Les événements récents placent la cybersécurité au premier plan de nombreuses conversations.

Les gouvernements du monde entier encouragent les entreprises à « lever les boucliers » suite à l'invasion de l'Ukraine. La menace actuelle se révèle considérablement plus élevée que par le passé et toute entreprise disposant d'une infrastructure connectée à Internet doit placer la sécurité au sommet de ses priorités de l'année.

Afin de contribuer à la continuité des services en ligne, Cloudflare participe également au Critical Infrastructure Defense Project, un projet qui permet de faire en sorte que les équipes bénéficient de la meilleure assistance possible pour sécuriser les applications et les réseaux les plus vulnérables aux cybermenaces, comme les plateformes du secteur médical, ainsi que celles des services de distribution d'eau et d'électricité.

Autre exemple plutôt récent, la vulnérabilité Log4J, une faille particulièrement grave affectant de nombreuses applications basées sur Java, a également souligné l'importance d'une sécurité appropriée sur Internet. En effet, les acteurs malveillants ont commencé à balayer le réseau à la recherche d'applications vulnérables tout juste quelques heures après l'annonce publique de la découverte de ce vecteur d'attaque.

Malheureusement, il y a fort à parier que ces événements ne seront pas les derniers rappels à l'ordre. Au cours des six prochains jours, nous avons l'intention de nous atteler au vaste sujet de la cybersécurité, avec un objectif simple à l'esprit : s'assurer que la sécurité ne représente plus une réflexion a posteriori.

La mise en place d'une sécurité constitue toutefois une tâche difficile et il s'avère impossible de savoir à quel moment une protection se révèle « suffisante ». L'importance des bonnes pratiques en matière de sécurité ne doit jamais être sous-estimée. Les applications fiables et sécurisées permettent de s'assurer du bon fonctionnement d'Internet, du maintien de la présence en ligne des sites à la garantie d'accès aux informations essentielles, en passant par la protection des données des utilisateurs contre le vol et l'utilisation abusive.

Tout le monde ne peut cependant pas se targuer d'être un expert de la sécurité.

De ce point de vue, Cloudflare s'est toujours donné pour objectif d'appliquer des solutions technologiquement sophistiquées à des problèmes complexes et de rendre ces dernières accessibles à tous. Cette semaine, vous entendrez également parler d'améliorations de nos produits, de nouvelles offres, d'idées audacieuses et de partenariats, ainsi que de nouvelles fonctionnalités captivantes que nous allons proposer gratuitement à tous les utilisateurs de Cloudflare.

Avant d'entrer dans les détails, le meilleur moyen de comprendre la direction vers laquelle nous nous dirigeons consiste à prendre un peu de recul et à revenir sur notre histoire. C'est exactement ce que j'espère accomplir dans cet article. Pendant la lecture, je soulignerai les jours de la semaine durant lesquels des annonces pertinentes auront lieu, afin de vous permettre de savoir à quel moment vous connecter.

Bienvenue dans la Security Week.

Retour aux sources : la sécurisation des sites web

Lorsque j'ai rejoint Cloudflare, il y a sept ans de cela, nos offres en matière de sécurité étaient principalement destinées aux propriétaires de sites web : DNS, atténuation des attaques DDoS, pare-feu d'applications (WAF) et SSL/TLS. En tant que proxy HTTP inverse, nous pouvions sécuriser le trafic et tenir les charges utiles malveillantes à bonne distance. Dans le même temps, nous nous sommes immédiatement attelés à l'accélération et à la sécurisation des protocoles sous-jacents. En un seul déploiement, nous pouvions mettre à niveau la version de TLS pour une grande partie des propriétés Internet, bloquer les attaques DDoS volumétriques sur les ports non HTTP et rédiger des règles permettant de protéger des millions de pages d'administration dans WordPress.

Security Week : la protection des sites web reste une composante essentielle de notre activité. Au cours de la première moitié de la semaine (du lundi au mercredi), vous entendrez parler d'un certain nombre d'améliorations importantes apportées aux technologies que nous utilisons tous quotidiennement en naviguant sur Internet, du TLS à notre pare-feu d'applications web (WAF), en passant par les règles personnalisées. Nous avons de fantastiques annonces à faire pour tous, y compris les utilisateurs de notre offre gratuite.

