Keynote FORCEPOINT : La protection adaptative aux risques est-elle le futur de la cybersécurité ?

L’objectif de cette conférence est d’exposer comment avancer sur les sujets de protection adaptative, réintroduire l’humain dans la cybersécurité et rétablir la confiance avec les utilisateurs. L’intervenant est Nico Fischbach, CTO de la société Forcepoint.

Lorsque la transformation numérique croise la cybersécurité

Bien souvent, lorsque le RSSI (Responsable de la sécurité des systèmes d’information) sort d’une réunion, il peut se retrouver impliqué dans un projet à deux jours seulement de son lancement. À l’inverse, la DSI (Direction des systèmes d’information) peut sortir d’une réunion avec les équipes de sécurité pour présenter un plan de digitalisation de l’entreprise en ayant pour seule réponse l’impossibilité de changer les politiques de sécurité.
En d’autres termes, il existe rarement une vraie communication entre les équipes DSI et les équipes RSSI. De fait, l’utilisateur ressent tous les déploiements d’un nouvel outil ou de nouvelles politiques de sécurité comme des points de friction, alors que l’objectif est de proposer de la valeur ajoutée.

Quelle est l’analogie entre les évolutions de la sécurité et de l’automobile ?

Les évolutions de la cybersécurité peuvent être comparées à celles de la voiture. Lorsque l’on construit un environnement, l’essentiel est d’avoir un bon châssis. Il est possible d’avoir la plus belle voiture du monde, si le châssis n’est pas bon, les performances sont limitées. En sécurité informatique, l’idée est de construire une architecture à partir de ce qui a été fait depuis 10-15 ans par les entreprises. C’est à dire, partir d’une base solide et se reposer dessus.
Viennent ensuite le moteur, l’habillage et les caractéristiques. Il y a 5 ou 6 ans, les véhicules émettaient un bip sonore lorsque l’on conduisait trop près d’une voiture située devant soi. Aujourd’hui dans les nouveaux modèles il n’y a plus de bip. A la place, la voiture ralentit automatiquement si elle se rapproche d’un autre véhicule. L’utilisateur, surpris au début s’habitue et fait désormais confiance à cette fonctionnalité.
En entreprise, le principe est similaire. De nombreux capteurs sont déployés, mais les entreprises ne disposent pas forcément des moyens de traiter les données remontées par ces capteurs.
Comme pour les voitures, l’idée est de faire confiance à un système qui libère l’utilisateur, mais qui le surveille. Il s’agit de rajouter des capteurs et de l’intelligence afin d’utiliser cette dernière pour détecter des problèmes avant l’humain. Il est ainsi possible de founir une réponse automatisée permettant d’arrêter les problèmes avant qu’ils ne surviennent.

Comment replacer le facteur humain au cœur de la cybersécurité ?

Dans le système d’information hybride qui combine à la fois les centres d’hébergement au sein de l’entreprise, les centres tiers et le cloud, il n’existe que deux constantes : les utilisateurs et les données. Il importe donc de comprendre ce que font les utilisateurs de ces données, afin d’éviter de les bloquer inutilement, à travers trois niveaux de risque :
• En risque faible, un utilisateur avec le niveau d’autorisation suffisant peut être en mesure de copier des données sur une clé USB sans être entravé par le système. Son action est simplement enregistrée et répertoriée.
• En risque moyen, plutôt que de bloquer l’utilisateur lorsqu’il veut transférer des données par mail, ce dernier peut recevoir une demande du système afin de s’assurer qu’il désire bien effectuer l’action en question.
• Ce n’est qu’en situation de risque élevé, par exemple en cas de phishing, que les comptes utilisateurs sont bloqués de manière réactive et automatique.

Comment mettre en place un programme de protection adaptative ?

L’objectif d’un programme de protection adaptative est de réduire les points de friction et d’augmenter la confiance de l’utilisateur. Les entreprises ont investi pendant des années dans l’infrastructure de leur cybersécurité. Tout n’est pas à jeter dans ces solutions qui sont toujours porteuses de sens. Les antivirus, pare-feu ou encore passerelles mails sont des sondes qui fournissent une multitude d’informations à utiliser pour prendre des décisions.
La protection adaptative est également une question de maturité et ne convient pas à toutes les sociétés. Il importe de disposer d’une certaine expérience en matière de gestion des risques pour la mettre en place. Concrètement, la protection adaptative consiste à consommer toutes les informations remontées par les architectures existantes et leur attribuer du sens. Il est ainsi possible de détecter, d’analyser et de bloquer les menaces. Quatre étapes de mise en place sont nécessaires :
1. Politique des données privées : respecter la vie privée, les lois nationales, impliquer le service juridique et les RH, communiquer de manière transparente et utiliser des procédures claires pour la défense du personnel.
2. Politique de risques : rester dans la simplicité, laisser faire le système et agir pour réduire la friction.
3. Déploiement contrôlé : identifier un groupe d’utilisateurs tests, adapter les règles pour affiner les politiques, apprendre les comportements sur 30 ou 60 jours, valider et déployer.
4. Protection adaptative : obtenir une belle voiture dotée d’un bon châssis, de bons freins et d’un très bon coefficient de résistance à l’air (réduction des frictions). En d’autres termes, obtenir une collaboration efficace entre les différents services à travers un bon leadership et une culture d’entreprise solide. Il importe d’expliquer aux collaborateurs pourquoi ces solutions sont déployées, et le bénéfice qu’ils peuvent en tirer.
En conclusion, un programme de protection adaptative permet de retourner sur la piste de la confiance par défaut, et non du blocage par défaut.
La protection adaptative permet ainsi à l’employé de réussir, sans être un frein pour lui. Le conseil d’administration, quant à lui, considère cette solution comme une vision de l’entreprise qui avance, permettant de la valeur ajoutée où la sécurité est vue de manière proactive et non bloquante. Enfin, les équipes de sécurité font face à bien moins d’incidents à gérer, et peuvent répondre rapidement aux incidents avérés.

Intervenant : Nico FISCHBACH, FORCEPOINT

VOIR LES AUTRES CONFERENCES