Par le Dr Thomas P. Keenan, FCIPS, I.S.P., ITCP en collaboration avec Ron Murch, I.S.P., ITCP – tous deux de l’Université de Calgary.
Au cours d’une session dirigée par Derek Manky, chef de Security Insights, FortiGuard Labs, et modérée par Bobby Singh, CTO et CISO pour le groupe TMX, un groupe de CISO a abordé certaines questions urgentes en matière de gestion des identités, notamment en ce qui concerne l’Internet des objets et la technologie 5G.
COMMENT NOUS SOMMES ARRIVÉS ICI
“En remontant au début des années 2000, nous avons vu certaines menaces initiales”, a déclaré Derek Manky, de FortiGuard. “Vers 2010, nous avons vraiment commencé à voir plus d’appareils mobiles sur le réseau, par exemple avec l’essor d’Android. Aujourd’hui, nous sommes dans un monde d’appareils BYOD et IoT, et les problèmes ont augmenté en nombre et en complexité”.”
Il a averti que nous avons maintenant tous ces appareils qui accèdent à nos réseaux, nous devons donc penser à d’autres stratégies IAM (Gestion des identités et accès) au-delà de “vous ne pouvez pas faire fonctionner cet appareil”. Nous devons maintenant nous préoccuper sérieusement de savoir quels appareils sont utilisés, qui les utilise, où ils se trouvent, et s’ils sont correctement segmentés/isolés dans nos réseaux.
L’INTERNET DES CHOSES
Manky a rapporté que “nous [les laboratoires FortiGuard] surveillons 100 millions de menaces par jour. Au cours des cinq dernières années, les six principales menaces quotidiennes sur dix étaient liées à l’IdO : imprimantes, routeurs standard, caméras de sécurité IP, etc. Malheureusement, il est encore assez facile de les pirater et elles servent de tremplin pour des attaques latérales”.
Avoir des protocoles sécurisés n’est pas suffisant puisque “Vous pouvez avoir tous les protocoles sécurisés du monde, mais vous devez penser à l’analyse de votre réseau central”. Le facteur humain intervient ici en raison de l’ingénierie sociale – les gens intelligents attaquent les gens. Un participant a fait remarquer que “le maillon faible est toujours l’utilisateur”. Nos plus grands risques viennent toujours de l’intérieur, de quelqu’un qui va là où il ne devrait pas aller, qui ne suit pas le processus, qui clique sur un e-mail”.
Il existe de nombreux exemples de personnes bien intentionnées qui ne pensent pas aux conséquences et qui font des choses qui s’avèrent très stupides. Un excellent exemple est celui d’un système de contrôle d’accès à une prison conçue pour être hautement sécurisée et construite sans connexion Internet. Il a été complètement occulté du monde extérieur. Le concepteur est revenu trois mois plus tard et a constaté qu’une carte réseau avait été installée. La direction de la prison avait une explication en quelque sorte : “Les gardiens de la prison avaient beaucoup de temps libre, alors ils commandaient de la nourriture pour les prisonniers, mais cela les obligeait à utiliser Internet”. Les gardiens ont également utilisé leur nouvelle connectivité pour regarder des vidéos, dont certaines étaient de goût douteux. Bien sûr, les logiciels malveillants sont vite arrivés, et le système carcéral “sécurisé” a été compromis.
Un CISO a déclaré : “Je ne pense pas que nous reviendrons un jour à un monde ‘d’air-gap’, mais nous pouvons faire de la segmentation et utiliser une stratégie de défense en profondeur”.
DISPOSITIFS DE CONTRÔLE
Il ne fait aucun doute que de nombreux appareils de terrain sont ajoutés et qu’ils génèrent des masses de données. Il y a une tendance inquiétante à acheter le matériel le moins cher par opposition à ceux dont la sécurité est plus contrôlée. Cela pourrait être coûteux à long terme.
Nous avons absolument besoin d’analyses d’utilisation dans ce type d’environnement. Les méchants cherchent toujours la voie la plus facile pour compromettre un système. “Il est plus difficile d’accéder aux transmissions par micro-ondes que de placer un malware sur un appareil et de collecter directement les données de l’appareil”, a noté Manky.
INFRASTRUCTURE À CLÉ PUBLIQUE (PKI)
Il y a une dizaine d’années, l’ICP était présentée comme la solution ultime pour la gestion de l’identité. Aujourd’hui, nous entendons parler de la chaîne de blocage. Quelle est la meilleure solution?
Un CISO a expliqué que “nos utilisateurs ne veulent pas de la complexité de l’ICP pour 99 % de ce qu’ils font. Nous pourrions utiliser Signal maintenant et obtenir plus de sécurité, mais ce n’est pas flexible en fin de compte, par exemple si nous voulions déplacer des fichiers dans les deux sens ou pour la conformité réglementaire”. La meilleure réponse est d’éduquer les utilisateurs.
