Subscribe to receive notifications of new posts:

Utiliser la suite Cloudflare for Unified Risk Posture

05/07/2024

14 min read
Introducing Cloudflare for Unified Risk Posture

La gestion du niveau de risque (c'est-à-dire la manière dont votre entreprise évalue, hiérarchise et atténue les risques) n'a jamais été aussi simple. Toutefois, avec la croissance rapide des surfaces d'attaque, cette tâche est devenue de plus en plus complexe et inefficace. (Une étude mondiale a révélé que les membres de l'équipe SOC consacrent, en moyenne, un tiers de leur journée de travail à des incidents qui ne présentent aucune menace).

Mais que diriez-vous si vous pouviez atténuer les risques au prix de moins d'efforts et avec moins de bruit ?

Cette publication explore la manière dont Cloudflare peut aider ses clients à y parvenir, grâce à une nouvelle suite faisant converger les fonctionnalités de nos catalogues de solutions de sécurité SASE (Secure Access Services Edge, service d'accès sécurisé en périphérie) et WAAP (Web Application And API, protection des applications web et des API). Nous allons vous expliquer :

  • Pourquoi cette approche vous permet de protéger une plus grande partie de votre surface d'attaque, tout en réduisant les efforts en matière de SecOps.
  • Trois scénarios d'utilisation clés, dont l'application de la sécurité Zero Trust dans le cadre de notre partenariat élargi avec CrowdStrike.
  • Les autres nouveaux projets, basés sur ces fonctionnalités, que nous sommes en train d'étudier.

Cloudflare for Unified Risk Posture

Nous annonçons aujourd'hui le lancement de Cloudflare for Unified Risk Posture, une nouvelle suite de fonctionnalités de gestion des risques liés à la cybersécurité conçue pour aider les entreprises à appliquer automatiquement et dynamiquement leur stratégie en matière de risques à l'ensemble de leur surface d'attaque en pleine expansion. Une plateforme unifiée permet aujourd'hui aux entreprises :

  • D'évaluer les risques pour l'ensemble de leurs utilisateurs et de leurs applications : Cloudflare évalue le risque posé par les utilisateurs à l'aide de modèles UEBA (User Entity and Behavior Analytics, analyse des entités et du comportement des utilisateurs) et les risques pour les applications, les API et les sites à l'aide de modèles de détection des contenus malveillants, des menaces zero-day et des bot.
  • D'échanger des indicateurs de risque avec des partenaires d'exception : Cloudflare ingère les scores de risque issus des meilleurs partenaires d'EPP (Endpoint Protection, protection des points de terminaison) et d'IDP (Identity Provider, fournisseurs d'identité), avant de transmettre vos données télémétriques à vos plateformes SIEM (Security Information and Event Management, gestion des événements et des informations de sécurité) et XDR (Extended Detection and Response, fonctionnalités de détection et de réponse étendues) afin d'enrichir vos analyses, le tout via des intégrations uniques à notre API unifiée.
  • D'appliquer des mesures de contrôle des risques automatisées à grande échelle : en s'appuyant sur ces scores de risque dynamiques propriétaires et tiers, Cloudflare applique des mesures de contrôle des risques cohérentes aux utilisateurs et aux applications, partout dans le monde.

Figure 1 : schéma de la suite Unified Risk Posture

Comme nous l'avons mentionné plus haut, cette suite fait converger les fonctionnalités issues de nos catalogues de sécurité SASE et WAAP sur notre réseau mondial. Les clients peuvent désormais tirer parti de fonctionnalités de gestion des risques intégrées, proposées dans le cadre de ces catalogues existants.

Ce lancement s'appuie sur nos efforts progressifs visant à étendre la visibilité et les mesures de contrôle propriétaires à des intégrations tierces afin de permettre aux entreprises de s'adapter plus facilement à l'évolution des risques. Prenons un exemple. Dans le cadre de la Security Week 2024, nous avons annoncé la mise en disponibilité générale d'un système de notation des risques liés aux comportements des utilisateurs et la disponibilité en version bêta d'un assistant soutenu par IA, conçu pour vous aider à analyser les risques visant vos applications. Lors d'une récente intégration à l'automne 2023, nous avons annoncé que nos clients utilisateurs de solutions de sécurité du courrier électronique cloud pouvaient ingérer et afficher les menaces détectées par nos outils dans le tableau du SIEM de nouvelle génération, CrowdStrike Falcon®.

