22 / 02 / 2017
#Compte-Rendu

Cloud et sécurité : comment « construire un mur pour protéger un nuage » ?

  • Linkedin
A l’heure de la démocratisation du cloud et de la généralisation de l’IoT, comment une entreprise comme Microsoft orchestre-t-elle une sécurité « de bout en bout » ? Démonstration avec Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France, à l’occasion d’une keynote réalisée au Forum international de la cybersécurité 2017.

C’est par un e-mail, envoyé par Bill Gates à tous les collaborateurs le 15 janvier 2002, que «l’aventure de la sécurité a démarré de façon factuelle chez Microsoft», indique en préambule de son intervention au FIC 2017 Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France.

Un e-mail annonçant, en substance, le lancement d’une initiative : le Trustworthy Computing fondée sur quatre piliers fondamentaux : la sécurité, le respect de la vie privée, la fiabilité et les pratiques commerciales.

Depuis, quinze ans se sont écoulés, durant lesquels «le monde a beaucoup changé» : quinze années ponctuées de toute une série d’étapes «au cours desquelles on a beaucoup appris, notamment de nos erreurs, et progressé. On confie par exemple de plus en plus de technologies à nos concitoyens et à nos entreprises : il faut que ces technologies soient dignes de confiance.»

Mais pour être capable «de mériter cette confiance, nous devons nous engager sur plusieurs sujets de manière concomitante», précise Bernard Ourghanlian:

  • La transparence ;
  • Le respect de la vie privée ;
  • La conformité avec la loi et les règlements de certaines industries ;
  • La fiabilité ;
  • La sécurité.

Idella Maeland via Unsplash CC0

« Repenser l’architecture des SI de la conception à la mise en œuvre »

Sur ce dernier axe, l’entreprise a investi l’an dernier « un milliard de dollars, à travers le développement de nouveaux services et le rachat ciblé d’un certain nombre d’entreprises ; d’une part car les menaces ont évolué mais aussi parce qu’il est fondamental de repenser l’architecture des SI, de la conception à la mise en œuvre».

Pour preuve : plus de 160 millions d’enregistrements clients ont été compromis en 2015, selon le rapport de l’Identity Theft Resource Center, quand l’impact d’une brèche de sécurité, selon le Ponemon Institute, coûte en moyenne trois millions de dollars. Un chiffre, sur lequel insiste le Directeur Technique et Sécurité de Microsoft France : «D’après un rapport des experts en sécurité FireEye, il se passe en moyenne 229 jours entre l’infiltration du système d’information et la détection de la menace au sein de ce dernier.»

«Si l’on veut s’ouvrir aux opportunités, il faut ouvrir le SI vers d’autres environnements : le cloud, l’IoT…» Ce qui augmente la surface de vulnérabilité, et donc l’enjeu de sécurisation de ce dernier.

«Il est de plus en plus difficile de définir le périmètre du système d’information à l’heure où le cloud devient une réalité aussi tangible qu’intangible. Difficile de le définir, et donc de le sécuriser : comment construire un mur pour protéger un nuage ? Peut-être la notion d’identité numérique constitue-t-elle ce périmètre. »

Protection, détection et réponse : « les trois blocs d’une sécurité de bout en bout »

Mais comme le détaille Bernard Ourghanlian, il reste complexe d’expliquer que l’idée qu’un système d’information 100% sécurisé n’existe pas avec les exigences de sécurisation de notre époque – récemment démontrées, à titre d’exemple, par «l’actualité Dyn», une attaque DDoS réalisée par un botnet de plusieurs milliers d’objets connectés infectés par le virus Mirai.

Alors comment faire, cependant, pour sécuriser autant que possible un SI ? En s’appuyant sur «les trois blocs d’une sécurité de bout en bout» :

  • La protection de tous les points terminaux, depuis les capteurs jusqu’aux datas centers ;
  • La détection, en utilisant des signaux ciblés, l’analyse comportementale et l’apprentissage automatique ;
  • La réponse, pour passer plus rapidement de la découverte de la menace à l’action d’éradication de cette dernière.

Tout en n’oubliant pas que la sécurité n’est pas qu’affaire de technologie.

«Toute l’évolution de la stratégie de Microsoft en la matière repose sur les nouvelles capacités de détection portées par les progrès algorithmiques et des capacités de calcul et de stockage virtuellement infinies», précise-t-il.

Gabriela Parra via Unsplash CC0

D’où une approche de la sécurité «de bout en bout, fondée sur trois piliers: les données, les plateformes et les identités », dans une logique du terminal au cloud, à travers toutes les couches intermédiaires possibles – applications, points terminaux, datas centers…

«Pour lutter contre cette multiplicité de menaces, nous sommes désormais en capacité de lutter contre les attaques les plus avancées contre l’annuaire Active Directory (Advanced Threats Analytics – ATA) grâce au rachat de la société israélienne Aorato, en 2014, et donc créer un historique d’attaque permettant de remonter jusqu’à son origine», précise Bernard Ourghanlian.

De même, il est essentiel de protéger les «joyaux de la couronne» de son système d’information – à savoir ses données sensibles et confidentielles. Et pour cela, il est indispensable de classifier ses données et de recourir à une solution de gestion de droit numérique.

«Cela fait des années que Microsoft a mis en place des solutions de gestion de droit numérique. Malheureusement, ces solutions étaient généralement compliquées à mettre en œuvre pour un développeur : nous avons donc absorbé l’entreprise Secure Alliance Islands, qui permet d’apporter la capacité de labelliser automatiquement les données, et de les classifier selon une base définie dans l’entreprise, avec une interface homme machine beaucoup plus simple. »

Les partenariats : la clé d’une cybersécurité maîtrisée

Selon lui, les partenariats s’avèrent nécessaires si l’on veut adresser la question de la sécurité de bout en bout. Avec les fournisseurs de solution de sécurité, les entreprises et les Etats.

C’est aussi en ce sens que le groupe a lancé une unité transversale en matière de lutte contre le cybercrime, la Digital Crime Unit qui travaille en partenariat avec des acteurs tels que Kaspersky ou Symantec, mais aussi les forces de l’ordre telles que le FBI ou Interpol et les autorités judiciaires d’un certain nombre de pays. «Lorsqu’on dispose de suffisamment d’éléments pour remonter à la source d’un botnet, explique Bernard Ourghanlian, on essaie de démanteler le botnet en question afin de tenter d’assainir l’Internet»

Avant de préciser que Microsoft fait aussi partie, entre autres, de l’European Union anti-Phishing Initiative, en partenariat avec les Etats signataires. «La notion de partenariat est extrêmement importante sans laquelle on ne peut faire évoluer la cybersécurité. Car il ne faut pas oublier que c’est avant tout l’école de l’humilité», conclut-il.