Le même participant a noté que “Nous autorisons l’accès à distance à notre réseau d’entreprise. Cela nécessite un ordinateur portable créé par notre service informatique et les utilisateurs doivent ensuite fournir une authentification à plusieurs facteurs”. Si les utilisateurs sont maintenant distants et responsables de leur propre environnement de sécurité, comment peut-on être sûr que l’utilisateur n’a pas involontairement compromis notre environnement par ses actions dans son propre environnement?
5G
Lorsque le monde adoptera pleinement la 5G et utilisera l’IPv6, une pile de sécurité technique bien différente sera intégrée. Cependant, nous n’avons pas encore testé cela dans le monde réel. C’est une épée à double tranchant. Vous avez des dispositifs qui se connectent d’égal à égal de manière ad hoc, et il s’agit alors de savoir comment vous allez inspecter cela. Lorsque nous entrerons dans le monde de la 5G, ce ne sera pas plus facile ! Nous parlons de plus de dispositifs, de vitesse plus rapide, de plus de vulnérabilités et, évidemment, de plus de défis.
Nous ne pouvions pas éviter la question de savoir qui devrait être autorisé à construire le réseau 5G d’un pays. Manky a adopté une position neutre mais a déclaré : “si vous y réfléchissez bien, n’importe quel réseau pourrait être utilisé à des fins malveillantes. Je peux vous dire (matériel de technologie des communications) des entreprises comme celle-ci auront beaucoup de données, il y aura donc toujours un bras ou une connexion. ” Il a également été noté qu’un acteur malveillant pourrait en théorie lancer une attaque par déni de service à distance sur l’infrastructure 5G d’un pays. Un sondage du groupe sur la question «Le Canada devrait-il permettre à Huawei de construire des parties de son infrastructure 5G?» a abouti à 75% de ceux qui ont voté “non”.
ESSAIMS DE ROBOTS INTELLIGENTS
Cela implique des essaims de robots intelligents qui communiquent entre eux en temps réel pour attaquer les systèmes. Ils peuvent obtenir des informations auprès de moteurs de recherche spécialisés comme Shodan, qui recherche des ports et des services ouverts. C’est définitivement une menace à l’horizon dont il faut s’inquiéter. La défense nécessite des informations partagées et exploitables entre les solutions de sécurité.
La présentation RSA 2018 de Derek Manky sur ce sujet est disponible à: https://www.rsaconference.com/industry-topics/presentation/order-vs-mad-science-analyzing-black-hat-swarm-intelligence
CONFIANCE À ZÉRO PEUT ÊTRE LE CHEMIN À SUIVRE
L’un des CISO a très bien résumé la situation comme suit:
“Je préconise la confiance zéro depuis quelques années et c’est un défi d’obtenir l’adhésion au niveau exécutif, mais maintenant les gens voient ce que la confiance zéro pourrait faire. Désormais, 30% de nos effectifs sont effectivement sur zéro confiance car ils utilisent des services cloud. Cela fonctionne beaucoup plus efficacement que d’avoir à les intégrer dans [notre] réseau d’entreprise.”
Le même participant a noté que “les voyageurs vivent une expérience radicalement différente. J’essaie d’arriver à une expérience cohérente où que vous soyez. Dès que je suis passé à Office 365, nous avons intégré la micro-segmentation et nous cherchons une confiance zéro pour tout le monde. Nous serons hors des centres de données et j’espère aussi notre réseau d’entreprise dans deux ans.”
Un autre CISO a indiqué que son entreprise était “native du cloud”.
AVONS-NOUS BESOIN DE PARE-FEU DE PLUS?
Le problème s’est définitivement déplacé vers le point final. Comme l’a dit un participant, “Ce que je suis vous avez du mal à gérer vos appareils, vous utilisez peut-être votre ordinateur portable personnel, comment savoir qu’il n’est pas piraté parce que votre enfant jouait à un jeu dessus? Je dois simplement traiter l’appareil comme un appareil non fiable.”
CONCLUSION
Le consensus de cette session semble être que la technologie à elle seule ne permettra pas de répondre pleinement à nos défis actuels et futurs. Une bonne cybersécurité a une forte composante sociale – nous pouvons tirer parti des capacités technologiques pour nous aider, ainsi que nos données, à «rester en sécurité», mais la réalité est que chaque individu doit avoir une bonne appréciation bien informée des risques et savoir comment les minimiser. Une vigilance constante est un peu comme «regarder des deux côtés avant de traverser la rue». Peu importe le côté de la rue emprunté par les véhicules ou le type de rue dans lequel vous vous trouvez – si vous regardez délibérément, vous pouvez reconnaître un véhicule en mouvement et vous savez ce qui se passera si vous marchez devant lui.