Afin de mieux gérer votre stratégie en matière de risques, vous pourrez tirer avantage des nouvelles fonctionnalités et intégrations de Cloudflare, notamment :

  • Une nouvelle intégration permettant de transmettre les données de la plateforme Zero Trust et les journaux e-mail de Cloudflare au SIEM de nouvelle génération CrowdStrike Falcon (fonctionnalité déjà disponible).
  • Une nouvelle intégration permettant de transmettre le score de risque utilisateur de Cloudflare à Okta afin d'appliquer des politiques d'accès (prochainement, vers la fin du deuxième trimestre 2024).
  • De nouveaux modèles UEBA propriétaires, incluant notamment les scores de risque utilisateur basés sur la vérification du niveau de sécurité des appareils (prochainement, vers la fin du deuxième trimestre 2024).

L'unification des étapes d'évaluation, d'échange et d'application de la gestion des risques sur la plateforme de Cloudflare permet d'aider les responsables de la sécurité à atténuer les risques, au prix d'efforts moindres. En tant que fournisseur de cybersécurité protégeant à la fois les infrastructures publiques et les infrastructures internes, Cloudflare jouit d'une position unique pour protéger de larges pans de votre surface d'attaque croissante. L'association d'un score de risque dynamique, d'intégrations flexibles et d'une application automatisée permet d'obtenir deux résultats opérationnels principaux :

  1. Réduction des efforts au sein des SecOps grâce à une réduction du processus de création manuelle politiques et à une plus grande agilité lors de la réponse aux incidents. Cette approche se traduit par une baisse du nombre de clics nécessaires pour élaborer des politiques, une augmentation de l'automatisation des flux de travail, ainsi qu'une réduction des temps moyens de détection (MTTD) et des temps moyens de réponse (MTTR).
  2. Réduction du cyber-risque grâce à une visibilité et à des mesures de contrôle couvrant les utilisateurs et les applications. Cette approche se traduit par une diminution du nombre d'incidents critiques et une augmentation du nombre de menaces bloquées automatiquement.

Plusieurs clients, comme Indeed, le premier site consacré à l'emploi du monde, constatent déjà ces effets résultant de leur partenariat avec Cloudflare :

« Cloudflare nous aide à atténuer plus efficacement les risques au prix d'efforts moindres et simplifie la manière dont nous déployons le Zero Trust sur l'ensemble de l'entreprise. »
Anthony Moisant, SVP, Chief Information Officer et Chief Security Officer, Indeed

Problématique : des risques trop nombreux sur une surface d'attaque trop importante

La gestion du niveau de risque est un défi intrinsèquement vaste, couvrant les menaces internes et les menaces externes sur l'ensemble des vecteurs d'attaque. Vous trouverez ci-dessous un échantillon des facteurs de risque suivis par les RSSI et leurs équipes de sécurité sur les trois dimensions du quotidien : les utilisateurs, les applications et les données.

  • Risques envers les utilisateurs : phishing, ingénierie sociale, logiciels malveillants, rançongiciels, accès à distance, menaces internes, compromission des accès physiques, risques visant les tiers/la chaîne d'approvisionnement, appareils mobiles/BYOD.
  • Risques envers les applications : déni de service, exploitations zero-day, injection SQL, Cross-Site Scripting (injection de scripts intersites), exécution de code à distance, bourrage d'identifiants (Credential Stuffing), usurpation de compte, utilisation d'informatique fantôme (Shadow IT), abus d'API.
  • Risques envers les données : perte/exposition de données, vol/violation de données, violation de la confidentialité, violation de la conformité, falsification de données.

Des solutions dédiées ont vu le jour afin de verrouiller certains de ces risques spécifiques et leurs vecteurs d'attaque spécifiques. Toutefois, au fil du temps, les entreprises ont accumulé de nombreux services, assortis d'une capacité limitée à communiquer entre eux et à se doter d'une vision plus globale des risques. La télémétrie granulaire générée par chaque outil a conduit à une surcharge d'informations pour les membres des équipes de sécurité, aujourd'hui plus sollicitées que jamais. Les plateformes SIEM et XDR jouent un rôle essentiel dans l'agrégation de données relatives aux risques sur l'ensemble des environnements et l'atténuation des menaces basées sur l'analyse. Toutefois, ces outils exigent toujours du temps, des ressources et une certaine expertise pour fonctionner efficacement. Toutes ces difficultés ont empiré avec l'expansion rapide des surfaces d'attaque, lorsque les entreprises ont commencé à adopter de plus en plus le travail hybride, à développer de nouvelles applications numériques et, plus récemment, à expérimenter l'IA.

