En préambule Boris Lecoeur DG France de Cloudflare, rappelle qu’Immerse est un événement mondial qui repose sur des retours d’expériences. Il rappelle que depuis le début de l’année il y a de plus en plus d’attaques dues au contexte géopolitique et qui risquent de s’aggraver du fait des JO. Cette année, on a fêté les 30 ans de l’internet cela parait loin mais aussi très proche avec l’accélération de la digitalisation qui s’est encore plus développée avec le Covid. Cette dépendance à internet va s’accélérer du fait de l’augmentation de l’interdépendance avec un nombre d’API croissant. De plus, le télétravail devient de plus en plus une norme avec au moins une journée par semaine adoptée dans de plus en plus d’entreprises. De plus, un nombre croissant de collaborateurs utilisent CHATGPT souvent sans informer leur direction.

Ainsi, Cloudflare a été créé pour résoudre les risques induit mais aussi pour fluidifier les usages d’internet. Ces solutions sont déployées en quelques minutes voir en quelques jours suivant la taille du SI à protéger.

Il y a trois grands piliers : la protection des collaborateurs des applications et des réseaux. Tous ces services sont déployés sur un réseau doté d’un plan de contrôle unique. Concernant la protection des utilisateurs l’offre inclut un anti-phishing. Toute cette offre est managée via une console unique. Cloudflare est présent dans plus de 300 villes avec 12.500 réseaux directement connectés à ces plateformes. En termes de volume cloudflare regroupe près de 20% du trafic internet et propose une disponibilité à 100% dans le cadre d’un SLA. Ainsi Cloudflare identifie souvent des Zero Day non encore répertorié. En France, cloudflare est présent depuis 13 ans. Au départ elle avait de nombreuse startup en tant que clients. Aujourd’hui, elle a en plus de nombreux grands comptes qui utilisent ses services comme par exemple Carrefour, l’Oréal, Vinci, la RATP, Allianz...

Aujourd’hui en France, Cloudflare est forte de 68 collaborateurs avec 6 points de présence avec entre Paris, Marseille, Lyon, la Réunion, Papeete et en cours Nantes et Bordeaux devraient prochainement ouvrir.
Aujourd’hui 80% des clients utilisent au moins 4 produits. La plateforme peut s’interconnecter avec de très nombreux autres éditeurs.

Venceslas Devillar, Senior Solutions Engineer de Cloudflare

L’utilisation de l’IA vue par Cloudflare

Venceslas Devillar, Senior Solutions Engineer de Cloudflare il rappelle les données sur le coût d’un cyber attaque 4´45 M$ et 227 jours en moyenne de présence d’un attaquant sur un SI selon le dernier rapport d’IBM. 

En outre il rappelle qu’en 2022 il y a eu plus de 25.000 vulnérabilités, ainsi la surface d’attaque est de plus en plus grande. Les API représentent 65% du trafic d’où plus de complexité. Les Bots représentent entre 30 et 40% du trafic et certain ne sont pas malicieux mais d’autres le sont, car ils génèrent des attaques comme des DDoS par exemple. Plus de 94% des sites mobiles et desktop utilisent des scripts de tiers parties qui peuvent être un vecteur d’attaque. Enfin, il ne faut pas oublier que le mail reste un vecteur d’attaque très important.

Aujourd’hui, un des systèmes de protection traditionnelle est le WAF qui permet de trier le trafic entre bonne et mauvaise signature. Toutefois ces systèmes sont perméables car ils peuvent être contournés. Il a donné l’exemple de Log4J qui est une attaque multiforme dont les contre-mesures sont complexes à mettre en œuvre car elles nécessitent de déployer plusieurs règles. Pour répondre à cette attaque contre Cloudflare a mis en place 3 règles qui ont permis de protéger ses clients. Cloudflare a publié régulièrement de nouvelles règles en fonction des nouvelles variantes. Sans compter que la mise en place de l’IA a permis de contrer plus rapidement la CVE 2023-35078 et CVE 2023-35082.

