Swish : Ce que Steph Curry peut nous apprendre sur la sécurité des entreprises

Cet article a été publié à l'origine sur Forbes.com.

Les meilleurs professionnels de la sécurité sont ceux qui peuvent penser comme un pirate informatique. Leur point de vue sur la défense est basé sur une compréhension fondamentale de la manière d'explorer un système à la recherche de faiblesses qui peuvent être facilement exploitées. Existe-t-il des points d'entrée obscurs qui ne sont pas sécurisés ? Il suffit d'un appareil négligé avec des mots de passe par défaut et connecté au monde extérieur pour que les attaquants puissent entrer, malgré toutes les ressources consacrées à la protection de l'entrée principale.

C'est pourquoi les équipes de sécurité modernes ne se focalisent plus sur la porte d'entrée (c'est-à-dire le périmètre du réseau), mais appliquent des techniques plus sophistiquées pour limiter les dommages que les criminels peuvent infliger. Ils prennent également en compte la valeur des actifs à protéger, sachant que les attaquants ont tendance à emprunter le chemin de la moindre résistance. Cela signifie qu'ils se tourneront vers les fruits les plus faciles à cueillir, qu'il s'agisse d'une entreprise moins sûre parmi d'autres ou d'un serveur moins sécurisé au sein d'une organisation.

Pour peser toutes ces variables, il faut connaître toutes vos applications et données critiques, l'endroit où elles se trouvent et tous les chemins qui y mènent. Lorsque vous savez où se trouvent les cibles de grande valeur et les chemins qui y mènent, vous pouvez prendre des décisions intelligentes quant à la priorité à donner à vos efforts défensifs. Maintenant, vous pensez comme un pirate informatique.

Comment renforcer la sécurité dans cet environnement ? Une technique consiste à réduire les chemins d'attaque disponibles. L'endroit le plus sûr pour vos objets de valeur (vos applications et vos données) serait un bunker souterrain renforcé, entouré de gardes armés et de lasers (si vous construisez un bunker, vous devez avoir des lasers). Il n'y a qu'une seule voie d'accès et le coût d'entrée pour l'attaquant est élevé, ce qui signifie qu'il est probable qu'il aille ailleurs. Cela permet peut-être de sécuriser vos actifs, mais c'est loin d'être une option abordable ou pratique.

Une façon d'y réfléchir est d'utiliser une analogie avec le monde réel. Supposons que vous travaillez dans le domaine de la sécurité physique et que votre tâche consiste à protéger Steph Curry lorsqu'il prononce un discours dans une salle de spectacle locale. Vous ne pouvez pas contrôler facilement le lieu, car de nombreuses personnes doivent entrer et sortir, et vous ne pouvez pas cacher Steph dans un bunker, car l'objectif est que les gens le voient. Cela s'apparente au problème auquel est confronté un directeur des systèmes d'information (DSI) ou un directeur de la sécurité des systèmes d'information (RSSI) chargé de sécuriser le centre de données d'une entreprise ou d'un nuage de données.

Ce que nous pouvons faire, c'est évaluer tous les points d'accès possibles au site et verrouiller ceux dont nous n'avons pas besoin. Peut-être que les deux portes latérales et l'une des portes arrière ne sont pas nécessaires, alors nous pouvons les barricader complètement. La porte arrière restante pourrait n'être ouverte qu'à Steph et à son équipe et nécessiterait un badge d'accès. Le seul point d'entrée du public est maintenant les portes d'entrée du site, où nous installons cinq détecteurs de métaux.

Nous avons ainsi réduit considérablement la surface d'attaque en analysant toutes les voies d'accès et en décidant lesquelles nous pouvons bloquer et où nous limitons l'accès. Dans le domaine de la sécurité, nous appliquons la même technique aux données et aux applications, en identifiant toutes les voies d'accès possibles et en les fermant, sauf celles qui sont essentielles. La micro-segmentation applique le principe du moindre privilège pour y parvenir dans le centre de données et le nuage. Elle est utilisée par les organisations pour sécuriser certaines des applications et des données les plus sensibles au monde.

Mais que se passe-t-il lorsque vous découvrez que deux de vos détecteurs de métaux ne fonctionnent pas et que les files d'attente pour l'événement commencent à s'étirer autour du pâté de maisons ? Faut-il affaiblir la sécurité pour maintenir les files d'attente, ou donner la priorité à la sécurité de Steph ? Je répondrai à ces questions dans la deuxième partie de cette série.