Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Yannick Fhima,Elastic : l’équipe de sécurité ne peut plus être isolée de l’équipe d’ingénierie

avril 2023 par Marc Jacob

A l’occasion du FIC 2023, Elastic présentera sa solution d’analyse de la sécurité qui inclut la partie CNAPP (Cloud Native Application Protection) pour AWS. Yannick Fhima, Directeur des Solutions de Données d’Entreprise pour la région EMEA Sud d’Elastic estime que l’équipe de sécurité ne peut plus être isolée de l’équipe d’ingénierie.

Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2023 ?

Yannick Fhima : Nous venons d’annoncer l’extension de nos solutions de sécurité cloud pour AWS.

Elastic propose désormais une solution complète d’analyse de la sécurité qui inclut la partie CNAPP (Cloud Native Application Protection) pour AWS. Cela comprend également la gestion de la posture sécurité du cloud (Cloud Security Posture Management), la protection des workloads sécurité au sein des conteneurs et la gestion des vulnérabilités dans le cloud.

Selon Gartner, plus de 85 % des organisations adoptent un modèle cloud-first et 95 % des nouveaux workloads sont déployés sur des plateformes cloud-native. Cependant, 99 % des défaillances du cloud proviennent des utilisateurs, telles que des mauvaises configurations de leur plateforme cloud.

L’extension des fonctionnalités de sécurité cloud de l’offre Elastic Security, offre désormais aux organisations les capacités dont elles ont besoin pour moderniser leurs opérations de sécurité dans le cloud, améliorer leur visibilité sur les potentielles menaces, réduire la complexité pour les fournisseurs et accélérer la résolution des problèmes.

Global Security Mag : Quels sont les points forts des solutions que vous allez présenter à cette occasion ?

Yannick Fhima : Au FIC, nous présenterons une solution d’analyse de la sécurité qui comprend une protection complète des applications Cloud Native pour AWS (CNAPP), qui s’appuie sur nos capacités élargies en matière de protection des workloads Cloud et de gestion de la posture de sécurité Kubernetes (KSPM).

Elastic Security est la seule solution de sécurité unifiée offrant des fonctionnalités SIEM, endpoint et cloud security - enracinées dans la gestion et l’analyse des données - qui permet aux clients de protéger, d’enquêter et de répondre aux menaces sur l’ensemble de leur infrastructure.

Global Security Mag : Cette année le FIC aura pour thème le Cloud Computing, quelles sont les principales cyber-menaces qui pèsent sur le Cloud ?

Yannick Fhima : L’erreur humaine est un des principaux risques pour la sécurité du cloud. Selon une étude de nos labs sécurité (Elastic Security Labs), près d’une attaque sur trois (33 %) dans le cloud exploite les identifiants d’accès, ce qui indique que les utilisateurs surestiment souvent la sécurité de leurs environnements cloud et ne parviennent pas à les configurer ni à les protéger de manière adéquate.
Si nous examinons plusieurs fournisseurs de services cloud, nous constatons l’utilisation de différentes méthodes, ce qui montre que les attaquants ont conscience des différentes vulnérabilités inhérentes à ces infrastructures.
Des attaques de type “credential access ou attaques de données persistantes”, faisant appel à des technique de vol de token d’accès font partie des tentatives les plus communes de vol d’identité sur le cloud
Nos Labs sécurité (Elastic Security Labs) ont également détecté un nombre important d’alertes liées à l’utilisation abusive de comptes de service, avec des techniques utilisant la manipulation de comptes, ce qui indique que la vulnérabilité des comptes de service reste élevée lorsque les informations d’identification par défaut ne sont pas modifiées. Les alertes liées à des opérations d’authentification, avec des techniques ciblant des comptes valides dans le but de récupérer des tokens OAUTH2, sont également extrêmement fréquentes. Enfin, on observe un grand nombre de tentatives d’accès initial utilisant une combinaison de “brut force” traditionnelle d’utilisation de mots de passe sur des comptes précédemment compromis.

Global Security Mag : Quels sont les avantages qu’autorise le Cloud Computing ?

