Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kevin POLIZZI, Jaguar Network : le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité

octobre 2018 par Marc Jacob

A l’occasion des Assises de la Sécurité, Jaguar Network présentera l’ensemble de son offre autour du Cloud, des Telecom et des IoT. Cette année, pour sa conférence, Jaguar Network a choisi de montrer comment rendre possible la centralisation et la maîtrise de la sécurité du SD-WAN et des environnements multi-cloud. Pour Kevin POLIZZI, Président de Jaguar Network le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité.

Global Security Mag : qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Kevin POLIZZI : Jaguar Network profite de plus de 10 ans dans le métier de service provider pour intégrer les solutions Cloud / Télécom et IoT. Ainsi les solutions sont disponibles au travers du moteur d’orchestration ATLAS : Atlas Edge propose des solutions on-premise via une gamme de uCPE, Atlas Core un hébergement sur un datacenter souverain avec des infrastructures propriétaires et Atlas Edge des solutions à base de Cloud Public, opérées de bout en bout via des prestations de services managés.
- Gestion multi-cloud : Moteur d’orchestration unifié pour simplifier le pilotage et la gouvernance multi-cloud à base de technologies SDN/NFV,
- Sécurisation intelligente multi-niveaux : SD-WAN & Universal CPE permettent le contrôle des flux applicatifs en central (deep packet inspection) et l’optimisation des liens et règles de sécurité en local via des boitiers sur site (uCPE),
- Protection des applications : Apps Protect, solution de filtrage renforcé permettant de nettoyer le trafic susceptible de nuire à une de vos applications grâce à une catégorisation fine au niveau 7 des couches applicatives.

GS Mag : Quel sera le thème de votre conférence cette année ?

Kevin POLIZZI : Le Cloud et le SD-WAN sont deux thématiques qui agitent actuellement les rapports entre DSI et RSSI. Avec une promesse forte d’agilité, il est capital de préserver une maîtrise complète des flux de données que ce soient des données internes ou celles de clients ou fournisseurs. Les systèmes d’information vont basculer vers une politique de choix des meilleurs prestataires au travers du multi-cloud et s’appuyer sur du SD-WAN pour flexibiliser le réseau et en améliorer ses performances.

La gestion d’une sécurité de l’information doit elle aussi s’adapter à cet écosystème complexe. Une synergie des différents acteurs doit assurer la sécurité globale. Les fournisseurs ont pour devoir de proposer à leurs clients des solutions qui permettent de gérer cet environnement hétérogène assurément complexe sans outils adaptés.

C’est pourquoi, il nous est essentiel de présenter comment Jaguar Network rend possible la centralisation et la maîtrise de la sécurité du SD-WAN et des environnements multi-cloud.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Kevin POLIZZI : Les technologies se multiplient à la vitesse de la lumière, aussi avons nous vu ces dernières années, pour le plus grand bien des entreprises et des utilisateurs finaux, l’arrivée de l’IA, du cloud, de l’IoT et un déploiement en masse des terminaux mobiles en entreprise. En conséquence directe, l’information devient mobile et plus accessible. La gestion de la sécurité devient une priorité et son défaut de gestion une menace ouverte pour l’entreprise, sans oublier les attaquants qui s’adaptent régulièrement aux contre-mesures mises en place.

Le cloud, solution naturellement évolutive, a vite été adopté et déployé, apportant ainsi une réponse rapide aux besoins métiers. Les environnements multi-cloud et les communications empruntant internet peuvent accélérer les menaces de fuite ou de compromission d’informations liées à une décentralisation forte des infrastructures. La maîtrise de la sécurité des différentes solutions est hétérogène et l’adoption par les différents standards et bonnes pratiques de sécurité (SecNumCloud, BSI C5, CSA, ISO 27017) n’est pas forcément rapide et aisée.

