La cybersécurité est un terme générique qui désigne les méthodes de défense des données numériques et du matériel informatique contre toute attaque malveillante. Chaque direction informatique doit accentuer ses efforts à la fois sur les processus, les individus et enfin sur la technologie. C’est à ce volet que nous nous consacrons. Des technologies adéquates sont en effet essentielles pour faire rempart contre les cyberattaques : IAM, threat intelligence, SIEM, pentest, SOC… Si ces termes ne vous évoquent rien, notre article vous aidera à y voir plus clair !
L’Identity and Access Management
Rencontré sous l’abréviation IAM, l’Identity Access Management ou gestion des identités et des accès en français désigne un processus métier qui gère les identités électroniques et numériques.
C’est grâce à l’IAM que l’accès des utilisateurs aux données sensibles et stratégiques peut être contrôlé par les DSI. Selon ses compétences et ses responsabilités au sein de l’entreprise, est attribué à chaque utilisateur un rôle et c’est en fonction de celui-ci que l’accès aux réseaux et aux systèmes est règlementé.
L’IAM repose sur le SSO (Single Sign-On ou l’authentification unique), l’authentification mutlifacteur et la gestion des accès web (WAM pour Web Access Management). Il comprend également une fonction de gouvernance des données afin de déterminer quelles données peuvent être partagées.
Voici les principales fonctionnalités de l’IAM :
- saisie et enregistrement des informations de connexions des utilisateurs ;
- administration de la base de données des identités des utilisateurs ;
- gestion des affectations ;
- simplification du processus de provisioning et de configuration des comptes.
Cloud et gestion des identités
Le cloud est certes moins coûteux, plus agile, plus simple techniquement, mais quelle sécurité des données garantit-il ? Autre point : comment continuer de gérer et d’administrer avec les installations sur site (on premise) ?
Le RGPD (Règlement Général sur la Protection des Données) impose de connaître les données sensibles des utilisateurs et de sécuriser leurs identités.
Le recours à l’IAM et au CIAM (Customer IAM) s’impose pour :
- accéder aux données utilisateurs ;
- traiter les données personnelles ;
- sécuriser les traitements des utilisateurs ;
- assurer la souveraineté des données utilisateurs.
Pour gérer simultanément deux référentiels, il est préférable de gérer les identités de façon centralisée dans un seul environnement. Une source autoritaire est ainsi clairement identifiée.
De plus en plus d’entreprises font aussi appel aux CASB, un agent de sécurité des accès au cloud afin de faire respecter les lois mises en place par les administrateurs du cloud. Cette technologie s’appuie sur 4 piliers :
- la visibilité sur l’ensemble des services cloud ;
- la conformité des données nouvellement transférées dans le cloud ;
- la sécurité des données ;
- la protection contre les menaces.
La Threat Intelligence
La Threat Intelligence constitue un des principaux aspects de la cybersécurité. Son rôle est d’identifier et d’analyser les cybermenaces, susceptibles de toucher une entreprise. La menace peut être qualifiée de réelle à partir d’un historique et c’est ensuite que des mesures peuvent être prises.
Une threat intelligence remplit les fonctions suivantes :
- empêcher la violation des données ;
- faciliter le déploiement de mesures de sécurité ;
- partager les schémas utilisés et les stratégies observées pour créer une base de connaissances.
Un programme efficace de Threat Intelligence doit :
- gérer les menaces de façon adaptée ;
- permettre d’obtenir un flux suffisant d’informations sur les menaces ;
- faciliter l’accès aux enquêtes ;
- apporter de vraies solutions.
Au cœur de cette technologie se trouvent le STIX (Structured Threat Information Expression) et TAXII (Trusted Automated eXchange of Indicator Information). STIX désigne un langage normalisé, interprétable par les machines pour le partage de renseignements entre organisations. TAXII est un protocole défini par deux services, la collection et les channels pour permettre le partage d’informations sur les cybermenaces au-delà d’une organisation.
La gestion des évènements et des informations de sécurité (SIEM)
Créé il y a plus de 10 ans, le SIEM est fondamental pour détecter les menaces qui planent sur l’intégralité d’un réseau et favoriser une réaction en temps réel. Pour fonctionner, un SIEM centralise toutes les données issues d’une infrastructure réseau, quelle que soit leur source :
- les périphériques réseau ;
- les serveurs ;
- les dispositifs de sécurité ;
- les applications.