Yannick Fhima : Le Cloud Computing a radicalement changé notre façon de collaborer, de communiquer et d’opérer. Dans l’environnement numérique actuel, il devient de plus en plus important de migrer vers le cloud pour maintenir la compétitivité et la résilience des entreprises. Le passage au cloud donne aux organisations la possibilité d’agir plus rapidement, d’être plus agiles et d’innover, en leur permettant de passer plus de temps sur leur valeur ajoutée et sur le marché.

Les équipes de développement de logiciels peuvent désormais travailler avec agilité, elles n’ont plus besoin d’attendre des mois pour obtenir les outils et le stockage nécessaires, ne sont plus à la merci des pénuries de la chaîne d’approvisionnement et peuvent se déployer en quelques clics et commencer à travailler immédiatement. Les phases de développement sont beaucoup plus courtes, ce qui permet aux organisations de fournir de nouveaux services et applications et de les commercialiser rapidement.

L’extensibilité est un autre avantage clé du Cloud Computing. Votre équipe informatique veut s’assurer que votre système technologique puisse résister à des pics de demande et maintenir une disponibilité 24 heures sur 24 et 7 jours sur 7. Les solutions de cloud peuvent s’adapter de manière transparente aux besoins de votre entreprise.

Enfin, la résilience est, de mon point de vue, l’un des principaux bénéfices du Cloud. Sans le Cloud, toute l’économie mondiale se serait effondrée à cause du Covid. Le Cloud a permis aux entreprises d’opérer de n’importe où et de maintenir la continuité de leurs activités en cas d’événements perturbateurs.

Global Security Mag : Comment les technologies doivent-elles évoluer pour conter ces menaces ?

Yannick Fhima : Les entreprises adoptent très souvent une approche fragmentée de la sécurité dans le Cloud en utilisant des solutions spécifiques pour différents fournisseurs Cloud, différentes applications Cloud, et containers, etc. Toutefois, cette approche tend à compliquer considérablement le travail des équipes de sécurité, qui doivent passer d’un tableau de bord à l’autre pour s’assurer que toutes les menaces pesant sur chaque système sont traitées efficacement et en temps voulu. Les équipes de sécurité sont confrontées à une pénurie de talents alors que les environnements numériques se développent rapidement. Ces équipes ont besoin d’outils qui leur permettent d’être plus efficaces dans la gestion des menaces, à grande échelle.

Les professionnels de la sécurité ont besoin de solutions qui leur offrent une visibilité unifiée en temps réel sur toutes les ressources cloud, ainsi que sur leur site on premise. Une fois qu’ils ont obtenu l’accès, les cyber-criminels effectuent souvent des mouvements latéraux entre les systèmes et utilisent des techniques d’évasions assez sophistiquées permettant à des malwares d’échapper aux outils de cybersécurité. Cela montre que les solutions de base ne suffisent plus pour faire face à la complexité et à la sophistication des menaces que nous observons aujourd’hui.

Un autre facteur important à prendre en compte est que seule l’IA peut lutter contre l’IA adverse. Auparavant, pour être un pirate informatique, il fallait atteindre un niveau d’excellence qui n’était accessible qu’à un petit nombre. Aujourd’hui, vous pouvez demander à Chat GPT par exemple de trouver les vulnérabilités dans le code de n’importe quel système, vous pouvez lui demander de concevoir une technique d’ingénierie pour cibler cette vulnérabilité, ou vous pouvez utiliser des outils de cybercriminalité facilement accessibles tels que les ransomwares. Ces différentes méthodes malveillantes sont utilisées pour lancer une attaque efficace. Cela va même plus loin, car l’intelligence artificielle adverse tire des enseignements de chaque attaque et la perfectionne à l’infini. La détection des menaces s’apparente à la recherche d’une aiguille dans une botte de foin et, parfois, les manœuvres des attaquants sont si subtiles qu’elles sont indétectables pour l’homme. Le Machine Learning est utilisé pour identifier les comportements malveillants des détracteurs en modélisant le comportement du réseau et en améliorant la détection globale des menaces.