Comment Cloudflare contribue à la gestion de la stratégie en matière de risques

Pour vous aider à reprendre le contrôle et à vous défaire de cette complexité, la suite Cloudflare for Unified Risk Posture propose une plateforme unique permettant d'évaluer les risques, d'échanger des indicateurs et d'appliquer des mesures de contrôle dynamiques à l'ensemble des environnements informatiques et partout dans le monde, tout en complétant les outils de sécurité sur lesquels votre entreprise se repose déjà.

Si les risques spécifiques que Cloudflare peut atténuer sont variés (et comprennent, entre autres, tous ceux qui figurent dans les exemples ci-dessus), les trois scénarios d'utilisation suivants représentent l'ensemble de nos fonctionnalités, dont vous pouvez commencer à tirer parti dès aujourd'hui.

Scénario d'utilisation 1 : appliquer la sécurité Zero Trust avec Cloudflare et CrowdStrike

Ce premier scénario d'utilisation met en lumière la flexibilité avec laquelle Cloudflare s'intègre à votre écosystème de sécurité actuel afin de faciliter l'adoption des bonnes pratiques en matière de Zero Trust.

Cloudflare intègre et ingère les signaux de sécurité issus des meilleurs partenaires d'EPP et d'IDP afin de contrôler l'identité et le niveau de sécurité des appareils pour chaque requête d'accès, quelle que soit la destination. Vous pouvez même intégrer plusieurs fournisseurs à la fois afin d'appliquer des politiques différentes dans des contextes différents. Par exemple, grâce à l'intégration à CrowdStrike Falcon®, nos clients communs peuvent appliquer des politiques basées sur le score Falcon ZTA (Zero Trust Assessment, évaluation Zero Trust), qui assure une évaluation du niveau de sécurité en temps réel sur l'ensemble des points de terminaison d'une entreprise, indépendamment de la position géographique, du réseau ou de l'utilisateur. En outre, les clients peuvent ensuite transmettre les journaux d'activité générés par Cloudflare (notamment l'ensemble des requêtes d'accès) aux fournisseurs de stockage cloud ou d'analyse de leur choix.

Nous annonçons aujourd'hui l'extension de notre partenariat avec CrowdStrike en vue d'une nouvelle intégration permettant aux entreprises de transmettre leurs journaux au SIEM de nouvelle génération Falcon à des fins de l'analyse et d'investigation. Le SIEM de nouvelle génération Falcon unifie les données propriétaires et tierces, les informations natives sur les menaces, l'IA et l'automatisation des flux de travail afin de soutenir la transformation SOC et d'assurer une meilleure protection contre les menaces. L'intégration de la plateforme Cloudflare Zero Trust et des journaux d'e-mails au SIEM de nouvelle génération Falcon permet à nos clients communs d'identifier et d'analyser les risques liés à la connectivité Zero Trust et au courrier électronique, avant de croiser les données avec d'autres sources de journaux afin d'identifier les menaces dissimulées.

« Falcon, le SIEM nouvelle génération de CrowdStrike, assure des performances jusqu'à 150 fois plus rapides en matière de recherche par rapport aux SIEM d'ancienne génération et aux produits qui se positionnent comme une alternative aux SIEM. Nos données télémétriques révolutionnaires, associées aux robustes fonctionnalités Zero Trust de Cloudflare, cimentent un partenariat sans précédent. Ensemble, nous faisons converger deux des éléments les plus essentiels du puzzle que constitue la gestion des risques et auquel les entreprises de toutes les tailles doivent s'attaquer pour lutter contre les menaces croissantes d'aujourd'hui. »
Daniel Bernard, Chief Business Officer chez CrowdStrike

Vous trouverez ci-dessous un exemple de flux de travail illustrant la manière dont Cloudflare et CrowdStrike agissent de concert pour appliquer des politiques Zero Trust et atténuer les risques émergents. Les plateformes Cloudflare et CrowdStrike se complètent l'une l'autre en échangeant des données sur l'activité et les risques, avant d'appliquer des politiques et des mesures correctives basées sur les risques.

Figure 2 : appliquer le Zero Trust avec Cloudflare et CrowdStrike

Phase 1 : investigations automatisées

Phase 2 : mise en œuvre du Zero Trust

Phase 3 : déploiement de mesures correctives

Cloudflare et CrowdStrike aident une entreprise à identifier qu'un utilisateur a été compromis.


Dans cet exemple, Cloudflare a récemment bloqué les e-mails de phishing et la navigation sur les sites web à risque, afin de constituer ainsi la première ligne de défense. Ces journaux sont ensuite transmis au SIEM de nouvelle génération CrowdStrike Falcon, qui alerte l'analyste de votre entreprise des activités suspectes.