L’IoT et les terminaux mobiles créent des menaces liées à deux facteurs : une sécurité souvent non maîtrisée démultipliée par leur nombre très important et l’absence fréquente d’une politique de gestion forte. Par exemple, Lotroop/Reaper s’attaque directement à des vulnérabilités IoT et malheureusement a déjà permis de lancer différentes attaques DDoS en fin d’année dernière et au début de cette année ; certaines estimations ont donné des chiffres de près d’un million d’objets intégrés dans ce botnet en un mois. Les différents acteurs (fabricants, intégrateurs, opérateurs, infogéreurs) ont la responsabilité diffuse, chacun à son niveau, d’assurer la sécurité des différents éléments.

L’intelligence artificielle (IA) et le machine learning (ML) sont des technologies qui vont être plus efficaces pour gérer des problèmes bien délimités comme la classification des exécutables et la détection des programmes malveillants. Cependant, ces mêmes technologies peuvent être utilisées pour contrer les mesures de sécurité. Le plus vieil exemple étant l’analyse des images Captcha (certains tests dépassent actuellement les 90% de reconnaissance). Des attaques basées sur l’amélioration des messages de phishing, des réseaux de botnet, des techniques d’évasion ou des attaques sur les IA elles-mêmes pour en fausser l’apprentissage ne sont pas à exclure.

Continuer à croire que les solutions mises en œuvre ces dernières années vont rester efficaces pour adresser les risques qui avaient été identifiés serait une erreur. Les attaques par déni de service (DoS et DDoS) applicatives sont de plus en plus fréquentes et les solutions anti DDos en place, bien adaptées pour gérer les attaques DDoS classiques, restent quasi inefficaces pour arrêter les attaques plus fines que sont les attaques par déni de service applicatives. Les solutions de sandboxing qui ont permis une meilleure détection des logiciels malveillants ces dernières années commencent maintenant à être contournées.

La diversité des technologies et des fournisseurs, la décentralisation et l’évolution technologique permanente ont tendance à complexifier la gestion de la sécurité. Il faut prendre garde à cette menace interne qui peut facilement devenir un point critique. La technologie doit être un support sûr pour le business de l’entreprise, en aucun cas un élément de complexification de la gestion du système d’information de l’entreprise et de sa sécurité.

GS Mag : Quid des besoins des entreprises ?

Kevin POLIZZI : La mutation des outils et processus vers le numérique amplifient les risques en terme de gestion des données que ce soit pour les préserver et en garantir l’intégrité. Ces enjeux concernent notamment la gestion multi-cloud (87 % des entreprises stockent sur le Cloud des données diverses). La construction d’un schéma directeur simple et partagé reste la première des priorités afin de transversaliser la problématique au niveau des membres du comité de direction.

Les entreprises répondent souvent à des problématiques avec des « modes techniques » mais ne pilotent pas les sujets assez en profondeur. Or la sécurité est une problématique permanente et se doit d’être opérée en 24/7 par des services d’infogérance adaptés. Face à la croissance exponentielle des failles, des malwares et des attaques, le recours à des solutions professionnelles de sécurité réseaux et télécom est un impératif. Il permet aujourd’hui d’optimiser performance, efficacité et retour sur investissement, ce n’était pas le cas par le passé où la sécurité était perçue comme un puits sans fond.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Kevin POLIZZI : Après avoir révolutionné les environnements serveurs via la consolidation des briques logicielles et la simplification des déploiements, le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité.

Stratégiquement, en qualité de service provider, nous ne pouvions passer à côté de la mise à disposition de ressources « pilotées » dans les infrastructures Cloud Public, Privé ou On-Premise. De nouvelles configurations optimisant prix et performance sont maintenant disponibles en lien direct avec les enjeux métiers et utilisateurs.

Bénéficier d’une gamme de services pilotés en central permet de garantir la vision des RSSI tout en proposant le déploiement de composants décentralisés via le Edge Computing pour le plus grand bonheur des DSI et utilisateurs.

