Quelle stratégie de sécurité pour l’infrastructure IT ?

Alors que, d’après Gartner, 87 % des dirigeants d’entreprise affirment que la digitalisation est une priorité, les décideurs IT sont plus réservés sur leur capacité réelle. Ainsi, 39 % d’entre eux seulement pensent que leur infrastructure réseau est capable de supporter la vision stratégique de leur organisation.

Ouverture

Cela s’explique notamment par l’historique des infrastructures ainsi que par la complexité croissante de la sécurité des réseaux liée à l’extension du périmètre IT de l’entreprise. En effet, les architectures réseaux classiques étaient construites autour d’un centre de données hébergeant l’ensemble des applications, tandis que les flux de données étaient très centralisés et facilement contrôlables. De même, l’accès à internet se faisait par le biais de ce centre de données. 

Or le développement des applications SaaS et de l’Infrastructure-as-a-Service (IaaS) a changé la donne, en permettant l’accès direct au niveau des filiales et des utilisateurs, ce qui a créé des flux directs vers les ressources IT de l’entreprise. En outre, le déploiement d’applications digitales (dont l’IoT) a généré des flux additionnels pour gérer et maintenir ces dernières par des prestataires externes. En parallèle, le développement du télétravail a participé à cette multiplication des flux, comme l’illustre une étude IDC qui note que la demande de solutions VPN pour le télétravail est 22 % supérieure à celle enregistrée avant la pandémie.

Zéro confiance

En d’autres termes, la multiplication des flux et des ressources rend le périmètre de l’entreprise difficilement identifiable. Cela décuple également les points d’entrée possibles pour les acteurs malveillants. D’ailleurs, les experts d’Orange ont observé que 35 % des incidents de sécurité enregistrés en 2021 étaient liés à une anomalie réseau ou applicative. Dans une typologie de réseau de plus en plus complexe, il devient dès lors essentiel de contrôler l’accès aux ressources IT de l’entreprise sur base de zéro confiance dit « Zero Trust Access ».

A l’inverse du modèle traditionnel offrant l’accès aux terminaux situés dans le périmètre ou leur accès au VPN, le modèle « Zero Trust » défend l’authentification à plusieurs facteurs. Cela signifie que l’accès aux ressources s’obtient sur les bases suivantes : 

• Contrôle de l’identité du terminal : est-il listé dans les actifs de l’entreprise ?
• Vérification de l’intégrité du terminal : conformité avec les standards définis (ex. OS installé) ;
• Authentification de l’utilisateur : s’assurer que le terminal est bien contrôlé par une ressource vérifiée.

Au-delà du pare-feu

Compte tenu de l’élargissement du périmètre de l’entreprise ainsi que de la migration vers le cloud – IDC prévoit que plus de 50 % de l’IT sera hébergé dans le cloud d’ici 2023 et qu’il s’agit d’un moyen efficace d’optimiser les dépenses en minimisant l’investissement en capital – et du déploiement massif du travail à distance comme nouvelle norme, la protection des infrastructures doit intégrer de nouveaux composants à sa protection du réseau :

• Web Application Firewall pour les IaaS ; 
• CASB pour les SaaS ;
• EDR pour détecter des incidents affectant les terminaux ;
• Sandbox pour lutter contre les attaques sophistiquées de type 0-Day.

A plus long terme, l’entreprise devra probablement s’intéresser au concept de SASE décrit pour la première fois par Gartner en 2019. Ce Secure Access Service Edge tend en effet à intégrer la fonction de Software Defined Network et celle de sécurité réseau dans un modèle IT centralisé dans le cloud.