RSA Conference, San Francisco – Chaque année Art Coviello, Executive Chairman de RSA Security, appelle à plus de collaboration entre les professionnels de la sécurité. Son discours d’ouverture n’aura, cette année, pas fait exception à la règle. Mais il s’est enrichi d’un air largement plus martial. Désignant les hacktivistes et les États comme les nouveaux ennemis des entreprises, il appelle à « former les bataillons et combattre« .  Le ton est offensif, jusqu’à la caricature peut-être, mais cela n’est après tout guère surprenant considérant l’attaque dont a été victime RSA l’an dernier.

Mais au delà de l’approche très martiale le constat et les propositions qu’il amène sur la table sont toutefois pleins de bon sens. Le constat, d’abord : la sécurité telle que nous la pratiquons ne fonctionne plus. « La confiance au sein du monde numérique est menacée« , assène le patron de RSA, qui pourtant se défend de vouloir vendre la peur.

Il constate que, globalement, les entreprises se font dépasser de toutes parts. Par leur collaborateurs et leurs clients notamment, qui s’approprient la technologie plus rapidement que l’entreprise et les gouvernements ne parviennent à la gérer et à en saisir les implications sociales et politiques. « Des employés, mais aussi business units entières, contournent tout simplement leur service IT pour parvenir à leurs objectifs professionnels ou personnels plus rapidement« , assène-t-il (une déclaration qui a probablement heurté la sensibilité des RSSI les plus sensibles…)

Et cela n’est pas prêt de s’arrêter : « nous avons largement dépassé le stade où il était encore possible de distinguer notre monde physique de nos vies numériques, et il est maintenant même impossible de distinguer nos vies personnelles de nos vies professionnelles« , poursuit Art Coviello.

Bref, à entendre Art tout part à vau-l’eau et même les ex-pays en voie de développement s’y mettent en étant massivement connectés. C’est dire si ça ne va pas s’arranger, semble laisser entendre le patron de RSA (ce qui, venant de la part de celui qui se refusait à vendre sur la peur, semble tout de même légèrement anxiogène !)

Mais place aux propositions ! « Il faut arrêter de penser de manière linéaire et arrêter d’empiler de nouvelles couches sur un modèle qui ne fonctionne plus« , préconise Coviello.

L’affirmation doit évidemment être prise avec des pincettes venant d’un vendeur de solutions de sécurité, nécessairement intéressé à voir l’industrie renouveler son parc d’outils ! (d’autant qu’il poursuit en expliquant qu’il faut oublier certains investissement sécurité tels les outils périmétriques et la détection à base de signatures, pour passer à d’autres…)

Mais Art Coviello touche dans le mille lorsqu’il affirme ensuite qu’il est nécessaire d’accepter le fait que l’on sera piraté, et qu’il vaut mieux chercher à limiter l’impact de la brèche plutôt que de tenter d’empêcher cette dernière elle-même (l’on retrouve ici la notion de tolérance aux intrusions dont nous vous parlions dès 2009 et qui s’est imposée dès lors comme notre cheval de bataille). « La nature humaine étant ce qu’elle est – les humains font des erreurs – les attaquants parviendront inévitablement à exploiter ces erreurs et pénétrer nos réseaux, nous ne devons pas en être surpris« , résume Coviello. Mais ne pas être surpris ne signifie pas pour autant ne rien faire : « que la brèche soit inévitable ne doit pas signifier que la perte l’est également« , poursuit-il.

Comment y parvenir ? En développant une approche de la sécurité basée sur le risque et sur le renseignement. Oui, vous lisez bien : basée sur le renseignement, dans le sens militaire du terme (d’ailleurs Art Coviello encourage les entreprises à recruter un peu plus d’ex-analystes du renseignement militaire plutôt que seulement des experts techniques issus de la IT).

« Nous devons créer des systèmes pro-actifs et de contre-intelligence capables de déceler les signaux faibles au sein de nos infrastructures, qui sont souvent les seules traces visibles des attaques sophistiquées« , résume le patron de RSA.

Et il va plus loin en détaillant de tels systèmes : ceux-ci ne doivent pas se limiter aux informations issues du réseau interne (après tout, nous avons déjà les SIEM pour ça), mais aussi s’appuyer sur du renseignement externe, global (ce qui rappelle la toute jeune startup CrowdStrike, dévoilée ce mois-ci par George Kurtz, l’ex-CTO de McAfee)

Les vétérans de la sécurité ne verront pas ici grand chose de nouveau : cela fait longtemps que l’on cherche à analyser, corréler et interpréter la myriade d’événements au sein du SI afin d’en tirer des alertes significatives. Et cela fait longtemps, aussi, que l’on tente d’y ajouter des informations globales issues du web (par exemple dans le cadre de la réputation). Mais le talent d’Art Coviello est de faire prendre de l’altitude au concept : en s’affranchissant de la simple notion d’événements réseaux isolés et en parlant véritablement de renseignement au sens noble du terme : avec des sources, des analystes et des actions. Tout cela, bien entendu, rendu possible par la généralisation du Cloud, qui permet d’agréger et de traiter des volumes massifs de données.

Les nouvelles solutions proposées, donc, devront aussi être agiles, capables de s’adapter et de répondre aux actions des attaquants sur le SI : identifier les dérives du comportement normal et y remédier en temps réel plutôt que de se reposer sur la (fausse) certitude que l’on connaîtra à l’avance les signatures de tous les malwares imaginables. « Nous avons plutôt besoin de modèles comportementaux pour les utilisateurs et les transactions« , explique Coviello.

C’est là tout le paradoxe de l’excellent patron de RSA : il est difficile de ne pas être d’accord avec de ses propositions même si les ficelles semblent bien grosses et même si ses observations sont déjà largement partagées par la communauté.

Oui, il est temps de se rendre compte que les intrusions sont inévitables. Oui, il est temps de se pencher sur l’observation et l’analyse en temps réel (comme nous le préconisions d’ailleurs lors de notre récente présentation des défis de la sécurité en 2012). Oui, il est grand temps de lever le pied sur de nombreuses solutions actuelles conçues pour détecter les menaces a priori. Et oui, il faut piloter la sécurité par le risque et être agiles. Nous sommes tous d’accord.

Mais il est hélas à craindre que quelque part entre le vœux pieu et la mise en œuvre, ces bons conseils ne se transforment en de nouvelles briques de sécurité à empiler sur les anciennes… Pour éviter cela, il faudra avoir le courage de se défaire des habitudes dépassées, de remettre en question l’approche sécurité de l’entreprise afin de tenter de nouvelles voies. Mais hélas le courage d’essayer de nouvelles approches n’est pas fréquent dans un univers corporate trop souvent gouverné par la notion de CYA (nous vous laissons le soin de chercher la signification de l’acronyme).

Il reste cependant que la lecture de son discours d’ouverture est tout à fait recommandée ! (disponible ici en anglais, au format PDF)