Applications > Sites web

Nous avons rapidement remarqué qu'une bonne partie du trafic Internet était automatisée. Les bots représentent à tout moment 30 % ou plus de l'ensemble de ce dernier, avec des pics supérieurs à 40 %. Ce constat nous a conduits à développer des outils plus avancés sur la plateforme Cloudflare, comme notre solution de gestion des bots.

Bon nombre de ces bots se connectent à des applications (et consomment des données provenant de ces dernières) non conçues pour être accessibles par des humains. Ce fonctionnement soulève ainsi toute une série de nouveaux défis de sécurité par rapport à un site web standard. Les API sont désormais monnaie courante et représentent près de 54 % de l'ensemble des requêtes web HTTP transitant par le réseau Cloudflare.

Security Week : en nous appuyant sur les produits existants qui aident nos clients à gérer le trafic automatisé et à protéger les points de terminaison d'API, nous profiterons de cet espace pour partager de nouvelles avancées importantes ce mercredi. Nous aborderons ainsi un ensemble en plein essor de scénarios d'utilisation dans lesquels Cloudflare peut vous aider concernant la gestion et la sécurité des API.

Couvrir l'ensemble des protocoles

Nous avons toujours mis l'accent sur la poursuite de l'extension de notre réseau, tout en améliorant la fiabilité de nos services DNS et HTTP. L'étape suivante et évidente consistait à ouvrir le proxy à d'autres protocoles. Après tout, le HTTP ne constitue qu'un des nombreux protocoles utilisés sur Internet.

À l'heure actuelle, de nombreuses entreprises clientes utilisent notre produit Spectrum pour sécuriser des applications et des points de terminaison TCP/UDP arbitraires. Nous avons franchi un palier supplémentaire en permettant aux clients de s'interconnecter avec Cloudflare et de sécuriser le trafic IP brut depuis la périphérie de Cloudflare.

Les serveurs de jeux, les protocoles IdO personnalisés, les services de diffusion et les applications financières peuvent désormais bénéficier des fonctionnalités d'atténuation des attaques DDoS et de filtrage de Magic Firewall, évolutives à l'infini et fonctionnant en toute transparence.

Security Week : nos équipes travaillent d'arrache-pied pour améliorer ces produits. Aussi, si vous placez du trafic non HTTP en proxy via Cloudflare, nous vous réservons également quelques surprises ce jeudi.

La plupart de ces clients placent du trafic en proxy sur les couches 3-4 du modèle OSI. Toutefois, nous nous efforçons actuellement de remonter la pile. Les solutions de sécurité les plus efficaces doivent comprendre les données circulant sur la couche applicative. Historiquement, l'une des grandes lacunes du service Cloudflare résidait dans le trafic lié aux e-mails, le vecteur de compromission numéro un.

Security Week : vous avez peut-être entendu parler de notre récente intention d'acquérir Area 1 Security. Restez à l'écoute ce lundi, car nous aurons de passionnantes actualités à partager à ce sujet.

Inverser le proxy afin de protéger les utilisateurs

Le fait de comprendre que nous pouvions inverser le proxy Cloudflare et l'ouvrir à un nouveau scénario d'utilisation à base de proxy de transfert paraît évident avec le recul, mais c'était loin d'être le cas. En nous concentrant sur une stratégie de sécurité basée sur ce type de proxy, nous pouvions tout à coup protéger les utilisateurs, pas seulement les applications et les serveurs.

Tout utilisateur connecté à Internet peut désormais configurer Cloudflare comme résolveur DNS et comme proxy de transfert, afin de profiter d'un bouclier de sécurité supplémentaire pendant la navigation. C'est là que la solution Cloudflare Zero Trust entre en scène.

C'est à ce moment que le terme « proxy » a cessé d'identifier clairement ce que nous développions. Le mot « Réseau » s'avérait bien meilleur. En réalité, comme beaucoup de concepts se répètent dans le domaine de l'informatique, le réseau est à nouveau devenu l'ordinateur.

