Jean-Francois Beauzel

Cyber sécurité, et si on arrêtait d’acheter et que l’on prenait le temps de configurer nos solutions

Firewall Next Gen, Sandbox, Anti Malware, NIDS, WAF, Honey pot, Privileged Access Management, SIEM, Proxy, Threat prevention, DLP… Toutes ces solutions, nous les voyons s’entasser au sein des SI, comme une course à l’armement où il faut pouvoir dire : “Moi aussi j’en ai un”. Mais si on mettait sur pause quelques instants, et que l’on prenait le temps de repenser la stratégie de sécurité, et l’usage que nous faisons de ces outils ?

Définir des objectifs clairs

Dans ma carrière, j’ai pu effectuer un certain nombre d’audits, avec quasiment toujours la même conclusion, une sous-utilisation des capacités techniques des équipements.
A cela, une raison majeure, l’absence de définition concrète de l’usage que l’on souhaite en faire. Posez-vous la question, un firewall “Next Gen” c’est super, mais que voulez-vous en faire, et cette vision est-elle partagée au sein de l’entreprise ? Avez-vous embarqué avec vous l’ensemble de la DSI, et les éventuels métiers qui pourraient en tirer avantage ?
Sans une définition claire des objectifs, et un engagement large, vous ne parviendrez pas à en tirer parti. Et cela vaut pour tous les équipements de sécurité : dès la conception du projet, il faut définir les fonctions que l’on va implémenter, et à quel rythme.

Exploiter correctement les solutions existantes...

Un autre point crucial à anticiper, c’est l’exploitation. Les boites magiques, n’en déplaise aux vendeurs de solutions, ça n’existe pas. Les nouvelles fonctionnalités et l’automatisation, y compris le “machine learning”, cela nécessite des ressources humaines. Il faut maintenir en condition opérationnelle, mettre à jour, mais pas seulement.
Tous ces éléments produisent des logs, qu’il faudra intégrer, consolider et interpréter, de préférence dans un SIEM qui vous permettra de corréler les éléments collectés entre différents éléments de votre SI, mais également de les confronter à des bases d’IOC, publiques ou souscrites, et de les traités avec du “machine learning”, qu’il vous faudra éduquer, pour identifier avec précision ce qui est “anormal”.

...optimiser et adapter...

Il sera également nécessaire d’affiner les configurations, de les affiner avec le temps pour réduire les faux positifs, mais également de vous protéger de nouvelles menaces. Les exemples les plus parlants sont ceux des WAF et des NIDS, car si ces équipements peuvent vous permettre de détecter et éventuellement de bloquer certains comportements, la configuration de ceux-ci doit suivre l’évolution de vos plateformes, réadapter les signatures et tester que les évolutions ne vont pas venir réduire les capacités de détection ou déclencher un tsunami de faux positifs.
Sans ces opérations d’analyses et de customisations, votre plateforme perdra rapidement en efficacité et finira par être perçue au mieux comme inutile, au pire comme une gêne.

...dès le début...

Et tout cela commence dès la phase d’intégration : avoir le bon accompagnement, qui vous aidera à appréhender la technologie, à mettre en place l’organisation connexe, et surtout à mettre en production la configuration initiale la plus adaptée à votre environnement.
De trop nombreux projets d’intégration se résument à mettre en place la plateforme avec une configuration de base, vous fournir une documentation plus ou moins complète, et c’est tout.

...en étant correctement accompagné

Et c’est là le second moment ou un projet de mise en place d’une solution technique peut tourner au fiasco, et manquer sa cible. Car oui, l’implémentation correcte de fonctionnalités avancées, cela prend du temps en termes d’analyses des environnements et d’implémentation.
Problème, ces phases pouvant être extrêmement chronophages et difficilement quantifiables, elles ne sont quasiment jamais proposées, ou sous forme d’option d’assistance technique, avec un pool de jours sans engagement de résultats, mais uniquement un engagement de moyen.
Souvent considérées comme excessives en termes de coût, on préfère donner ces actions aux équipes internes qui auront bénéficié de formations ou transferts de compétences, mais qui auront trop peu souvent l’expérience, et encore moins de temps à consacrer à ces sujets.

De l'intérêt de prévoir la bonne stratégie dès que possible

Au bout d’un certain temps, et pour pallier les problèmes que vous rencontrez, vous commanderez un audit qui pointera du doigt les optimisations et procédures qui sont absentes ou parcellaires.
De ce rapport d’audit sera tiré un plan d’action, qui sera ou non implémenté suivant le budget que l’on souhaite vous allouer, et même s’il arrive à terme, si vous n’avez pas les équipes et les processus adaptés, votre plateforme perdra de nouveau de l’efficacité jusqu’à devenir faillible et obsolète.

Avec la bonne politique, la bonne gestion des exceptions, le suivi des changements, et une bonne interaction entre les équipes de sécurité et les autres entités de l’entreprise, on arrive à obtenir de meilleurs résultats qu’en achetant une nouvelle solution, qui de toute façon ne sera pertinente que si le reste aura été correctement implémenté.

Articles associés

“Zero Trust”, la bonne résolution post-confinement ?

15 septembre 2020
Ce n’est un secret pour personne, la cyber-criminalité a été particulièrement onéreuse pour les entreprises en 2019, qui ont vu le coût moyen des incidents (ou cyber-attaques) passer de 3 M€ à 4,6 M€. Entre les ransomware, virus, malwares, chevaux de Troie (trojans) et diverses campagnes de phishing, il y a fort à faire pour […]

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]
Partager cet article
Derniers articles

CAT8 : le câblage du futur pour les Datacenter ?

Aujourd’hui, les Datacenter ont besoin de débits de plus en plus élevés, d’une grande flexibilité et de pouvoir effectuer des migrations à moindre coût. À cause de la virtualisation, des applications mobiles, du « Big Data », des nouveaux modes de travail, de la convergence réseau et service, et du streaming vidéo et audio, les […]

“Zero Trust”, la bonne résolution post-confinement ?

Ce n’est un secret pour personne, la cyber-criminalité a été particulièrement onéreuse pour les entreprises en 2019, qui ont vu le coût moyen des incidents (ou cyber-attaques) passer de 3 M€ à 4,6 M€. Entre les ransomware, virus, malwares, chevaux de Troie (trojans) et diverses campagnes de phishing, il y a fort à faire pour […]

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]