D’une défense périmétrique à une défense data centric

Les types de défense

Qu’est-ce que la défense ou le modèle data centric ?

Pour comprendre, il faut en revenir aux fondamentaux. Les experts ont longtemps envisagé la sécurité informatique comme un château-fort : sécuriser les éléments stratégiques (personnes et infrastructures) des attaques extérieures.

Cette manière de protéger les éléments essentiels a été transposée à la sécurité informatique. En effet, lors de son développement, les informations n’avaient pas pour vocation à quitter le système d’information sous la forme d’un réseau privé local. L’objectif était d’assurer la sécurité de ses frontières avec la mise en place de différents systèmes de sécurité en fonction des points d’entrée. C’est ce qu’on appelle la défense périmétrique, ou « perimetric security ».

Cette défense périmétrique a évolué vers la défense en profondeur, un terme issu du langage militaire. Celle-ci envisage la sécurisation des éléments à protéger par la mise en place de plusieurs lignes de défense. On reste cependant dans l’optique d’une attaque externe.

Or, il s’est avéré que ces défenses n’étaient plus suffisantes au regard des nouveaux usages d’échange de données.

C’est là qu’intervient la sécurité centrée sur les données, ou data centric security. Elle met l’accent sur la sécurité de la donnée elle-même plutôt sur celle du système d’information d’un réseau local. Peu importe où elle se trouve, l’information doit être sécurisée.

La défense périmétrique : une sécurisation nécessaire mais insuffisante

La défense périmétrique se matérialise par l’accumulation de plusieurs mécanismes de sécurité. Ils permettent d’assurer la sécurité des frontières du système d’information, en définissant ce qui peut entrer ou sortir.

La première étape d’une défense périmétrique, qui existe depuis plus de 25 ans, sont les pare-feux. Les premiers d’entre eux, les proxys, permettent de contrôler les entrées et sorties d’un réseau local. Ils ont ensuite évolué pour sécuriser la connexion entre des réseaux. Puis, la mise en place de systèmes de détection d’intrusion permet de contrôler et d’autoriser le trafic entrant, en fonction des zones de confiances identifiées, par des règles de sécurité prédéfinies.

A ces pare-feux ont été ajoutées en parallèle des zones démilitarisés ou « DMZ ». Les réseaux qui nécessitent un accès internet étant plus sensibles aux actions malveillantes, les DMZ servent de « zone tampon ». Celles-ci protègent un réseau local sécurisé tout en permettant sa communication vers internet, par principe beaucoup moins fiable.

Les réseaux privés virtuel ou « VPN » permettent également de sécuriser l’accès aux informations. Ils établissent une connexion chiffrée permettant l’envoi de données via internet, en assurant leur confidentialité et intégrité.

Il existe de nombreuses autres solutions permettant la mise en place d’une défense périmétrique. Mises bout-à-bout, elles permettent de disposer d’une défense en profondeur de qualité. On peut citer les antivirus et leur évolution vers les EDR/EPP/XDR, le durcissement (ou « hardening »), ou encore les authentifications multi-facteurs qui deviennent la norme. Tous ces moyens permettent d’encadrer ou limiter les accès au système d’information. Néanmoins, elles ne permettent pas de sécuriser les données elles-mêmes.

Or aujourd’hui, les échanges de données ne s’arrêtent plus à la frontière de l’entreprise. Les données peuvent circuler n’importe où, et nécessitent d’être accessibles partout, par des utilisateurs pouvant être à distance, d’une autre entreprise, etc. Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) « les mesures traditionnelles de sécurisation du système d’information telles que les pare-feu, le cloisonnement (physique ou logique) ou les VPN, rencontrent des limites ».

La mise en place d’une défense « de l’extérieur vers l’intérieur » est toujours efficace, mais est devenue insuffisante. Elle doit donc faire une place à une protection « de l’intérieur vers l’extérieur » qui se concentre sur les données.