Les effets sur le réseau ne sont pas immédiatement apparents. Considérez le cas d'un utilisateur qui configure Cloudflare comme résolveur DNS et accède à une application elle-même située derrière Cloudflare : l'ensemble de la transaction peut se dérouler dans le datacenter le plus proche de l'utilisateur final, du DNS à la transmission HTTP. C'est aussi la raison pour laquelle nous ne comptons pas arrêter d'étendre notre réseau. Les avantages sont incommensurables et la sécurité est intégrée à chaque étape, sans compromis sur les performances.

Si cet utilisateur est membre d'une équipe appartenant à la même entreprise que celle qui exécute l'application, les concepts Zero Trust deviennent accessibles et faciles à déployer pour tous. Les anciens systèmes, comme les VPN, deviennent alors obsolètes, car vous n'avez plus besoin de disposer d'une infrastructure complexe et peu pratique pour sécuriser votre réseau, un constat qui nous rapproche encore un peu de la démocratisation de la sécurité.

Security Week : si vous utilisez Cloudflare Zero Trust et essayez de sécuriser des réseaux internes, n'hésitez pas à vous connecter ce vendredi. Nous avons d'importantes améliorations à annoncer concernant les produits.

Le réseau Cloudflare se révèle intelligent et sécurisé

La fin de cet exposé nous ramène à nos jours. La sécurité consistait autrefois à créer des environnements sécurisés, du type « château entouré de douves ». La technologie mobile et le cloud ont toutefois fissuré ce paradigme. Plus aucun emplacement n'est présumé sûr aujourd'hui. D'ailleurs, même si un tel endroit existait, vos utilisateurs et vos applications n'y resteraient pas longtemps de toute façon. Vos utilisateurs travaillent de… chez eux ? À l'autre bout du pays ? À l'autre bout du monde ? Vos applications sont en déplacement constant, elles aussi.

Au sein de ce paradigme, la manière logique de penser la sécurité consiste à ne pas créer d'enclave physique. À la place, vous devez créer une enclave virtuelle en vous concentrant sur le seul composant fondamental d'Internet : le réseau.

En d'autres termes, vous devez vous assurer que chaque appareil, chaque bureau, chaque serveur dont vous disposez est connecté à un réseau sécurisé. C'est précisément ce que nous développons chez Cloudflare : un réseau capable de connecter vos utilisateurs à vos applications et inversement, où qu'ils se trouvent. Un réseau reposant sur la sécurité et la confidentialité en tant que principes élémentaires.

Pour l'améliorer, nous devons également prendre les devants

Disposer d'une excellente technologie ne suffit pas. Les idées innovantes et faciles à utiliser proviennent des individus. C'est aussi la raison pour laquelle nous sommes les premiers utilisateurs de nos produits. L'un de nos clients les plus exigeants est notre propre équipe de sécurité interne. De plus, il s'agit d'un objectif que nous ne pouvons atteindre seuls. La collaboration de tous les acteurs revêt un caractère extrêmement important pour nous. Nous avons ainsi consacré beaucoup d'efforts à établir des partenariats avec d'autres entreprises de cybersécurité, dans l'idée de partager des informations et des données, mais aussi d'intégrer nos produits, afin d'assurer une meilleure expérience à nos utilisateurs.

Nous terminerons cette semaine en partageant quelques bonnes pratiques à adopter, des informations recueillies en sécurisant le réseau Cloudflare, ainsi qu'un certain nombre de projets sur lesquels notre équipe de sécurité a travaillé. Nous comptons également profiter de cet espace pour annoncer de nouveaux partenariats avec d'autres entreprises de renom.

Une semaine ne suffit toujours pas

Nous disposions d'un panel de plus de 75 annonces à vous présenter à l'occasion de la Security Week. Nous n'avions donc aucune chance d'y parvenir en six jours. Il faudrait pour ce faire les étaler sur une quinzaine, un format sur lequel nous ne pouvons pas encore nous engager. Nous restons néanmoins optimistes quant à notre capacité à progresser rapidement, non seulement au cours de la semaine à venir, mais aussi tout au long de l'année 2022.