Nous avons créé un monde d’utilisateurs qui s’attend à avoir accès instantanément à un ensemble d’appareils et de connexions réseau. Le travail à distance brouille les frontières entre le lieu de travail et le domicile avec un accès continu, de n’importe où. Accès à tout, par tous, de partout – tout cela en toute sécurité?
Afin de faire face aux exigences d’un environnement sécurisé pour les appareils professionnels mais où la connectivité doit être omniprésente, les solutions de sécurité adoptées au coup par coup prolifèrent. Cependant, si une telle pratique permet de résoudre le problème présent, elle pourrait bien devenir le cauchemar de demain.
Cette pratique n’est évidemment pas apparue suite à une série d’étapes soigneusement planifiées. Au contraire, de nombreux responsables informatiques se sont laissés surprendre par la vitesse et la variété des changements. Face à ces événements, une multitude de solutions pour résoudre des problèmes émergents ou attendus a été adoptée. Il semble que chaque nouvelle vulnérabilité crée une opportunité pour une nouvelle solution; et chaque nouvelle solution crée une opportunité pour une nouvelle vulnérabilité. Le résultat peut être chaotique avec la mise en place de technologies incompatibles, empiétant les unes sur les autres, et avec un ensemble de règles et de politiques mises en place de manière hâtive. Tout cela a été fait dans l’espoir que chacune des solutions s’unisse pour protéger le réseau et soutienne le business qui doit en résulter. C’est l’antithèse même de l’‘holistique’.
Malheureusement, la réalité actuelle est que la plupart des organisations luttent pour avoir un accès unifié vraiment sécurisé. Le nombre croissant et la complexité des technologies, règles et politiques de sécurité accumulées au fil du temps, signifient que de nombreuses organisations sont incapables de répondre efficacement aux menaces en constante évolution. L’approche au coup par coup rend les organisations de plus en plus vulnérables du fait de règles constamment ajoutées aux dispositifs de sécurité (mais rarement supprimées), produisant une complexité qui échappe à tout contrôle. Les administrateurs trouvent qu’il est de plus en plus difficile de comprendre le régime de sécurité qu’ils implémentent et travaillent dans l’urgence pour résoudre les problèmes émergents. Dans ce chaos, le risque est que des failles de sécurité apparaissent.
La réponse à la complexité n’est donc pas plus de complexité; la réponse est la simplification. Mais, par où doit commencer une entreprise pour rétablir l’ordre et mettre en œuvre une solution logique, gérable, judicieuse et sécurisée face à l’accumulation des politiques?
Gérer un grand parc de dispositifs de sécurité spécialisés provenant de différents constructeurs est un moyen sûr de multiplier le nombre de politiques de sécurité actives. En revanche, déployer une suite de systèmes complémentaires provenant d’un même fournisseur réduit les coûts d’exploitation en permettant une gestion plus simple et plus réactive avec moins de politiques, de meilleures performances et une meilleure sécurité globale. Cela permet également aux politiques d’accès au réseau d’être intégrées avec les autres politiques de sécurité. Un seul système d’exploitation, quel que soit l’appareil, sera évidemment un avantage majeur pour simplifier le processus de gestion.
La simplification des politiques de sécurité est également mise à mal par l’introduction d’une sécurité centrée sur les applications; un élément clé de la technologie de pare-feu de nouvelle génération. Il est donc important d’appliquer une politique centrée sur les applications en fonction de l’identification des utilisateurs de manière centralisée, et de pouvoir la mettre en application sur tout le réseau et à travers l’ensemble des fonctions de sécurité réseau.
En effet, même si la granularité qui découle de la gestion des différentes politiques de sécurité en fonction de chaque environnement d’authentification peut s’avérer être un bonus, il peut aussi s’avérer être un fardeau en matière de gestion de la sécurité. Mais la granularité ne doit pas être sacrifiée et la gestion de la sécurité peut être simplifiée grâce à l’utilisation de tactiques évidentes telles que l’authentification unique (Single Sign On ou SSO), qui mémorise l’emplacement géographique ou l’appareil de l’utilisateur.
Avec cette approche de mise en application des politiques sur un point d’entrée unifié sur le réseau sans fil / filaire, toutes les politiques peuvent être déterminées en fonction de l’ID utilisateur, du type d’appareils et de l’emplacement géographique.
Enfin, la frénésie en matière d’accumulation des politiques continuera d’être inéluctable tant que des solutions artificielles ou technologiques pour accéder aux réseaux filaires et sans-fil resteront totalement séparées à des fins de gestion. Lorsque les deux coexistent, le sans-fil est généralement l’environnement le plus dynamique, avec des niveaux de trafic similaires à l’infrastructure filaire. Pour faciliter la supervision ainsi que simplifier le suivi et la conformité, une politique unifiée filaire et sans-fil assurera la simplicité, tout en offrant à la fois visibilité et contrôle. Ceci peut se faire en utilisant des appliances de sécurité qui offrent des fonctionnalités de gestion de points d’accès et de routage en plus d’intégrer d’autres fonctions de sécurité clés telles que la protection de pare-feu avancé, la connectivité VPN, le contrôle des applications et terminaux, le filtrage web, l’antimalware et la prévention de perte des données.
Pour résumer, les organisations doivent établir des politiques simples et intelligentes et réduire le processus de prise de décision. Bien sûr, elles auront toujours un ensemble de politiques à considérer – mais celui-ci sera beaucoup plus facile à gérer. N’adoptez pas une mauvaise stratégie et une infrastructure de sécurité disparate vaguement contrôlée par une myriade de politiques – dont beaucoup peuvent s’opposer entre elles. Clarifiez votre infrastructure et simplifiez-la. Ne laissez pas l’accumulation de vos politiques et la complexification devenir votre cauchemar.
En conclusion et à garder en tête : faire du simple compliqué est monnaie courante; mais faire du compliqué simple relève de l’ingéniosité.
Christophe Auberger, Directeur Technique chez Fortinet examine comment des Politiques Intelligentes basées sur l’emplacement géographique ou l’identification de l’utilisateur sont la réponse à une simplification de la sécurité IT dans un environnement de plus en plus compliqué.