Le mois dernier, j'ai eu l'occasion d'assister à un dîner en compagnie de 56 RSSI et CSO représentant tout un éventail d'entreprises des secteurs de la banque, du jeu, de l'e-commerce et de la vente au détail. Nous nous sommes rendus successivement à chaque table de huit convives et avons discuté des plus grands défis auxquels les personnes présentes faisaient face, ainsi que de ce qui leur faisait le plus peur dans un avenir proche. Nous parlons avec des clients chaque jour chez Cloudflare, mais il s'agissait là d'une occasion unique d'écouter ce dont les clients (et les non-clients) discutent entre eux. Ce fut une soirée fascinante, dont un certain nombre d'éléments sont ressortis.
Le fil rouge qui dominait les discussions était le suivant : « Comment convaincre mon entreprise et les équipes produit de faire ce que je souhaite qu'elles fassent ? ». Une quantité étonnamment infime de temps était consacrée aux défis techniques spécifiques. Personne n'exprima d'inquiétude particulière pour les récents épisodes de clonage avancé de type Magecart, la protection de leurs nouvelles API GraphQL, la manière dont sécuriser deux fournisseurs de cloud différents à la fois ou le fait que la taille des attaques DDoS gagne constamment en ampleur. La conversation revenait perpétuellement aux efforts visant à amener les humains à suivre la voie de la sécurité ou, du moins, à ne pas s'adonner à des activités non sécurisées.
Ce constat m'a immédiatement rappelé l'attaque de phishing de grande ampleur que Cloudflare est parvenue à déjouer au mois d'août dernier. Extrêmement sophistiquée, cette attaque s'appuyait sur des messages texte ciblés et une usurpation d'identité extrêmement professionnelle de notre page de connexion Okta. Certains collaborateurs de Cloudflare se sont laissés prendre au piège des messages de phishing, car ils appartiennent à des équipes humaines, elles-mêmes composées d'humains. Nous avons néanmoins réussi à déjouer l'attaque à l'aide des produits de notre solution Cloudflare One, ainsi que de clés de sécurité physiques transmises à chaque collaborateur, nécessaires pour accéder à l'ensemble de nos applications. L'auteur de l'attaque a pu obtenir des identifiants sous forme de noms d'utilisateur et de mots de passe, mais n'a pas pu passer outre la condition de présentation d'une clé physique pour se connecter. Les attaques de phishing semblent bien parties pour devenir de plus en plus fréquentes en 2023.
Les défis d'aujourd'hui en matière de sécurité reposent souvent sur le déploiement préalable d'outils appropriés, afin d'empêcher les utilisateurs de commettre des erreurs. L'année dernière, lorsque nous avons lancé la Security Week, nous avons parlé du passage de la protection des sites web à la protection des applications. Aujourd'hui, cette évolution concerne la transition de la protection des applications vers la protection des collaborateurs, avec l'objectif d'assurer leur protection partout dans le monde. Il y a quelques semaines de cela, la Maison-Blanche a publié une nouvelle stratégie nationale de cybersécurité demandant à toutes les agences de « déployer l'authentification multifacteur, d'acquérir une visibilité de l'ensemble de leur surface d'attaque, de gérer les autorisations et les accès et d'adopter des outils de sécurité dans le cloud ». Au cours des six prochains jours, vous lirez plus de 30 annonces qui faciliteront autant que possible la mise en œuvre de cette stratégie.
Bienvenue dans la Security Week 2023.
« Plus vous utilisez d'outils, moins vous êtes sécurisé »
Cette phrase est extraite d'une citation directe du RSSI d'une grande plateforme de jeu en ligne. Vous pouvez avoir l'impression d'ajouter des couches supplémentaires de sécurité en ajoutant davantage de fournisseurs, mais vous ouvrez également des boulevards entiers aux risques. Pour commencer, chaque tiers que vous ajoutez constitue, par définition, une nouvelle vulnérabilité potentielle. La récente violation de LastPass en est un parfait exemple. Les acteurs malveillants ont obtenu l'accès à un service de stockage dans le cloud, qui leur a fourni des informations dont ils se sont servis dans le cadre d'une attaque secondaire afin de piéger un collaborateur par phishing. Deuxièmement, un nombre plus important d'outils implique une plus grande complexité. Davantage de systèmes auxquels se connecter, d'autres tableaux de bord à contrôler. Si les informations sont réparties sur plusieurs systèmes, vous aurez ainsi plus de chances de passer à côté de changements importants. Troisièmement, plus vous utilisez d'outils, plus la probabilité qu'un utilisateur les maîtrise tous diminue. Si vous avez besoin que la personne qui connaît l'outil de sécurité des applications, celle qui connaît celui du SIEM et celle qui connaît les rouages de l'outil d'accès puissent se coordonner sur chaque vulnérabilité potentielle, vous vous retrouverez avec des problèmes de communication. La complexité est l'ennemi de la sécurité. Enfin, l'ajout d'outils supplémentaires peut induire un faux sentiment de sécurité. L'ajout d'un nouvel outil peut vous donner l'impression que vous avez ajouté une couche de défense en profondeur, mais cet outil ne vient gonfler la protection que s'il fonctionne, qu'il est configuré correctement et que les collaborateurs s'en servent effectivement.
Cette semaine, vous entendrez parler de toutes les initiatives sur lesquelles nous travaillons pour vous aider à résoudre ce problème. Nous annoncerons plusieurs intégrations qui vous faciliteront le déploiement et la gestion du Zero Trust partout où vous le souhaitez, sur plusieurs plateformes, mais le tout piloté à l'aide du tableau de bord Cloudflare. Nous allons également étendre nos fonctionnalités de détection éprouvées à de nouveaux domaines qui vous aideront à résoudre les problèmes que vous ne parveniez pas à résoudre auparavant, afin de vous permettre de vous débarrasser de vos fournisseurs supplémentaires. De même, nous annoncerons un nouvel outil qui transforme la migration depuis ces fournisseurs vers Cloudflare en véritable jeu d'enfant.