L’IA va permettre à la machine d’apprendre et la partie ML qui est une branche de l’IA qui se focalise sur l’utilisation des données et des algorithmes pour limiter la manière dont les humains pensent. Le ML va donc permettre d’apprendre à partir de données et à s’améliorer avec le temps.
Cloudflare qui bénéficie d’une base de données très large permet d’apporter des informations à ses solutions qui sont basées sur l’IA. Grâce à cette apprentissage automatique les solutions s’améliorent en donnant des scores d’attaque. Le moteur est entraîné de façon continue et permet de bloquer les attaques non encore connues publiquement. Pour le bot management de même un score est donné qui permet ainsi de mener des actions pour bloquer ces types d’attaques. Page Shield offre de même une protection contre les attaques client-side. De même pour la protection des API un score est donné suite à une corrélation d’évènements. En fait ces approches par machines Learning complète la protection via des signatures.

Lorsque une entreprise du retail utilise Cloudflare : plus de sécurité et de souplesse dans les déploiements

Puis une grandes entreprises cliente dans le domaine du retail a fait un retour d’expérience sur sa migration vers Cloudflare. Cette entreprise a plus de 30 millions d’appels sur ses API. La société voulait d’une part augmenter son niveau de protection, la performance et réduire l’indisponibilité. Les équipes ont étudié 5 solutions différentes Fastly, Imperva Fasterize, Queue.IT et Cloudflare. Seule Cloudflare a permis grâce à une seul API de résoudre tous ses problèmes. Il avait mis en place une Task force constituée de 7 personnes avec un responsable un chef de projet et 5 experts.
Il y a eu un déploiement en cinq étapes clés : le e-commerce puis le démarrage en France sur un périmètre complet le démarrage par pays la fin de la migration en France et la cinquième étape pour la fin de la migration complète. Chaque pays a dû gérer son planning de déploiement. Il a fallu dans un premier temps migrer en France 420 sites en 6 mois.

Il a fait des Template en faisant un Backup complet quotidien avec un fichier par zone pour restaurer plus facilement. Cela permet de déployer de nouvelles zones plus facilement mais aussi pour restaurer zone par zone. Les règles de WAF de DNS de certificats étaient ainsi gérées plus facilement. Pour la migration des validations par zone ont été faites.

Parmi les difficultés il cite en premier lieu le fait de trouver l’owner du service et qui l’opère. Il a eu aussi le problème des particularités par pays comme par exemple en Roumanie où en Pologne. Sans compter que par exemple certaines entités ne voulaient pas migrer. Par contre, en leur montrant les économies de budget, les récalcitrants se rangeaient à l’avis des équipes chargée de la migration. Il a eu aussi des problèmes sur les fonctionnements qui sont différents entre Cloudflare et son fournisseur précédent Imperva.

En production, des règles ont dû être modifiées. Il a rencontré des problèmes de Time Out qui parfois étaient trop court. Il a eu aussi des problèmes de renouvellement automatique de certificat. Il a eu un incident fait de Cloudflare qui a empêché toute modification durant deux jours. Il a subi aussi une attaque DDoS qu’il a eu du mal à bloquer. Il a dû résoudre des problèmes de faux positifs avec des blocages de partenaires.

Par contre, ce qui a bien fonctionné c’est tout d’abord le travail d’équipe et la communication en amont pour expliquer la migration. Cloudflare a allégé les processus de change management, a permis une meilleure communication entre les owners et les OPS. Ce bon déroulement est aussi dû à l’anticipation du lancement du projet et de l’automatisation des processus. En outre, il a été très satisfait de l’accompagnement de Cloudflare.

Lors du déploiement, 100% des flux vers Imperva ont été coupés à J-4. 325 sites ont été migrés pour la France. 413 sites ont été migrés en 18 semaines et 88 Apps ont été abandonnés dont 56 en France. Suite à la migration globalement tout le monde a été satisfait.

Pour la suite il va faire entre autres des KPI. Pour lui le principal avantage de cette migration est la sécurité. En effet il est entre autres passé à zéro attaque en DDoS. Aujourd’hui, il bénéficie de moins de complexité. Il a réduit l’indisponibilité de 75%. Il a plus de contrôle sur les équipes, le Dashboard de Cloudflare est aujourd’hui, le seul outil de communication entre les équipes. Enfin, il a aussi amélioré la sécurité avec les sous-traitants.