Avec un logiciel SIEM, tous les types d’évènements sont analysés, des utilisateurs aux adresses IP, de la mémoire aux processus. Toutes les données qui se rapportent à ces évènements sont ainsi centralisées. Les meilleurs applicatifs de SIEM sont capables de :
- générer une vue d’ensemble des évènements importants ;
- fournir des détails de ces mêmes évènements ;
- tenir un registre des recherches en cours ;
- analyser les risques ;
- concevoir une intelligence des menaces ;
- donner des renseignements sur les utilisateurs ;
- fournir une intelligence web.
Un logiciel SIEM peut tout à fait être enrichi d’un service SOAR (Security Orchestration Automation and Response) afin d’améliorer son efficacité. Un SOAR répond à 3 principales fonctions :
- gérer les menaces et les vulnérabilités ;
- intervenir en cas d’incident de sécurité ;
- automatiser les opérations de sécurité.
Dans ce domaine de la détection et de la réponse aux incidents, on rencontre de nombreux acronymes en plus du SIEM. Profitons-en pour les définir brièvement afin de les distinguer :
- SOC (Security Operation Center) est le centre des opérations.
- EDR (Endpoint Detection Response) est un logiciel chargé de surveiller seulement les terminaux.
- NDR (Network Detection and Response) est un complément du SIEM et des EDR ; il détecte les comportements de pirates qui peuvent être cachés.
- XDR (Extended Detection and Response) regroupe et relie diverses données entre elles pour mieux se protéger.
- MDR (Managed Detection Response) désigne des solutions de détection et de réponse aux incidents gérées par un fournisseur).
Le pentest ou test d’intrusion
Se mettre dans la peau d’un attaquant pour analyser une cible : c’est la méthode du pentest ! Une cible peut se matérialiser par une adresse IP, une application, un serveur web ou un réseau. Le test d’intrusion ou encore test de pénétration se distingue de l’audit de sécurité par son aspect technique et pratique. Ces tests peuvent être effectués indifféremment lors de la conception d’un projet, pendant la phase d’utilisation et en suivant une cyberattaque.
C’est l’entreprise qui souhaite se tester qui prend l’initiative de réaliser ce type de test, soit depuis l’extérieur, via une connexion internet, soit depuis sa propre infrastructure.
Un pentest poursuit 3 objectifs principaux :
- L’identification d’une ou plusieurs vulnérabilités au sein d’un SI ;
- L’évaluation du degré de risque de chaque vulnérabilité ;
- La proposition prioritaire de correctifs.
Concrètement, un test d’intrusion présente 3 grands bénéfices :
- il détermine la sévérité de la vulnérabilité ;
- il qualifie la complexité de la correction ;
- il indique l’ordre de priorité à donner aux correctifs.
Le Bug Bounty, vous connaissez ? Apparu en 1995, ce système permet de déceler des failles de sécurité de manière continue. Il repose sur des « chasseurs de failles » ou hunters, qui depuis un peu partout dans le monde, testent et renforcent la sécurité des applis d’une organisation. On distingue deux programmes : le bug bounty managé et le non managé.
Et le test d’intrusion Red Team ? Se pratiquant sur plusieurs semaines, il consiste à évaluer la sécurité d’une entreprise et par conséquent, sa vulnérabilité en testant ses moyens physiques, humains, organisationnels et informatiques.
Le SOC (Security Operation Center)
Si le cloud a le vent en poupe, la question de la sécurité des applications et des données qui migrent vers lui est essentielle. Tout l’enjeu des DSI est de ne pas exposer plus qu’il ne faut les ressources IT aux multiples cybermenaces.
S’appuyer sur un SOC s’avère donc indispensable : c’est une plateforme dotée d’une unité de sécurité qui a en charge la surveillance d’un dispositif de sécurité d’une organisation.
Une équipe est en général entièrement dédiée à la sécurité des informations et en conséquence à la gestion de cette technologie. Cette équipe se compose d’analystes, d’ingénieurs et de managers en sécurité. Voici les principaux objectifs q ue le SOC suit :
- détecter, analyser et intervenir face aux incidents à l’aide d’outils et de process ;
- surveiller l’activité sur les réseaux, les serveurs, les terminaux, les sites web… ;
- s’assurer que les incidents soient clairement identifiés, soumis à une enquête et signalés.