Securite AssisesComme l’a dit Guillaume Poupard, Directeur Général de l’ANSSI, aux Assises de la Sécurité et des Systèmes d’Information : « la Cybersécurité n’est plus une option. Elle est la condition de la confiance et gage de réussite de la transition numérique ». NBS System, société experte en sécurité informatique, a toujours travaillé pour faire évoluer les mentalités sur le sujet ; elle voit donc la prise de conscience de l’importance de cette dimension dans les Systèmes d’Information comme un élément très positif !

Cela n’a pourtant pas toujours été le cas : la sécurité évolue en parallèle de la technologie. Il peut donc être parfois difficile de déterminer les points à surveiller dans un domaine en constante évolution, surtout pour des néophytes de la sécurité : comment alors les entreprises peuvent-elles sélectionner des prestataires Cloud sûrs ? Emile Heitor, Directeur du Research & Expertise Department, et Thibault Koechlin, lead pentester & RSSI, ont profité des Assises de la Sécurité et des Systèmes d’Information pour apporter quelques éléments de réponse.

Cet article est un résumé condensé de cet atelier ; vous pouvez accéder aux slides sur le compte Slideshare de NBS System, et la vidéo complète est disponible sur la chaîne Youtube de NBS System.

La sécurité informatique dans l’histoire

Au début de l’informatique, dans les années 1990, la tendance est à l’hébergement chez soi ; ce sont encore les balbutiements des SI tels qu’on les connaît aujourd’hui. Dans ce contexte, les menaces sont faibles et le peu de pirates existants font partie de l’élite : les attaques sont ciblées, demandent un fort niveau d’expertise, et impliquent souvent de l’ingénierie sociale. Elles sont trop rares pour qu’une défense s’organise : l’important, c’est que les systèmes fonctionnent.

DatacenterLes années 2000 marquent un premier changement : on quitte le paradigme du matériel « on premise » pour investir les centres de données, ou datacenters. On s’y connecte depuis chez soi, et ces liaisons entre le SI et l’Internet forment un nouveau point d’entrée pour les pirates. C’est le début de la démocratisation du piratage informatique et de l’exploitation de failles mémoire, et le balbutiement du commerce d’attaques ; malgré tout, les pirates potentiels ne représentent toujours qu’une infime partie de la population. La sécurité n’est donc toujours pas une priorité, mais l’on commence à prendre (difficilement) conscience des risques.

Comment sécuriser les machines virtuelles ?

Icone hyperviseurLe shift majeur arrive autour de 2010, avec la multiplication exponentielle des machines virtuelles. Cette technologie implique de nombreux risques informatiques qui n’étaient auparavant pas présents sur les SI : multiplication du nombre de machines « zombie » potentielles, perte de contrôle, shadow IT… La surface d’attaque est donc accrue, notamment par le biais du web, et en parallèle le niveau technique nécessaire aux attaques baisse, ce qui multiplie le nombre d’attaquants potentiels. C’est à ce moment que la sécurité informatique devient un sujet important, et aurait dû devenir un élément à part entière du processus de réflexion des acteurs du milieu. Nous avons dû cependant attendre nos jours pour voir apparaître de vraies politiques de patching, des audits, ou l’utilisation d’outils de sécurité efficaces. C’est un bon point, mais encore bien trop rarement mis en place.

La sécurité informatique des microservices

Et pourtant, à peine les entreprises se mettent-elles à jour que de nouvelles problématiques apparaissent déjà ! La tendance aujourd’hui, et qui formera probablement notre futur, est aux micro-services comme les conteneurs ou le serverless, qui apportent chacun, avec leurs avantages, leur lot de risques.

Protection informatique

Les conteneurs logiciels, par exemple, simplifient les processus et fournissent des chemins d’opération très puissants, et ont mis en place de bonnes pratiques comme l’intégration continue par exemple. Cependant, cette technologie a également ses failles, et peut notamment participer à la transmission de fausses idées, comme le fait que l’on n’ait plus besoin d’experts système car les développeurs suffisent. Or, ces derniers ne sont que très rarement formés aux problématiques de sécurité : on peut facilement tomber dans une illusion d’expertise.

Le serverless est également une technologie très élégante et utile, mais qui « déplace » les problématiques de sécurité. L’ensemble des outils est contrôlé par le prestataire, et l’entreprise se connecte seulement à une API. C’est cette dernière qui devient un nouveau point d’entrée pour les pirates, et c’est la gestion des permissions qui permet de se protéger. Cela donne la sensation que les risques sont moindres, mais en réalité ils n’ont pas changé…

Un nouveau modèle de la sécurité des systèmes d’information ?

Sécurité cycleLes technologies sont de plus en plus agiles, et nécessitent des modifications ou des montées en version plus régulières et instantanées. Avec les évolutions actuelles, on sort donc du modèle « run – build – check » où des tests périodiques sont faits régulièrement au cours de la durée de vie d’un projet. Les tests de sécurité doivent être inclus dans le nouveau système d’intégration continue, mais les problématiques restent les mêmes… Et le premier point à respecter, c’est d’être sévère sur les exigences et les contrôles effectués sur ses prestataires.

En réalité, il n’y a donc pas de réelle méthodologie pour évaluer la sécurité de son prestataire, mais plutôt des points à vérifier ou exiger autour de la disponibilité de votre application et la confidentialité, l’intégrité et la traçabilité de vos données.

Pour en savoir plus, regardez la vidéo complète de l’atelier !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.