Ce n’est qu’avec des solutions et des plateformes basées sur l’IA qui vous donnent une visibilité unifiée sur l’ensemble de votre infrastructure, que vous aurez une chance de faire face au tsunami cybernétique qui se profile à l’horizon.

Global Security Mag : Selon-vous, quelle place l’humain peut-il avoir pour renforcer la stratégie de défense à déployer ?

Yannick Fhima : Les RSSI sont confrontés au double défi de la mise en œuvre de nouvelles technologies et de la promotion d’une culture de la sécurité et de la sensibilisation. Non seulement les employés jouent un rôle important dans la défense, mais ils sont souvent (et par inadvertance) la menace intérieure voire le maillon faible de la chaine. Un clic malencontreux, une pièce jointe ouverte sans précaution et le système est compromis.

Les études sur la cybersécurité montrent qu’une grande partie des attaques sont dues à des stratégies de phishing et d’ingénierie sociale, c’est pourquoi l’éducation et la formation continue des employés sur les questions de sécurité doivent être une priorité absolue. Il s’agit également d’intégrer des processus au sein de l’entreprise afin que toutes les personnes concernées sachent quelles sont les étapes à suivre en cas d’attaque.

La majorité des fuites de données étant dues à une erreur humaine ne sont souvent pas signalées en temps voulu. De nombreux employés craignent les conséquences et ne signalent donc pas les violations ou tentent de les résoudre eux-mêmes. Or, cela ne fait qu’aggraver la situation et fait perdre un temps précieux pendant lequel le réseau de l’entreprise est laissé sans défense permettant la propagation de malware ou ransomware par exemple. Les organisations doivent favoriser une culture de franchise et encourager leurs employés à signaler les infractions, voire à les identifier eux-mêmes. Cela passe par une formation régulière. Ce n’est que lorsque les employés auront été correctement formés et que les processus adéquats auront été intégrés qu’ils pourront servir de niveau de défense supplémentaire.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Yannick Fhima : Tout d’abord, veillez à ce que vos solutions de sécurité ne soient pas considérées par le reste de l’organisation comme un silo ou comme une équipe fermée, n’émergeant que pour dire à quelqu’un qu’il ou elle a commis une erreur. Au lieu de cela, discutez régulièrement avec les responsables de votre entreprise pour connaître directement leurs processus et leurs besoins. Lorsque votre équipe interagit avec le reste de l’entreprise, vous obtenez des informations clés qui accélèrent les actions de réponse et améliorent les explications relatives aux alertes et aux demandes émanant de ces équipes.

Deuxièmement, appropriez-vous vos propres données. Et assurez-vous que votre fournisseur de sécurité ne vous enferme pas dans son écosystème. En insistant sur des normes ouvertes pour le stockage des données, l’analyse des données, l’ingénierie de détection et autres, vos équipes peuvent adopter avec agilité de nouvelles technologies et de nouveaux fournisseurs pour répondre à vos besoins de sécurité au fur et à mesure qu’ils évoluent.

Enfin, les fournisseurs doivent commencer à considérer les produits de sécurité comme étant plus que de simples logiciels. Chez Elastic, nous nous efforçons d’offrir une approche holistique de la sécurité ainsi qu’un produit de haute technologie, plutôt que de fournir un simple outil. La valeur de l’offre Elastic Security pour ses clients est renforcée par l’échange de connaissances et de bonnes pratiques, ainsi que par le développement d’une communauté centrée sur l’intelligence des données de sécurité.

Enfin, de nombreuses entreprises continuent à traiter les symptômes de la sécurité plutôt que la cause, malgré la croissance constante des menaces et les dangers. L’équipe de sécurité ne peut plus être isolée de l’équipe d’ingénierie. Construire des produits et des solutions capables de résister à la multitude de menaces émergentes nécessite une forte coopération entre les deux fonctions.

Chez Elastic, nous créons des produits en gardant, dès le départ, la sécurité à l’esprit, en veillant à ce que chaque solution que nous fournissons à nos clients soit sécurisée. Nous prenons cela tellement au sérieux que notre équipe InfoSEC fait partie du département d’ingénierie.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants