès la phase d’intégration : avoir le bon accompagnement, qui vous aidera à appréhender la technologie, à mettre en place l’organisation connexe, et surtout à mettre en production la configuration initiale la plus adaptée à votre environnement.
De trop nombreux projets d’intégration se résument à mettre en place la plateforme avec une configuration de base, vous fournir une documentation plus ou moins complète, et c’est tout.

...en étant correctement accompagné

Et c’est là le second moment ou un projet de mise en place d’une solution technique peut tourner au fiasco, et manquer sa cible. Car oui, l’implémentation correcte de fonctionnalités avancées, cela prend du temps en termes d’analyses des environnements et d’implémentation.
Problème, ces phases pouvant être extrêmement chronophages et difficilement quantifiables, elles ne sont quasiment jamais proposées, ou sous forme d’option d’assistance technique, avec un pool de jours sans engagement de résultats, mais uniquement un engagement de moyen.
Souvent considérées comme excessives en termes de coût, on préfère donner ces actions aux équipes internes qui auront bénéficié de formations ou transferts de compétences, mais qui auront trop peu souvent l’expérience, et encore moins de temps à consacrer à ces sujets.

De l'intérêt de prévoir la bonne stratégie dès que possible

Au bout d’un certain temps, et pour pallier les problèmes que vous rencontrez, vous commanderez un audit qui pointera du doigt les optimisations et procédures qui sont absentes ou parcellaires.
De ce rapport d’audit sera tiré un plan d’action, qui sera ou non implémenté suivant le budget que l’on souhaite vous allouer, et même s’il arrive à terme, si vous n’avez pas les équipes et les processus adaptés, votre plateforme perdra de nouveau de l’efficacité jusqu’à devenir faillible et obsolète.

Avec la bonne politique, la bonne gestion des exceptions, le suivi des changements, et une bonne interaction entre les équipes de sécurité et les autres entités de l’entreprise, on arrive à obtenir de meilleurs résultats qu’en achetant une nouvelle solution, qui de toute façon ne sera pertinente que si le reste aura été correctement implémenté.

Articles associés

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

18 décembre 2019
L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]
Partager cet article
Derniers articles

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]

La Gestion des mots de passe : Complexité vs Mémorisation

  Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes […]

La reconnaissance faciale est-elle le nouveau Big Brother?

Il n’y a pas si longtemps, pouvoir identifier de manière automatique les personnes qui transitaient par une rue, les suivre, tracer leurs mouvements et dépenses à travers leurs achats, connaître leurs états d’âme, leurs origines, leur genre, relevait de la science fiction. Cette technologie qui permet tout cela aux autorités, et pas uniquement, est parmi […]