Tirer parti de l'apprentissage automatique pour permettre aux humains de se concentrer sur l'analyse critique
Nous entendons tous continuellement parler d'apprentissage automatique (ou « Machine Learning »). Concrètement, ce terme à la mode fait référence à une observation très simple : les ordinateurs sont très doués pour identifier des motifs. Lorsque nous les entraînons à identifier des motifs pertinents, ils parviennent à les détecter avec une excellente précision, ainsi qu'à identifier les anomalies. Les humains sont également très doués pour identifier des motifs. Toutefois, cela nous demande beaucoup de temps, et tout le temps que nous consacrons à l'identification de motifs nous distrait de ce que même le meilleur modèle d'intelligence artificielle ou d'apprentissage automatique ne sait toujours pas faire : appliquer l'analyse critique. En recourant à l'apprentissage automatique pour identifier les bons et mauvais motifs, vous pouvez optimiser le temps de vos collaborateurs les plus essentiels. Au lieu de rechercher des exceptions, ils peuvent se concentrer exclusivement sur ces dernières et puiser dans leurs connaissances pour prendre des décisions difficiles concernant les prochaines initiatives.
Cloudflare s'est appuyée sur l'apprentissage automatique pour détecter les attaques DDoS, les bots malveillants et le trafic web malveillant. Nous avons pu faire cela différemment de nos concurrents, car nous avons construit un réseau unique, sur lequel l'intégralité de notre code s'exécute dans chaque datacenter, sur chaque machine. Puisque nous disposons d'un immense réseau mondial proche des utilisateurs finaux, nous pouvons exécuter l'apprentissage automatique à proximité de ces derniers, contrairement à nos concurrents, qui doivent recourir à des datacenters centralisés. Le résultat est un pipeline d'apprentissage automatique capable d'exécuter l'inférence en quelques microsecondes seulement. Cette rapidité unique est un avantage pour nos clients, et nous l'utilisons aujourd'hui pour exécuter des inférences plus de 40 millions de fois par seconde.
Cette semaine, nous consacrerons une journée entière à la manière dont nous utilisons ce pipeline d'apprentissage automatique pour développer de nouveaux modèles qui vous permettront de détecter de nouvelles structures, comme la fraude et les points de terminaison d'API.
Nos informations sont vos informations
Au mois de juin, nous avons annoncé Cloudforce One – la première initiative pour permettre à notre équipe de réponse aux menaces de transformer en statistiques exploitables les informations que nous extrayons de l'observation de près de 20 % du trafic Internet. Depuis ce lancement, nous avons entendu certains clients nous demander des solutions pour mieux exploiter ces statistiques, ainsi que des boutons faciles à utiliser et les produits nécessaires pour prendre les mesures appropriées en leur nom. Cette semaine, vous découvrirez plusieurs annonces de nouveaux moyens de visualiser le corpus exclusif d'informations sur les menaces de Cloudflare et d'exploiter ce dernier. Nous annoncerons également plusieurs nouveaux modes d'affichage destinés au reporting, comme le fait de pouvoir afficher davantage de données au niveau du compte, pour vous permettre de disposer d'un point de vue unique sur les tendances en matière de sécurité pour l'ensemble de votre entreprise.
Rendre les erreurs humaines plus difficiles à commettre
Chaque équipe de développement, chaque équipe produit ou chaque équipe commerciale souhaite utiliser ses propres outils et agir aussi vite que possible. Et à juste titre ! Toute mesure de sécurité mise en œuvre a posteriori et créant du travail supplémentaire pour ces équipes aura du mal à être acceptée. Ce constat peut conduire à des situations comme le récent piratage de T-mobile, au cours duquel une API qui n'était pas destinée à être publique s'est retrouvée exposée, identifiée et exploitée. Vous devez faciliter le travail des équipes en sécurisant davantage les outils qu'elles utilisent déjà et en les empêchant de commettre des erreurs, plutôt que de leur attribuer des tâches supplémentaires.
En plus de la facilité avec laquelle déployer nos produits Zero Trust et de sécurité des applications sur une base plus large, vous découvrirez de nouvelles fonctionnalités permettant d'empêcher les humains de commettre toujours les mêmes erreurs. Vous apprendrez ainsi comment rendre le clic sur un lien de phishing impossible en bloquant automatiquement les domaines qui les hébergent, en empêchant les données de quitter les régions qu'elles ne devraient jamais quitter, en proposant des alertes de sécurité à vos utilisateurs directement dans les outils qu'ils utilisent déjà et en détectant automatiquement les API fantômes sans demander à vos développeurs de modifier leur processus de développement. Le tout sans avoir à convaincre les équipes internes de modifier leur comportement en quoi que ce soit.
Si vous lisez cet article et que n'importe laquelle de vos tâches quotidiennes implique la sécurisation d'une entreprise, je pense que d'ici la fin de la semaine, nous vous aurons grandement facilité le travail. Grâce aux nouveaux outils et aux nouvelles intégrations que nous prévoyons de lancer, vous serez en mesure de protéger une plus grande partie de votre infrastructure contre une gamme de menaces plus étendue, tout en réduisant le nombre de tiers auxquels vous faites appel. Plus important encore, vous pourrez réduire le nombre d'erreurs que les formidables humains avec lesquels vous travaillez peuvent commettre. J'espère que cette perspective vous permettra de mieux dormir !