Thomas Garreau SASE specialist de Cloudflare

Du SASE au Zero Trust

Thomas Garreau SASE specialist de Cloudflare a présenté son offre de SASE et de Zero Trust.
La volonté de Cloudflare suite au fait que le réseau d’entreprises va être l’internet. La question était comment faire pour que Cloudflare devienne le réseau d’entreprise. Ainsi, elle propose différents modèles connexions de façon sécurisée. Elle a multiplié les connexions sécuriser vers les clients, les sous-traitants, les collaborateurs... le tout est basé sur un modèle Zero Trust. Elle propose un Dashboard unique avec une politique commune à toutes les connexions. Elle offre une disponibilité à 100%.

Sur la partie SASE après les développements aujourd’hui l’offre est reconnue par tous les rapports d’analystes. Tout est développé en interne sans rachat externe. Cloudflare avec cette offre est présent dans plus de 100 pays et plus de 300 points de présence. Ainsi, Cloudflare est deux fois plus présent dans le monde que son premier concurrent.

Ses solutions permettent une intégration totale dans les SI tout en restant ouvert avec l’écosystème grâce à des partenariats avec d’autres éditeurs comme VMWare, Crowdstrike, Sentinelone, Tanium, Jamf, Ping Identity, Google...

Lorsqu’une startup migre vers le Zero Trust

Puis une seconde entreprise a témoigné sur son utilisation des services de Cloudflare. Cette startup a montré comment elle a migré vers le Zero Trust en un peu moins de trois mois. Cette société existe depuis 2016 dans le domaine de la santé et de la prévoyance. Dans ce cadre, elle traite des données personnelles comme les numéros de Sécurité Sociale, RIB, situation familiale, les données des employeurs... pour protéger ces données sensibles il avait mise en place auparavant des VPN avec les utilisateurs et les partenaires. Ils avaient deux types d’accès via un réseau privé et un réseau public Web pour lequel il fallait protéger une partie des applications. Bien sûr en plus il y avait une couche de sécurisation supplémentaire via de l’authentification.

Son entreprise s’étant développé de façon importante et le Covid ont généré des problèmes de blocage du fait des VPN. Ainsi un serveur Open VPN a été déployé. Mais là encore de nouveaux problèmes sont intervenus. Fin 2022, la société avait 550 salariés et une centaine de sous-traitants. Ainsi, l’interface sous Mac OS du début ne pouvait plus subir l’incrémentation de nouveaux utilisateurs. De ce fait, il a dû changer de système avec des prérequis : la transparence pour les utilisateurs, une intégration simple enfin, il avait besoin de faire une gestion fine et flexible pour tous les utilisateurs.
Au départ il a commencé par migrer quelques utilisateurs sur Cloudflare via une version gratuite qui a été satisfaisant. Puis il a fait un POC à une plus grande échelle pour obtenir la certitude qu’il n’y aurait pas de problème. Ainsi, depuis le 21 mars il a tout migré sur Cloudflare sans avoir à ce jour rencontré aucun problème. Pour les applications publiques grâce à une vérification il valide la connexion d’un client. A ce jour encore quelques sous-traitants utilisent l’ancien système mais cela devrait se terminer dans quelques mois.

L’intérêt pour les utilisateurs est que Cloudflare est transparent. Il n’y a plus de système complexe à gérer avec des VPN déconnectés par exemple. De plus il fait du routage sélectif. En outre la solution est simple a accédé via un device personnel. Sans compter qu’il a beaucoup moins de ticket d’incident à gérer. Même les sous-traitants souhaitent aussi l’utiliser pour leur propre besoin.

Pour les redirections il a fait son propre système maison afin de ne pas avoir de problème. Pour lui l’intégration de la solution Clouflare est aisée. Pour les nouvelles applications aussi l’intégration est facile en écrivant quelques lignes de codes. Enfin, la gestion des accès est simplifiée. Des groupes ont été créés qui peuvent s’intégrer avec d’autres solutions comme par exemple des EDR. Enfin, le déploiement de nouveaux accès par exemple se réalise en quelques clics.

Pour le futur, il souhaite faire une intégration complète. Il devrait prochainement intégrer les nouvelles solutions de Cloudflare. Il doit pouvoir identifier plus rapidement les incidents comme la cause des interruptions de services. Il a félicité le support Cloudflare en conclusion.

