Jean-Francois Beauzel

Cyber sécurité, et si on arrêtait d’acheter et que l’on prenait le temps de configurer nos solutions

Firewall Next Gen, Sandbox, Anti Malware, NIDS, WAF, Honey pot, Privileged Access Management, SIEM, Proxy, Threat prevention, DLP… Toutes ces solutions, nous les voyons s’entasser au sein des SI, comme une course à l’armement où il faut pouvoir dire : « Moi aussi j’en ai un ». Mais si on mettait sur pause quelques instants, et que l’on prenait le temps de repenser la stratégie de sécurité, et l’usage que nous faisons de ces outils ?

Définir des objectifs clairs

Dans ma carrière, j’ai pu effectuer un certain nombre d’audits, avec quasiment toujours la même conclusion, une sous-utilisation des capacités techniques des équipements.
A cela, une raison majeure, l’absence de définition concrète de l’usage que l’on souhaite en faire. Posez-vous la question, un firewall « Next Gen » c’est super, mais que voulez-vous en faire, et cette vision est-elle partagée au sein de l’entreprise ? Avez-vous embarqué avec vous l’ensemble de la DSI, et les éventuels métiers qui pourraient en tirer avantage ?
Sans une définition claire des objectifs, et un engagement large, vous ne parviendrez pas à en tirer parti. Et cela vaut pour tous les équipements de sécurité : dès la conception du projet, il faut définir les fonctions que l’on va implémenter, et à quel rythme.

Exploiter correctement les solutions existantes...

Un autre point crucial à anticiper, c’est l’exploitation. Les boites magiques, n’en déplaise aux vendeurs de solutions, ça n’existe pas. Les nouvelles fonctionnalités et l’automatisation, y compris le « machine learning », cela nécessite des ressources humaines. Il faut maintenir en condition opérationnelle, mettre à jour, mais pas seulement.
Tous ces éléments produisent des logs, qu’il faudra intégrer, consolider et interpréter, de préférence dans un SIEM qui vous permettra de corréler les éléments collectés entre différents éléments de votre SI, mais également de les confronter à des bases d’IOC, publiques ou souscrites, et de les traités avec du « machine learning », qu’il vous faudra éduquer, pour identifier avec précision ce qui est « anormal ».

...optimiser et adapter...

Il sera également nécessaire d’affiner les configurations, de les affiner avec le temps pour réduire les faux positifs, mais également de vous protéger de nouvelles menaces. Les exemples les plus parlants sont ceux des WAF et des NIDS, car si ces équipements peuvent vous permettre de détecter et éventuellement de bloquer certains comportements, la configuration de ceux-ci doit suivre l’évolution de vos plateformes, réadapter les signatures et tester que les évolutions ne vont pas venir réduire les capacités de détection ou déclencher un tsunami de faux positifs.
Sans ces opérations d’analyses et de customisations, votre plateforme perdra rapidement en efficacité et finira par être perçue au mieux comme inutile, au pire comme une gêne.

...dès le début...

Et tout cela commence dès la phase d’intégration : avoir le bon accompagnement, qui vous aidera à appréhender la technologie, à mettre en place l’organisation connexe, et surtout à mettre en production la configuration initiale la plus adaptée à votre environnement.
De trop nombreux projets d’intégration se résument à mettre en place la plateforme avec une configuration de base, vous fournir une documentation plus ou moins complète, et c’est tout.

...en étant correctement accompagné

Et c’est là le second moment ou un projet de mise en place d’une solution technique peut tourner au fiasco, et manquer sa cible. Car oui, l’implémentation correcte de fonctionnalités avancées, cela prend du temps en termes d’analyses des environnements et d’implémentation.
Problème, ces phases pouvant être extrêmement chronophages et difficilement quantifiables, elles ne sont quasiment jamais proposées, ou sous forme d’option d’assistance technique, avec un pool de jours sans engagement de résultats, mais uniquement un engagement de moyen.
Souvent considérées comme excessives en termes de coût, on préfère donner ces actions aux équipes internes qui auront bénéficié de formations ou transferts de compétences, mais qui auront trop peu souvent l’expérience, et encore moins de temps à consacrer à ces sujets.

De l'intérêt de prévoir la bonne stratégie dès que possible

Au bout d’un certain temps, et pour pallier les problèmes que vous rencontrez, vous commanderez un audit qui pointera du doigt les optimisations et procédures qui sont absentes ou parcellaires.
De ce rapport d’audit sera tiré un plan d’action, qui sera ou non implémenté suivant le budget que l’on souhaite vous allouer, et même s’il arrive à terme, si vous n’avez pas les équipes et les processus adaptés, votre plateforme perdra de nouveau de l’efficacité jusqu’à devenir faillible et obsolète.

Avec la bonne politique, la bonne gestion des exceptions, le suivi des changements, et une bonne interaction entre les équipes de sécurité et les autres entités de l’entreprise, on arrive à obtenir de meilleurs résultats qu’en achetant une nouvelle solution, qui de toute façon ne sera pertinente que si le reste aura été correctement implémenté.

Articles associés

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Le SIEM dans tous ses états

10 février 2022
Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]