Swish : ce que Steph Curry peut nous apprendre sur la sécurité d'entreprise
Cet article a été initialement publié sur Forbes.com.
Les meilleurs professionnels de la sécurité sont ceux qui savent penser comme un hacker. Leur point de vue sur la défense repose sur une compréhension fondamentale de la manière de parcourir un système à la recherche de faiblesses pouvant être facilement exploitées. Y a-t-il des points d'entrée obscurs qui ne sont pas sécurisés ? Il suffit d'un appareil oublié avec des mots de passe par défaut et connecté au monde extérieur pour que les attaquants soient présents, malgré toutes les ressources consacrées à la protection de l'entrée principale.
C'est pourquoi les équipes de sécurité modernes ne se concentrent plus sur la porte d'entrée (c'est-à-dire le périmètre du réseau) et appliquent plutôt des techniques plus sophistiquées pour limiter les dommages que les criminels peuvent infliger. Ils prennent également en compte la valeur des actifs protégés, sachant que les attaquants ont tendance à emprunter la voie la moins résistante. Cela signifie qu'ils passeront à des solutions plus faciles, qu'il s'agisse d'une entreprise moins sécurisée, entre autres, ou d'un serveur moins sécurisé au sein d'une organisation.
Pour évaluer toutes ces variables, il est nécessaire de connaître toutes vos applications et données critiques, leur localisation et toutes les voies qui s'y connectent. Lorsque vous savez où se trouvent les cibles les plus importantes et quelles sont les voies qui y mènent, vous pouvez prendre des décisions intelligentes quant à la priorité de vos efforts défensifs. Maintenant tu penses comme un hacker.
Alors, comment renforcer la sécurité dans cet environnement ? L'une des techniques consiste à réduire les chemins d'attaque disponibles. L'endroit le plus sûr pour vos objets de valeur (vos applications et vos données) serait un bunker souterrain renforcé, entouré de gardes armés et de lasers (si vous voulez construire un bunker, vous devez avoir des lasers). Il n'y a qu'un moyen d'entrer et le coût d'entrée est élevé pour l'attaquant, ce qui signifie qu'il est susceptible d'aller ailleurs. Cela peut protéger vos actifs, mais ce n'est pas une option abordable ou pratique.
Une façon d'y penser est d'utiliser une analogie avec le monde réel. Supposons que vous soyez dans le secteur de la sécurité physique et que votre travail consiste à protéger Steph Curry lorsqu'il prononce un discours dans un lieu local. Vous ne pouvez pas facilement contrôler la salle, car beaucoup de monde doit entrer et sortir, et vous ne pouvez pas cacher Steph dans un bunker parce que le but est que les gens le voient. Cela s'apparente au problème auquel est confronté un directeur des systèmes d'information (CIO) ou un responsable de la sécurité informatique (CISO) chargé de sécuriser un centre de données d'entreprise ou un cloud.
Ce que nous pouvons faire, c'est évaluer tous les points d'accès possibles au site et verrouiller ceux dont nous n'avons pas besoin. Peut-être que les deux portes latérales et l'une des portes arrière ne sont pas nécessaires, afin que nous puissions les barricader complètement. La porte arrière restante n'est peut-être ouverte qu'à Steph et à son équipe et nécessite un badge pour y accéder. Le seul point d'entrée public est désormais les portes d'entrée du site, où nous installons cinq détecteurs de métaux.
Nous avons ainsi considérablement réduit la surface d'attaque en analysant toutes les voies et en décidant lesquelles nous pouvons bloquer et où nous limiterons l'accès. Dans le monde de la sécurité, nous appliquons la même technique aux données et aux applications, en identifiant toutes les voies possibles et en fermant toutes les voies, sauf celles qui sont essentielles. La microsegmentation applique le principe du moindre privilège pour y parvenir dans les centres de données et le cloud. Elle est utilisée par les entreprises pour sécuriser certaines des applications et des données les plus sensibles au monde.
Mais que se passe-t-il lorsque vous découvrez que deux de vos détecteurs de métaux ne fonctionnent pas et que les files d'attente pour l'événement commencent à faire le tour du pâté de maisons ? Est-ce que vous affaiblissez votre sécurité pour faire avancer les lignes, ou donnez-vous la priorité à la sécurité de Steph ? Je répondrai à ces questions dans deuxième partie de cette série.