Au-delà de la défense périmétrique : vers une sécurité centrée sur les données, dite data centric

Aujourd’hui, les usages de l’informatique sont bouleversés, tant sur les aspects techniques qu’organisationnels. L’évolution technique est constante : cloud computing, appareils mobiles appartenant à l’entreprise ou non (BYOD), internet des objets (IoT)… L’organisation du travail se décentralise des espaces de travail classiques vers des modes alternatifs (télétravail, espaces de coworking…). Les échanges d’informations, de documents, de données avec des tiers (prospects, clients, partenaires, prestataires, autorité, etc) sont toujours plus nombreux. Dès lors, les organisations ont besoin d’une sécurité qui protège leurs données où qu’elles soient et quel que soit le type d’appareil sur lequel elles se trouvent. La sécurité périmétrique est dès lors insuffisante. D’où la nécessité d’une sécurité centrée sur les données. La sécurité des données est par définition une pratique qui vise à les protéger contre les accès non autorisés (confidentialité), leur altération (intégrité) et leur disparition (disponibilité). Et cela tout au long de leur cycle de vie.

Dans un premier temps, pour mettre en place une sécurité sur les données, il est nécessaire de les identifier et les classifier selon des règles spécifiques et pertinentes. Les systèmes de sécurité s’appuieront ensuite sur cette classification pour les protéger de manière appropriée. Cette classification est souvent déterminée sur 4 niveaux : secret, confidentiel, général et public (du plus critique au moins sensible).

Une fois ces données classifiées, il faut s’assurer que seules les personnes habilitées puissent avoir accès aux données en fonction de leur besoin d’en connaître. C’est la gestion des identités et des accès ou « IAM ». En complément, le modèle « Zero Trust » permet d’aller plus loin en réduisant la « confiance implicite » accordée aux utilisateurs. Il permet d’améliorer considérablement la sécurité des accès aux ressources et aux services.

En complément de la gestion des identités et des accès intervient le chiffrement, élément fondamental de la sécurité des données. Le chiffrement permet de maintenir la confidentialité des données quel que soit l’appareil utilisé, même lorsqu’elles sont déplacées ou partagées. Il peut être appliquée aux données « au repos », lorsqu’elles sont hébergées sur des supports et ne sont ni utilisées, ni transférées ; ou en « en transit », lorsqu’elles sont partagées entre des appareils, au sein de réseaux privés, ou sur encore Internet. Cependant, bien qu’essentiel, le chiffrement « classique » risque d’être dépassé par la puissance de calcul des ordinateurs quantiques. L’ANSSI met d’ailleurs en garde le chiffrement classique au regard de la puissance de calcul quantique. L’agence considère ainsi qu’il faut d’ores et déjà se préparer à la « cryptographie post-quantique ».

Une fois que l’accès aux données est encadré et que les données sont chiffrées (au repos ou en transit), il faut s’assurer qu’elles ne puissent pas être partagées de manière accidentelle ou malveillante. C’est à ce moment qu’interviennent les moyens de prévention de la fuite des données ou « DLP ». Il s’agit d’un ensemble de solutions (technique, process, etc) qui permettent de surveiller les flux sortants et de prendre des mesures de protection (alertes, quarantaine, blocage, etc).

Comme pour la défense périmétrique, il existe de nombreux moyens supplémentaires afin d’assurer la sécurité de la donnée dans le modèle data centric. Par exemple, sensibiliser les utilisateurs ou mettre en place une gestion des informations et des événements de sécurité (SIEM).

Tous ces éléments participent à la mise en place d’une gouvernance des données. Cette gouvernance permet une gestion cohérente des données afin d’assurer leur fiabilité et leur sécurité. Elle permet également de renforcer la conformité aux réglementations et normes sur la protection des données à caractère personnel (RGPD en Europe, LGPD au Brésil, ou encore la norme ISO27701), ou ses dérivés dans le domaine médical (HIPAA aux USA), sur la sécurisation des cartes de paiement (PCI-DSS en France), etc.

En fonction de la criticité des données, il est parfois envisagé de restreindre son accès uniquement depuis un réseau local sécurisé. Disposer d’une défense périmétrique reste donc essentiel à la sécurité de ce type de données. La défense centrée sur les données (data centric) vient donc bien en complément de la défense périmétrique. Elle permet d’assurer la sécurité de la donnée directement, peu importe où elle se trouve, et permet de s’adapter aux évolutions technologiques et organisationnelles.

Écrit par Nicolas Charvin.