Dans un précédent post il y a quelques semaines, j’ essayais modestement d’ expliquer quelles étaient les stratégies qui permettent de faire face à l’ accélération technologique dont nous sommes acteurs et spectateurs depuis 40 ans.
On pourrait même parler d’ accélération de l’ accélération, car sans vouloir grimer des chercheurs célèbres, souvenez vous, si on « calque » l’ évolution de l’ homme sur une petite année pour tenter de maitriser l’ échelle du temps, le premier hominidé apparait sur terre en janvier, invente le feu en octobre, et marche sur la lune dans les dernières secondes ou millisecondes de cette année fictive !
Une vision ayant fait ses preuves pour faire face à cette accélération résidait en trois étapes stratégiques, souvenez-vous:
Simplifier, Ouvrir et Sécuriser les architectures - On constate depuis quelques mois que la sécurisation passe de preference par l' ouverture et la simplification des architectures des réseaux de données:
- Simplifier pour mieux prévoir, comprendre et identifier les failles potentielles - on intègre, maitrise et modifie que ce que l' on comprend aisément.
- Ouvrir - choisir des solutions ouvertes et compatibles pour autoriser une interoperabilite totale avec l' existant dans l' entreprise, aussi pour permettre l’ interaction des éléments de sécurité entre eux, éléments qui existent souvent déjà dans l’ entreprise mais ne sont pas suffisants pour faire face à cette accélération.
Cette accélération arrive d' ailleurs à un point tel que les ressources humaines, même si elles n’ étaient pas grignotées années après années dans les entreprises, ne pourraient matériellement plus faire face à la surveillance en temps réel de l’ augmentation des process automatiques (IoT) générant une quantité impressionnante de données. Pour exemple, 2,36×1021 bits (295 exaoctets) ont été stockes entre 1986 et 2007, et le seul trafic internet mondial en 2016 a dépassé de 10 fois cette quantité. Certains IoT comme des capteurs d’ informations en environnement industriel génèrent plusieurs gigas d’ informations par jour, et ils sont déployés par centaines de milliers. depuis l’ année dernière, le nombre d’ IoT simples dans le monde a dépassé le nombre d’ humains sur terre …
De plus, dans beaucoup d’ entreprises, la gestion de la problématique de l’IoT est systématiquement refusée par l’ équipe IT par manque de moyens, reconnaissance ou peur des responsabilités, quand son existence même au sein du réseau IP n’ est pas ignorée. C’ est la raison pour laquelle on peu raisonnablement envisager deux nouvelles étapes supplémentaires ....
l’ adaptabilité et l’ automatisation des processus de surveillance ...
En effet, le système de contrôle d’ accès (NAS, AAA, serveur d’ authentification … ) prend des décisions d’ autorisations sur un modèle figé. Même si celui-ci peut combiner des règles qui sont exprimées en langage quasi-humain et potentiellement décidées en ComDir ( 'où l' utilisateur se trouve t'il, à quel moment de la journée/semaine, avec quel périphérique, BYOD ou pas, est il humain ou pas, se déplace t’ il, etc etc) ces règles ne sont pas "adaptives dans le temps" - elles ne prennent pas vraiment en compte des environnements numériques de vie, de travail, de jeu, de culture qui cohabitent et qui changent sans arrêt …. Ces règles dictées par le contrôle d' accès sont donc de plus en plus fébrile vis à vis de l' exposition aux risques et tentatives d’ intrusion. Ces règles seules, même combinées, ne conviennent donc plus seules à l’ affluence en grand nombre de périphériques qui vont utiliser différents protocoles IP, plus ou moins simples, pour effectuer leur tâches de manière automatique et totalement autonome.
Qui ou quoi peut empêcher un IoT de devenir soudainement une passerelle pour permettre un transfert de fichier alors que normalement il utilise un simple port UDP pour indiquer un statut ouvert/fermé, chaud/froid, bon/mauvais, etc … ? Encore faut il déjà avoir identifié l’ IoT comme un IoT, sa présence dans le réseau, et ensuite être capable de détecter en temps réel un changement soudain ou progressif de comportement.
Ceci autant pour l’ IoT qui devient intelligent, ou pour l’ utilisateur d’ une multinationale qui établit le matin un VPN à partir de la France, et qui 3 heures après établit une même session VPN à partir de l’ Australie … ou d’ un utilisateur qui progressivement se met à transférer des fichiers de plus en plus gros sur sa clef USB, ou vers une destination avec laquelle il ne travaillait pas auparavant …
L' intelligence Artificielle au secours des administrateurs
Pour répondre à ces problématiques l’ IA est au secours des administrateurs. En apprenant le réseau, ses périphériques, ses utilisateurs, en se créant un modèle de fonctionnement basé sur l’ apprentissage des usages en environnement non déviant, le système IA ( ou UEBA pour reprendre un acronyme cher aux spécialistes) va se créer une cartographie de « bon fonctionnement » qui va permettre de donner des « poids » à chaque événement une fois armé et activé. Ces poids varient en fonction d’ actions ou de combinaisons d’ actions diverses, de comportements déviants, matériels ou logiciels, ou de comportements nouveaux à répétition, voire de comportement de personnes positionnées dans une sphère de surveillance temporaire ou contextuelle privilégiée ( ex employé en fin de CDD, consultant sous contrat, personnes faisant partie du comité directeur, ou périphériques répondant au critère IoT, etc …). L’ intelligence Artificielle va être alors capable, si elle constate un changement progressif de comportement ou d' état, de modifier les règles décidées par le système de contrôle d’ accès, voire de demander la mise en quarantaine ponctuelle ou définitive d’ un « objet » ou " utilisateur" IP au sens large.
Dans ce nouvel écosystème de surveillance, l’ utilisateur est souvent l’ origine de la négligence ( dans 80 % des cas, et ceci de l’ intérieur de l’ entreprise), mais c’ est bien face à des systèmes logiciels automatiques qui sont à la pointe de l’ adaptabilité, qui exploitent les failles potentielles des nombreux outils IoT qui nous entourent que la bataille a bien commencée !
#SDN