Technologies Sécurité : vers un nouveau modèle ?

Technologies de Sécurité
Technologies Sécurité : vers un nouveau modèle ?

Inutile de faire ici le pitch de l’internet, de la mobilité, du Cloud, du BYOD et des services SaaS… ni de rappeler les nouvelles menaces de cyber criminalité, le problème de la valorisation des données ou encore la dépendance maximale des entreprises vis-à-vis des SI… En 2013, la sécurité de l’information est engloutie sous une accumulation de technologies sécurité qui fait grossir les coûts.

Pas simple alors que la crise économique est bien installée et que les RSSI et DSI cherchent à rationaliser leurs budgets.

L’infographie ci-dessous résume bien les grandes évolutions qui président aux destinées du monde des entreprises et de leurs clients / consommateurs en 2013. Et qui se traduisent par des challenges de sécurité qui nous amènent à travailler sur les stratégies et politiques BYOx, la sécurisation de la mobilité et les analyses de risques pour définir ensuite des stratégies de DLP, de sécurité des applications sensibles ou de sécurité du Cloud.

Source : Nonprofit Tech Forecasts for 2013

 

Notre lecture des technologies sécurité en 2013

Le gros des technologies est maintenant en phase de maturité et elles sont proposées par des acteurs établis dont la liste serait trop longue à énumérer ici. Ce qui est intéressant, c’est :

  1. de noter celles qui commencent à être en déclin comme les Proxy, les AV, le filtrage d’email ou encore les antivirus. Ces technos sont amenées à être renouvelées ou à être associées avec d’autres. Par exemple, un antivirus doit maintenant faire du DLP, contrôler l’usage des périphériques ou sécuriser la connectivité du poste en mobilité ;
  2. de prendre en compte les technos qui sont en forte croissance, comme les solutions d’audit d’application, le Code Review, le NAC, ou encore la virtualisation d’applications ; et celles qui sont en phase de démarrage comme la sécurité du Cloud, la protection de l’image et de l’e-réputation ;
  3. et de remarquer que finalement, il y a peu de technologies de sécurité émergentes, en dehors du virtual patching ou l’analyse comportementale.

Sécuriser Mobilité et Cloud oui, mais comment ?

La mobilité et la sécurité du Cloud constituent le gros des chantiers sécurité en ce moment. Dans la première catégorie, il ne s’agit plus seulement de donner accès au BYOD mais de protéger les applications et les données qu’elles détiennent et d’aller enfin vers la virtualisation d’applications.

Côté Cloud, il faut bien sûr accompagner la migration des infrastructures mais aussi développer l’usage des services Cloud pour l’entreprise. Sachant qu’il y a aujourd’hui deux contraintes :

  • L’absence de solution de sécurité globale : le Cloud est multiforme (public, privé, hybride, SaaS…). Du coup, les entreprises doivent empiler les technologies pour couvrir la diversité des possibles. Et il est nécessaire de rationaliser cette approche.
  • La réversibilité et les contraintes légales pour lesquelles il n’existe encore aucune solution. Il faut le savoir, et faire une analyse de risques en conséquence.

A l’inverse, le monde du SaaS a maintenant une si bonne maturité que les solutions sont directement mises en œuvre par les métiers. Mais, du coup, elles ne sont plus visibles des DSI. Là réside vraiment le défi de sécurité car ces technologies SaaS sont toutes accessibles avec une authentification pour la plupart faible … et il est alors fondamental de mettre en œuvre une  solution d’authentification forte afin d’être certain de l’identité des utilisateurs de tels services.

DLP, un gros mot qui fait rire ?

Enfin, la surveillance et la protection contre les fuites d’information ou extrusions de données restent une priorité. Et il faut bien reparler de DLP. Une solution qui a perdu beaucoup de crédibilité à ses débuts en 2006 car elle était vendue comme miraculeuse en pouvant tout bloquer et car elle n’a pas résisté aux premiers tests. Mais qui mérite pourtant d’être réhabilitée, et même promue. Car non seulement le DLP fonctionne techniquement aujourd’hui, mais aussi il existe des bonnes pratiques et des démarches qui permettent d’identifier ce qu’il faut protéger et de générer ainsi de très bons résultats. Un bon projet DLP c’est avant tout un périmètre maitrisé et surtout bien connaitre ce qu’on veut protéger.

Sans oublier les technologies d’analyse des comportements et des flux qui viennent la compléter et permettent d’identifier les tentatives d’attaque par APT (Advanced Persistent Threat) dont les plus grandes entreprises (mais surement aussi les petites), les ministères et gouvernements ont été les cibles ces dernières années. Ne dit on pas « si votre entreprise n’a pas été la cible d’un APT c’est qu’elle ne vaut rien ou alors que vous avez déjà tout perdu » ?

La mort annoncée du modèle traditionnel.

En conclusion, les enjeux sécurité ne manquent pas ni les technologies.

Il n’en demeure pas moins que le marché est confronté à un vrai problème de croissance : les entreprises ne souhaitent plus accumuler toutes ces technologies, souvent mal implémentées et généralement sous-exploitées, et les coupes budgétaires sont à la mode. Du coup, le modèle traditionnel des éditeurs est fortement impacté. Et nous voyons apparaître une demande de plus en plus grande de solutions globales orientées « Services »  qui permettent à la fois de pérenniser l’utilisation des technologies dans les organisations (un souhait pour les éditeurs) et de proposer des formules d’abonnement plus compatibles avec la crise (un souhait des entreprises).

Un modèle répondant aux souhaits des vendeurs comme des clients n’est il pas un moyen de répondre à cette crise ambiante ?

Joseph Graceffa, Directeur Technique, Advens