Aujourd’hui, toutes les entreprises sont dans la course à la transformation numérique, et en la matière la confiance sera un facteur clé. Les SI sont de plus en plus ouverts et la menace toujours plus importante. Les règlementations sont, quant à elles, de plus en plus prégnantes, sectorielles, et se multiplient au niveau national, comme européen. De leur côté, les compétences sont rares, mais aussi de plus en plus spécifiques et pointues.

Pour faire face à ces nouveaux défis dans les années à venir, un nouveau modèle de sécurité doit être pensé, après celui du château fort, communément utilisé des années 1995 à 2005, puis de l’aéroport, qui sert encore de référence aujourd’hui.
Le modèle du château fort était construit sur la base d’un SI centralisé, avec comme image celle d’un mur infranchissable protégé par un pare-feu, mais avec un mouvement relativement libre en interne. Depuis 2005, les Systèmes d’Information sont de plus en plus ouverts, et les problématiques liées au Cloud, au BYOD, aux périphériques des clients… sont venues se greffer. L’objectif est alors devenu de sécuriser davantage les ressources en interne, surtout sensibles, en se basant sur le modèle de sécurité d’un aéroport : un hall accessible à tout le monde, et des zones sensibles et sécurisées pour accéder aux avions et au tarmac.

Dans les années à venir, les grandes tendances qui se dessinent aujourd’hui vont venir changer les choses. Le Cloud est désormais devenu une réalité. Les méthodes agiles, telles que le DevOps, apportent de leur côté des changements beaucoup plus rapides. Les pratiques de sécurité, quant à elles, n’évoluent pas assez rapidement pour suivre ce rythme.
Le SI sera demain de plus en plus décentralisé et dans le Cloud. Il sera accédé depuis de nombreux périphériques différents. Les devices des clients seront de plus en plus nombreux et diversifiés. Shadow IT, IoT, blockchain… seront également d’autres tendances auxquelles il faudra faire face. Les données seront partout, comme dans le modèle « any-to-any ». De plus, dans ce modèle, les applications seront exécutées par de multiples parties.

Le modèle de sécurité de demain pourrait ressembler à celui d’une compagnie aérienne

Pour Gérôme Billois et Chadi Hantouche, le nouveau modèle de sécurité associé à l’ensemble de ces problématiques pourrait ressembler à celui d’une compagnie aérienne : des avions, des passagers et des équipes réparties partout, sans aucune maîtrise directe des aéroports en eux-mêmes.

5 piliers permettraient, selon eux, d’adopter ce modèle de la compagnie aérienne :

– Tout d’abord, connaître ses passagers (gold, éco…), mais aussi ses assets les plus critiques, les identifier et les classifier. Pour ce faire, ils recommandent de se concentrer dans un premier temps sur les données les plus sensibles et les plus réglementées.
Il faut, de plus, être conscient des contraintes réglementaires au niveau national, mais aussi dans les différents pays, et apprendre à gérer ces exigences.
Le chiffrement, de son côté, aura un rôle clé à jouer. Il va cependant falloir apprendre à partager ses clés.

– L’entreprise va également devoir choisir des contextes de confiance, dans lesquels les applications vont pouvoir être hébergées. La question sera de déterminer comment on va pouvoir faire confiance ? Il manque encore, à l’heure actuelle, ce référentiel de confiance qu’ont les aéroports aujourd’hui. Il faudra, ainsi, pouvoir disposer d’une évaluation fiable des hébergeurs, opérateurs de Cloud…
De plus, la sécurité devra être aussi agile que le développement d’ici 2020. Ainsi, il faudra rapprocher le contrôle des développeurs, de manière à ce que les mesures de sécurité et phases de test s’inscrivent dorénavant directement dans les processus de développement. Chacun aura, en outre, la capacité de « s’attaquer » en continu ; l’audit et le contrôle se feront donc en permanence.

– Afin de pouvoir faire bouger ses données en toute sécurité, ils recommandent également la construction d’un centre opérationnel de sécurité basé sur un modèle de sécurité dynamique. La gestion des identités devra, quant à elle, intégrer les utilisateurs, les machines et les objets connectés. Ces identités devront être intégrées dans des API. L’entreprise devra, en outre, disposer d’un référentiel d’identité et de conformité, dont l’hébergement serait assuré par ce centre opérationnel de sécurité.
Concernant l’historique, ils préconisent de ne pas initier une migration de l’ensemble du legacy, et d’utiliser des API et proxy spécifiques. Il faut garder en tête que le legacy diminuera de manière naturelle au fil des ans.

– L’automatisation de la sécurité sera essentielle, qu’il s’agisse de protection, de détection d’incidents ou de capacité de réponse. Le périmètre du SOC devra, de son côté, être étendu, afin d’y intégrer le Cloud, les logs des systèmes applicatifs, des objets connectés… Les SOC sont généralement saturés par la gestion d’incidents souvent similaires. Si on arrive à automatiser cela, on gagnera du temps. Des techniques, comme l’Identity Analytics, le machine learning… vont permettre d’automatiser ce processus. La threat intelligence aura aussi son rôle à jouer.
L’objectif sera de créer des systèmes capables de s’auto-attaquer et de s’auto-défendre.

– Bien évidemment, ces changements ne se feront pas sans les personnes et les équipes qui vont avec. Nous verrons certainement émerger de nouveaux postes, tels que le security regulation interpreter, qui va venir interpréter les règlementations, l’Agile Security Champion en charge de cette sécurité agile, le data scientist, l’intelligence specialist, le cybersecurity program manager… Les équipes actuelles ne vont, quant à elles, pas disparaître. Toutefois, il faudra mettre sur pied des actions de formations et établir des plans d’évolution de carrière, afin que les équipes adoptent ce nouveau modèle d’ouverture.

En résumé, dans les années 2020, la donnée sera partout, il faudra donc se concentrer sur les actifs les plus critiques et apprendre à faire confiance. Les systèmes seront plus agiles, dynamiques et automatisés. La connaissance du contexte de fonctionnement sera quant à elle plus fine, et chaque utilisateur recevra directement un message adapté à son usage et à son comportement. Autant de nouveaux défis à relever, pour que la sécurité de demain réponde au mieux aux enjeux de la transformation numérique et aux menaces à venir.