Actu
Danelle Au, Palo Alto Networks : Planifiez la sécurité de votre réseau pour 2014
janvier 2014 par Danelle Au, Directrice Marketing Solutions Palo Alto Networks
La fin de l’année approchant rapidement, nous voyons apparaître un large éventail de prévisions relatives aux tendances qui marqueront l’année 2014 dans le domaine de la sécurité des réseaux et des informations. Nombre de ces tendances évoquées sont intéressantes, mais ce qui semble être le plus utile, alors que les entreprises préparent 2014, est de découvrir les meilleures pratiques et réflexes à avoir pour planifier la sécurisation de son réseau. Notamment les meilleures pratiques de sécurisation des réseaux associées aux projets informatiques stratégiques, la façon d’assurer un juste équilibre entre risques de sécurité et avantages pour l’entreprise, et comment déterminer les fonctionnalités techniques à rechercher chez les différents fournisseurs.
Commençons donc par les projets informatiques qui joueront un rôle crucial en 2014 :
La segmentation du réseau
Prévoir la segmentation d’un réseau était jusqu’alors relativement aisé. Les « méchants » (pirates, cybercriminels) se trouvaient à l’extérieur du réseau. Les « gentils » étaient à l’intérieur : c’étaient les employés internes de l’entreprise, qui se connectaient au réseau et accédaient à des applications hébergées en Datacenter depuis des périphériques gérés (souvenons-nous, l’accès se faisait principalement via liaisons Ethernet câblées, sur des PC IBM. Les Mac n’étaient même pas autorisés).
La segmentation du réseau s’articulait généralement autour de la conformité. Elle visait par exemple à garantir que seul un sous-ensemble défini d’employés soit autorisé à accéder aux informations confidentielles (informations relatives au détenteur d’une carte de crédit (ou données PCIetc.). Les méthodes de segmentation du réseau incluaient notamment des méthodes d’isolation de réseau de type VLAN ou commutateur ACL, ainsi qu’une paire de pare-feu dynamiques chargée de fournir la check-list des services pare-feu en PCI-DSS ou équivalent. C’était assez simple, et tout le monde était d’accord sur ce point !
Mais la mondialisation a bouleversé cela en transformant radicalement la façon dont nous travaillons. Elle a créé des interdépendances vis-à-vis de chaînes d’approvisionnement mondiales et de partenaires internationaux, étendu les interactions économiques transfrontalières avec de nombreux « pays d’intérêt » et rendu possible la libre circulation des individus, des biens et des informations. La population des utilisateurs se compose désormais d’employés mobiles, de partenaires et de sous-traitants dotés d’un large éventail de périphériques distincts, travaille avec différents partenaires technologiques et de production, collabore avec des employés issus de nouvelles acquisitions et accède à des applications virtualisées au sein de Datacenters répartis dans le monde entier.
Qu’advient-il alors de la segmentation du réseau ? L’architecture de segmentation du réseau « confiance zéro » (qui inspecte et enregistre en permanence l’intégralité du trafic, applique strictement un contrôle d’accès basé sur le principe de restriction au « besoin d’en connaître » et garantit un accès sécurisé à l’ensemble des ressources) constitue le bon modèle. La segmentation du réseau de l’entreprise pour 2014 devra donc se focaliser sur les méthodes permettant de créer des zones distribuées de « confiance zéro » d’une manière qui minimise l’impact sur le réseau, mais garantisse une visibilité maximale et une protection optimale contre les menaces de nouvelle génération.
Le « tout Cloud » et le « tout logiciel »
J’associe dans la même catégorie le « tout Cloud computing » et le « tout logiciel » car dans la plupart des cas la mise en place de Datacenters logiciels ou de réseaux logiciels a pour but de créer des réseaux dynamiques, programmables et plus automatisés, destinés à la mise à disposition des applications.
En 2014, le choix en matière de Cloud computing sera encore plus étendu. L’annonce de la disponibilité générale du Cloud Google Compute Engine offre de nouvelles possibilités dans le domaine de l’IaaS (Infrastructure-as-a-Service). Cependant, les révélations de Snowden sur Wikileaks à propos de l’espionnage par la NSA des serveurs de Google, Yahoo et Facebook via les lignes à fibre optique ont quelque peu douché l’enthousiasme vis-à-vis du Cloud public. Si l’on en croit différentes études, il y a une réticence croissante à faire appel à des fournisseurs de services Cloud, suite aux révélations de Snowden à propos de l’intégrité des infrastructures des Datacenters basés aux Etats-Unis.
L’alternative consiste alors à renforcer les environnements Cloud publics par un robuste Cloud privé, ou à migrer vers un modèle uniquement Cloud privé. De nombreuses technologies proposées par VMware et Cisco notamment, permettent de bâtir des Cloud privés. Comme par exemple un datacenter logiciel s’appuyant sur les technologies VMware NSX de virtualisation de réseau ou une approche architecturale SDN, plus orientée vers le matériel, avec Cisco ACI (Application Centric Infrastructure).
Pour les entreprises les plus sensibilisées à la sécurité, un modèle hybride est envisageable : certaines applications et certains services seront transférés dans des Cloud publics, mais les services stratégiques internes comme la recherche et le développement, les données financières ou les informations concernant les clients ne seront autorisés à résider qu’au sein des limites strictes du Cloud privé.
En 2014, il faudra pour les entreprises penser et évaluer ces nouvelles approches de conception des réseaux et des Datacenters. Quelles sont les fonctionnalités de sécurité intégrées à ces architectures ? Est-il possible de mettre en œuvre une architecture cohérente de sécurité du réseau mêlant Cloud public et Cloud privé ?
La mobilité et le BYOD
La mobilité et le BYOD continuent à poser dans le monde entier les plus gros problèmes de sécurité, et ce sera encore plus le cas en 2014. Les scénarios d’utilisation de périphériques mobiles sont si variés et les conditions de sécurisation des périphériques par l’utilisateur ou l’entreprise si diverses qu’il est très délicat pour l’entreprise de parvenir à concevoir la bonne solution de sécurité mobile. Depuis très longtemps, les architectures de sécurité mobile d’entreprise ont mis l’accent sur un éventail défini d’options : extension d’anciennes technologies comme le VPN aux périphériques mobiles, utilisation de technologies comme le VDI ou les conteneurs afin de compartimenter l’accès aux applications et aux données, ou utilisation de technologies comme la MDM, plus orientée vers la gestion des périphériques mobiles.
En 2014, la planification de l’environnement de l’entreprise mettra l’accent sur la conception d’une solution complète et intégrée, capable de délivrer tous les composants nécessaires à la sécurisation d’un large éventail de périphériques mobiles, gérés ou non. Il s’agira de gérer le périphérique, de protéger le périphérique et de contrôler les données. La solution choisie devra assurer un juste équilibre entre ce que veut l‘utilisateur et ce dont l’entreprise a besoin. Elle devra prendre en compte les applications auxquelles accèdent les utilisateurs, les données dont ils ont besoin et l’adhésion des utilisateurs sur les niveaux de sécurité requis pour accéder aux données et aux applications confidentielles.
