Par Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro
L’environnement des datacenters traverse une période de profond changement. Les projets de transformation digitale obligent les entreprises à abandonner les anciens équipements sur site pour adopter l’agilité des environnements Cloud hybrides. Mais ce faisant, elles s’exposent à des risques cyber sans précédent. Afin de relever ce défi et de se prémunir contre les menaces toujours plus diversifiées qui ciblent les datacenters d’aujourd’hui, elles doivent connaître les niveaux de risque et effectuer les contrôles nécessaires.
La ruée vers le digital
La perspective de gagner en efficacité et en agilité, de rationaliser les processus et de réduire les coûts a convaincu les dirigeants d’entreprises d’investir massivement dans le Cloud. Avec l’adoption croissante par les entreprises des technologies innovantes telles que l’IA, l’IoT ou le Big Data pour booster leur croissance, ce marché devrait peser 462 milliards d’USD à l’horizon 2024.
Le datacenter est au cœur de ces initiatives. Excepté les entreprises nées à l’ère du Cloud, les autres organisations disposent d’infrastructures physiques, virtuelles et/ou basées dans le Cloud, réparties entre serveurs locaux et datacenters externes. Elles peuvent également utiliser des architectures d’un nouveau type, conçues pour améliorer la flexibilité et réduire les frais généraux : d’après une étude réalisée en 2018 par Cloud Foundry, plate-forme applicative multi-cloud open source, 72 % des entreprises utilisent des conteneurs ou envisagent de le faire, chiffre qui atteint 46 % pour le serverless computing (informatique sans serveur).
Ces différentes décisions stratégiques entraînent des défis liés à la sécurité. Utiliser plusieurs environnements hétérogènes peut créer de dangereux silos et des angles morts, et les grandes entreprises de l’écosystème IT doivent prendre conscience que les outils de cybersécurité physiques ne peuvent tout simplement pas s’appliquer aux environnements Cloud. À ces risques s’ajoutent la complexité des chaînes logistiques digitales impliquant l’accès aux serveurs par des tiers.
Ainsi, la surface d’attaque des datacenters est plus importante que jamais. Les équipes
informatiques sont débordées et la confusion qui règne autour du modèle de responsabilité partagée en lien avec la sécurité du Cloud ne font qu’accroître les risques potentiels de vols de données ou d’interruption de service.
Les datacenters pris pour cibles
Les entreprises doivent se prémunir face aux menaces perpétrées par un ennemi toujours plus agile et déterminé, tout en préservant leur santé financière, leur réputation et en se pliant aux exigences réglementaires. Les attaques sans fichiers sont plus nombreuses et ciblent les datacenters d’aujourd’hui. Elles s’appuient sur des composants légitimes tels que le langage PowerShell, des scripts, des macros ou des extensions de fichiers inhabituelles pour déjouer les filtres classiques. Selon nos prédictions, les hackers devraient de plus en plus s’appuyer sur des outils utilisant l’IA pour améliorer le taux de réussite de leurs attaques, en étudiant de près les processus des entreprises et leurs flux de communication pour mieux déterminer où et comment attaquer.
Plus de 59 000 entreprises en Europe ont déjà signalé des vols de données aux instances de contrôle du RGPD. Mais les menaces qui planent sur les datacenters ne se limitent pas au vol de données clients ou d’adresses IP sensibles. Les ransomware demeurent un risque majeur susceptible d’interrompre ou d’impacter sérieusement les opérations. En 2018, Europol a prévenu que les ransomware demeureraient une menace importante pendant de longues années encore.
Organiser la gestion du risque
Que peuvent faire les RSSI pour remédier à cela ? La stratégie la plus efficace repose sur la gestion du risque. Il est nécessaire de modéliser les risques pour comprendre quelles parties du datacenter sont les plus exposées, puis d’utiliser les technologies et les processus en fonction du niveau de risque. L’isolation des zones à risque et la mise en place d’une protection en profondeur sur les serveurs, passerelles, le réseau et les endpoints est un élément clé pour limiter les dégâts en cas d’infection. Par ailleurs, investir dans un ensemble d’outils déployés sur chaque niveau pour contrer le grand nombre de menaces potentielles demeure la méthode la plus efficace. Ces outils peuvent être de nature diverse : prévention contre les intrusions, firewalls, listes blanches, analyse comportementale, sandboxing personnalisé ou encore machine learning. Pour réduire davantage les risques, il est également possible d’intégrer l’authentification à facteur multiple, des réseaux privés virtuels (VPN) ou des systèmes de chiffrage pour les données inactives.
La plupart des entreprises souhaitent collaborer avec un partenaire capable d’assurer la protection de leur datacenter quel que soit l’environnement – physique, virtuel et hybride – en déployant des solutions de sécurité dédiées. Cela permet d’optimiser la protection et la mise en conformité tout en réduisant les impacts sur la performance. L’approche la plus globale couvre chaque aspect, de l’analyse du conteneur en amont du runtime jusqu’à la protection automatisée des charges de travail dynamiques. A travers cette configuration, les entreprises peuvent enfin commencer à déployer une stratégie de sécurité qui soit intégrée dès le départ et fondée sur les meilleures pratiques tout en étant soutenu par une approche DevSecOps.
Enfin, il est important de concevoir la sécurité de façon proactive et non réactive. Il est nécessaire d’investir dans des outils de détection de menaces permettant d’analyser précisément les flux de trafic au sein du datacenter pour mieux déceler les signes avant-coureurs d’activités suspicieuses. Les plans de réaction aux incidents devront être testés en profondeur et constamment mis à jour. Mais surtout, il faut garder à l’esprit qu’une bonne stratégie de sécurité informatique n’est pas une fin en soi, mais un processus continu.