Ces solutions préfigurent notre stratégie orientée vers la mise à disposition de liaisons télécoms performances accompagnées de services complémentaires basés sur l’orchestration et l’automatisation de nos déploiements de 2020 à 2025 à base de Software Defined Services !

GS Mag : avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Kevin POLIZZI : « Il n’est pas possible d’intégrer la dimension sécurité après coup sans détruire une grande partie de ce qui a été construit » soulignait Cédric Villani dans son rapport sur l’intelligence artificielle. Pour des RSSI, cette phrase fait écho à de nombreux projets de post-sécurisation. Cette année, tout le monde a parlé du RGPD (règlement général de protection des données). La mise en place de la certification des hébergeurs de santé, de la directive NIS (Network and Information Security), la sortie de la nouvelle version du standard SecNumCloud et les éléments de la LPM (loi de programmation militaire) ont eu moins d’écho. Pourtant, tous vont dans cette direction commune que sont la gestion de la sécurité, sa conception et sa prise en compte au plus tôt dans les projets.

La sécurisation et la protection des données (personnelles ou non) par conception et par défaut n’est pas une nouveauté. C’est une activité normale pour les RSSI, peut-être moins pour ceux qui pensent que le coût de la sécurisation sera trop élevé. L’expérience montre bien que les coûts liés à la non sécurisation ou à la sécurisation tardive ont de forts impacts financiers, largement supérieurs à ceux d’une sécurisation initiale.

La phase de conception est essentielle, c’est elle qui va fixer les objectifs de sécurité et assurer l’alignement avec le business et les obligations de protection des données. Que ce soient des données personnelles (y compris de santé), financières ou métier (brevets), nos solutions proposent des mesures de sécurité par défaut, adaptées aux différentes contraintes et ce dès la conception.

Cependant la sécurité doit aussi être gérée en continu, les éléments pris en compte lors de la conception peuvent être amenés à changer, d’autres peuvent apparaître. C’est pourquoi la sécurité et la protection des données doivent être dynamiques et évolutives.

Un élément malheureusement souvent oublié est la fin de vie d’une solution informatique, en particulier les aspects liés au devenir des données qui y étaient stockées. Paradoxalement, cette phase doit être pensée dès la conception. Par exemple, si les moyens de destruction ou de transfert des informations n’ont pas été prévus dès le début, ils seront alors bien plus coûteux.

Une sécurisation durant toute la vie d’une solution ou d’un système d’information est une nécessité absolue. Les législateurs nationaux et européens vont aussi dans cette voie avec des lois actuelles et en préparation qui donnent un cadre pour une meilleure sécurité. Mais il est nul besoin de loi pour mettre en place une sécurité adaptée aux différents types d’information. Le marché est exigeant en ce qui concerne la sécurité, ce qui est normal ; offrir des solutions sures par conception et par défaut a toujours été une approche naturelle pour Jaguar Network.

GS Mag : Quel est votre message aux RSSI ?

Kevin POLIZZI : Bon courage aux RSSI ! Mais aussi aux délégués à la protection des données (DPO) et aux DSI… Les enjeux sont nombreux, les menaces tout autant et les budgets rarement extensibles. Le Cloud apporte de nouveaux outils, mais la sécurité ne peut être maîtrisée que si ses enjeux sont partagés par toute l’entreprise. Ainsi, nous recommandons que celle-ci soit partie intégrante des sujets partagés en comité de direction. Elle ne peut être bien gérée que si ses objectifs sont bien maîtrisés. Pour autant, n’hésitez pas à vous appuyer sur vos fournisseurs, certaines mesures de sécurité sont de leur responsabilité exclusive, par exemple dans le cadre du RGPD. C’est pourquoi Jaguar Network propose des solutions à base d’obligation de résultats pensées et architecturées en prenant compte les besoins métiers et les budgets projetés dans un plan de mise à niveau pluriannuel.

Site Web : https://www.jaguar-network.com


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants