Firewall Next Gen, Sandbox, Anti Malware, NIDS, WAF, Honey pot, Privileged Access Management, SIEM, Proxy, Threat prevention, DLP… Toutes ces solutions, nous les voyons s’entasser au sein des SI, comme une course à l’armement où il faut pouvoir dire : « Moi aussi j’en ai un ». Mais si on mettait sur pause quelques instants, et que l’on prenait le temps de repenser la stratégie de sécurité, et l’usage que nous faisons de ces outils ?
Cyber sécurité, et si on arrêtait d’acheter et que l’on prenait le temps de configurer nos solutions
Dans ma carrière, j’ai pu effectuer un certain nombre d’audits, avec quasiment toujours la même conclusion, une sous-utilisation des capacités techniques des équipements.
A cela, une raison majeure, l’absence de définition concrète de l’usage que l’on souhaite en faire. Posez-vous la question, un firewall « Next Gen » c’est super, mais que voulez-vous en faire, et cette vision est-elle partagée au sein de l’entreprise ? Avez-vous embarqué avec vous l’ensemble de la DSI, et les éventuels métiers qui pourraient en tirer avantage ?
Sans une définition claire des objectifs, et un engagement large, vous ne parviendrez pas à en tirer parti. Et cela vaut pour tous les équipements de sécurité : dès la conception du projet, il faut définir les fonctions que l’on va implémenter, et à quel rythme.
Un autre point crucial à anticiper, c’est l’exploitation. Les boites magiques, n’en déplaise aux vendeurs de solutions, ça n’existe pas. Les nouvelles fonctionnalités et l’automatisation, y compris le « machine learning », cela nécessite des ressources humaines. Il faut maintenir en condition opérationnelle, mettre à jour, mais pas seulement.
Tous ces éléments produisent des logs, qu’il faudra intégrer, consolider et interpréter, de préférence dans un SIEM qui vous permettra de corréler les éléments collectés entre différents éléments de votre SI, mais également de les confronter à des bases d’IOC, publiques ou souscrites, et de les traités avec du « machine learning », qu’il vous faudra éduquer, pour identifier avec précision ce qui est « anormal ».
Il sera également nécessaire d’affiner les configurations, de les affiner avec le temps pour réduire les faux positifs, mais également de vous protéger de nouvelles menaces. Les exemples les plus parlants sont ceux des WAF et des NIDS, car si ces équipements peuvent vous permettre de détecter et éventuellement de bloquer certains comportements, la configuration de ceux-ci doit suivre l’évolution de vos plateformes, réadapter les signatures et tester que les évolutions ne vont pas venir réduire les capacités de détection ou déclencher un tsunami de faux positifs.
Sans ces opérations d’analyses et de customisations, votre plateforme perdra rapidement en efficacité et finira par être perçue au mieux comme inutile, au pire comme une gêne.
Et tout cela commence dès la phase d’intégration : avoir le bon accompagnement, qui vous aidera à appréhender la technologie, à mettre en place l’organisation connexe, et surtout à mettre en production la configuration initiale la plus adaptée à votre environnement.
De trop nombreux projets d’intégration se résument à mettre en place la plateforme avec une configuration de base, vous fournir une documentation plus ou moins complète, et c’est tout.
Et c’est là le second moment ou un projet de mise en place d’une solution technique peut tourner au fiasco, et manquer sa cible. Car oui, l’implémentation correcte de fonctionnalités avancées, cela prend du temps en termes d’analyses des environnements et d’implémentation.
Problème, ces phases pouvant être extrêmement chronophages et difficilement quantifiables, elles ne sont quasiment jamais proposées, ou sous forme d’option d’assistance technique, avec un pool de jours sans engagement de résultats, mais uniquement un engagement de moyen.
Souvent considérées comme excessives en termes de coût, on préfère donner ces actions aux équipes internes qui auront bénéficié de formations ou transferts de compétences, mais qui auront trop peu souvent l’expérience, et encore moins de temps à consacrer à ces sujets.
Au bout d’un certain temps, et pour pallier les problèmes que vous rencontrez, vous commanderez un audit qui pointera du doigt les optimisations et procédures qui sont absentes ou parcellaires.
De ce rapport d’audit sera tiré un plan d’action, qui sera ou non implémenté suivant le budget que l’on souhaite vous allouer, et même s’il arrive à terme, si vous n’avez pas les équipes et les processus adaptés, votre plateforme perdra de nouveau de l’efficacité jusqu’à devenir faillible et obsolète.
Avec la bonne politique, la bonne gestion des exceptions, le suivi des changements, et une bonne interaction entre les équipes de sécurité et les autres entités de l’entreprise, on arrive à obtenir de meilleurs résultats qu’en achetant une nouvelle solution, qui de toute façon ne sera pertinente que si le reste aura été correctement implémenté.