Lorsque les VPN posent des problèmes de montée en charge

Puis un débat a été lancé entre deux clients et Thomas Gareau. Pour ce client dans le domaine de l’énergie avait des accès en OpenVPN en 2020 il s’est rapidement aperçu que cette solution avait des problèmes pour monter en charge. Il est passé sur un autre fournisseur de VPN mais là encore les mêmes problèmes sont intervenus. Il a contacté Cloudflare et a commencé à migrer des instances pour au final passer sur l’offre Zero Trust mais sans agent. Pour le CRM, il utilise Cloudflare sans agent ce qui est assez pratique car c’est transparent pour les utilisateurs. Ainsi, il peut accéder plus facilement à des services proposés par ses partenaires. Pour cette startup du domaine de la santé elle va prochainement utiliser une IP fixe pour communiquer avec certains de ses partenaires.
Le premier client utilise Cloudflare pour se protéger contre le phishing bien conçu qui cible souvent les dirigeants de son entreprise. Cloudflare propose une mise en quarantaine avant que mail n’arrive dans les boîtes mail. Chez ce second client aussi le phishing ciblé est de mise. Ainsi, il mène des actions de sensibilisation régulières qui porte leur fruit puisque son dirigeant a reçu une attaque en social engineering particulièrement bien menée récemment qu’il a pu parer, sans compter tous les mails suspects reçu au quotidien. Aujourd’hui, il étudie la possibilité d’utiliser l’anti phishing de Cloudflare.

Aujourd’hui ce premier client étudie l’extension de l’utilisation des solutions de Cloudflare à tout son écosystème. Par contre, pour faire passer tout le trafic par Cloudflare cela pose des problèmes juridiques par rapport au RGPD. De même pour ce second client, sans compter les problèmes d’identification d’utilisateurs qui iraient sur des sites inappropriés.

Boris Lecoeur et Valérie Da Costa, Tech Data Lawer

Le RGPD autorise le transfert de données hors d’Europe mais sous condition

La conférence s’est conclue par l’intervention de Valérie Da Costa, Tech Data Lawer qui a fait un point sur le RGPD. Concernant les transferts de données, il est autorisé dans l’Europe. Pour les autres pays, il y a des conditions d’adéquation par rapport aux conditions de sécurité. Par exemple, avec le Royaume Uni il n’y a pas de problème. Pour les autres pays, il y a des possibilités via des modèles de contrat où la société fournisseur s’engage à des garanties de protection. De plus, le client doit faire une analyse d’impact (PIA). De ce fait, il faut faite du cas par cas. Donc parfois, il faut rajouter des protections supplémentaires.

Il est possible sous certaines conditions on peut transférer des données à caractère personnel aux États-Unis. Les sociétés américaines doivent adhérer à un document d’adéquation qui autorise les transferts de données. En effet de Shrems 2 posait des problèmes d’accès aux données par les autorités américaines. La nouvelle version inclut des mesures protections supplémentaires grâce au document d’adéquation. Par ailleurs, même si une société ni a pas adhéré, il est possible de le faire sous réserve d’une étude d’impact.

Valérie Da Costa explique qu’avec la multiplication de l’utilisation de l’informatique, les registres sont souvent incomplets et des données contenues dans des applications échappent aux contrôles des entreprises. Des outils techniques permettent de mieux connaître ce qui se passe dans le SI. Elle recommande aussi faire de la sensibilisation auprès du personnel.

Elle rappelle aussi qu’il y a de plus en plus de failles de sécurité qui viennent des sous-traitants. Ainsi, il faut que les donneurs d’ordre surveillent leur sous-traitant. Le contrat ne suffit pas. Les donneurs d’ordre doivent par exemple proposer à leur client un point de contact joignable 7/7. Lors de l’exécution du contrat, il faut sans cesse vérifier qu’il n’a pas de problème. Il est aussi nécessaire de mettre en place des outils pour ne pas être pas impactés suite à un problème chez le sous-traitant.

Boris Lecoeur rappelle que les offres de Cloudflare répondent à toutes ses problématiques avec un traitement des données qui restent en France par exemple.