Mai 11, 2020

Repenser la securite des SI ouverts

Nico Popp Chief Product Officer

Nous parlons beaucoup de la sécurité centrée sur l’homme chez Forcepoint. De quoi s’agit-il ? Pour nous, il s’agit du passage d’une vue périmétrique vers une vision qui part de l’intérieur du SI.

Nous parlons beaucoup de la sécurité centrée sur l’homme chez Forcepoint. De quoi s’agit-il ? Pour nous, il s’agit du passage d’une vue périmétrique vers une vision qui part de l’intérieur du SI.

Dans l’approche périmétrique, nous continuons à ajouter des couches de sécurité de type pare-feu, protection des terminaux, passerelles de sécurité web et e-mail, antivirus, SOC et d’autres protections extérieures. Nous poursuivons ces stratégies, mais elles ne fonctionnent pas.

En tant qu’industrie, nous avons dépensé 5 billions de dollars pour construire des murs sur plusieurs décennies. Malgré cela, près de 95 % des entreprises ont été piratées d’une manière ou d’une autre. C’est inacceptable.

Les trois phases d’une brèche de sécurité

Afin de comprendre pourquoi nous dépensons autant d’argent et percevons de si mauvais résultats, il est utile d’examiner comment une faille de sécurité moderne se produit. Chaque cas se présente en trois temps : une période pré-incident, la période de compromission elle-même et une période post-incident. Dans un modèle de cybersécurité périmétrique, nous consacrons la plupart de nos ressources à ne chercher que des menaces externes à bloquer. Nous identifions les indicateurs de compromis venant de l’extérieur. Nous pouvons arrêter les attaques de force brute sur les pourtours de notre système. Pourtant, des attaques se produisent toujours.

En réalité, aujourd’hui les failles se révèlent en grande majorité dans une configuration interne. Ce sont des menaces sous forme d’employés négligents, malveillants ou compromis.

Dans un cas typique, la phase initiale dure de deux à trois mois. C’est la phase de déroulement des activités néfastes, celles qui se concentrent sur le vol de données. Il faut généralement plusieurs mois aux entreprises misant sur la protection périmétrique pour comprendre qu’elles ont été compromises, étant donné qu’elles cherchent au mauvais endroit.

L’approche qui part de l’intérieur se concentre sur les utilisateurs, les données et les comportements

En revanche, l’analyse tournée vers l’activité interne consacre beaucoup de temps et de ressources à la compréhension des activités à l’intérieur du réseau. Il s’agit d’une approche centrée sur la compréhension des utilisateurs, des données et des comportements.

  • Comprendre les utilisateurs - Quelles applications utilisent-ils quotidiennement ? À quelles données ont-ils accès ? Quels appareils utilisent-ils ?
  • Comprendre les données - Comment elles circulent, comment elles se déplacent à travers le réseau, d’un VPN à un utilisateur, au cloud, directement des appareils au cloud, etc.
  • Comprendre les comportements - Par une journée typique, comment un employé accède-t-il aux applications et aux données dont il a besoin ? Combien d’appareils utilisent-ils ? Où stockent-ils les fichiers de travail et d’où accèdent-ils généralement à ces fichiers ?

Ces trois facteurs sont réunis dans notre approche fondée sur les risques en matière de cybersécurité. Pour nous, il s’agit de les analyser pour établir un score de risque pour chaque utilisateur. Ce score de risque sert ensuite à évaluer si nos utilisateurs opèrent au sein du seuil de risque que nous sommes prêts à tolérer en tant qu’organisation. Tant que les utilisateurs n’enfreignent pas les garde-fous, ils sont libres de faire ce qui leur semble utiles dans le cadre de leur travail. Toutefois, s’ils franchissent le seuil de risque, c’est à ce moment-là que la sécurité les arrête automatiquement.

Le niveau et le rôle d’un utilisateur, ainsi que son département, vont déterminer le niveau de données et d’applications auquel il a accès. Comprendre le comportement aide à définir le seuil de risque. Les comportements anormaux, comme l’accès et l’envoi de fichiers volumineux voire plusieurs fichiers à différents emplacements de stockage, deviennent des déclencheurs pour arrêter ou enquêter sur l’activité.

Tout en analysant l’activité interne, il faut toujours investir dans la protection du périmètre, et tout ce que cela implique. Cependant, puisque nous ne pouvons pas ignorer que toutes les violations sont produites en interne, nous devons aller au-delà des menaces externes et regarder de plus près l’utilisateur, la donnée et le comportement dans notre approche de la sécurité ! Pour nous, cela signifie une plate-forme qui combine le périmètre, les données et la protection des utilisateurs, orchestrée par de puissantes analyses comportementales. En effet, c’est la base de ce que nous appelons la sécurité centrée sur l’homme.

Nico Popp - Forcepoint Chief Product Officer

Nico Popp

Chief Product Officer

Nico Popp is the Chief Product Officer (CPO) for Forcepoint. Popp oversees the global execution and strategic evolution of Forcepoint’s human-centric cloud security platform. This includes leadership of all product development, management and innovation across Forcepoint products as well as...

Read more articles by Nico Popp

À propos de Forcepoint

Forcepoint est une entreprise leader en cybersécurité pour la protection des utilisateurs et des données. Son objectif est de protéger les entreprises tout en stimulant la transformation et la croissance numériques. Nos solutions s’adaptent en temps réel à la façon dont les personnes interagissent avec les données, et offrent un accès sécurisé tout en permettant aux employés de créer de la valeur.