Parallèlement, la plateforme CrowdStrike Falcon Insight XDR analyse automatiquement l'appareil de l'utilisateur et détecte s'il est infecté. En conséquence, le score Falcon ZTA reflétant l'intégrité de l'appareil est abaissé.

Cette entreprise a mis en place des mesures de contrôle du niveau de sécurité des appareils par le biais de la plateforme d'accès réseau Zero Trust (ZTNA) de Cloudflare, afin d'autoriser l'accès uniquement lorsque le score de risque Falcon ZTA est supérieur à un seuil spécifique défini par l'entreprise. 


Notre plateforme ZTNA rejette la requête d'accès à une application émise ensuite par l'utilisateur, car le score Falcon ZTA est inférieur à ce seuil.


Du fait de l'échec de la vérification du niveau de sécurité des appareils, Cloudflare augmente le score de risque pour cet utilisateur, qui se retrouve placé dans un groupe aux mesures de contrôle plus restrictives. 




En parallèle, le SIEM nouvelle génération de CrowdStrike a continué à analyser l'activité de cet utilisateur spécifique et les risques plus larges qu'il fait courir à l'entreprise sur l'ensemble de son environnement. En s'appuyant sur des modèles d'apprentissage automatique, CrowdStrike fait apparaître les principaux risques et propose à vos analystes des solutions pour chacun d'eux.


L'analyste peut alors examiner et sélectionner des mesures correctives (par exemple, mettre en quarantaine l'appareil de l'utilisateur) afin de réduire encore davantage les risques pesant sur l'ensemble de l'entreprise. 


Scénario d'utilisation 2 : protéger les applications, les API et les sites web

Le scénario d'utilisation suivant se concentre sur la protection des applications, des API et des sites web contre les acteurs malveillants et les bots. De nombreux clients adoptent Cloudflare en premier lieu dans le cadre de ce scénario, mais peuvent ne pas avoir conscience des algorithmes d'évaluation des risques qui sous-tendent leur protection.

Figure 3 : protéger vos applications, vos API et vos sites grâce à des informations sur les menaces soutenues par l'apprentissage automatique

Les services pour applications de Cloudflare détectent et atténuent les contenus et les bots malveillants à l'aide de modèles de risque soutenus par l'apprentissage automatique (Machine Learning) comme les suivants :

Ces modèles de risque sont en grande partie nourris des données télémétriques du réseau mondial de Cloudflare, utilisé comme proxy inverse par près de 20 % de l'ensemble des sites web du monde et reçoit environ 3 000 milliards de requêtes DNS chaque jour. Cette visibilité unique en temps réel est à l'origine de nos informations sur les menaces et nous permet même de détecter et d'atténuer les vulnérabilités zero-day avant les autres.

Cloudflare utilise également l'apprentissage automatique pour identifier les nouveaux points de terminaison et les schémas d'API sans intervention préalable du client. Cette fonctionnalité aide les entreprises à identifier les API non authentifiées et à dresser une carte de leur surface d'attaque croissante avant d'appliquer des mesures de protection.

Contrairement à celles d'autres fournisseurs, l'architecture réseau de Cloudflare permet le partage de modèles d'évaluation des risques et de mesures de contrôle de la sécurité des infrastructures accessibles au public et internes, et ce sur l'ensemble de nos services. Les entreprises peuvent donc appliquer des mesures de protection contre l'exploitation des vulnérabilités des applications, les attaques DDoS et les bots en amont de leurs applications internes, comme les serveurs Jira et Confluence auto-hébergés, afin de leur permettre de se protéger contre les menaces émergentes, voire zero-day.

Les entreprises peuvent examiner les erreurs de configuration, les vulnérabilités et les potentiels risques de fuites de données présentant une incidence sur la posture de risque de leurs applications, de leurs API et de leurs sites web dans le centre de sécurité Cloudflare. Nous développons actuellement cette vue centralisée de la gestion du niveau de risque en intégrant des alertes et des informations à l'ensemble de notre catalogue de produits de sécurité. Pour tout dire, nous avons récemment annoncé des mises à jour conçues pour mettre en évidence les lacunes dans la manière dont votre entreprise a déployé ses services Cloudflare.

Enfin, nous facilitons également la tâche des entreprises cherchant à enquêter directement sur les événements de sécurité et avons récemment annoncé la disponibilité de la version bêta de Log Explorer. Avec cette version bêta, les équipes de sécurité peuvent visualiser l'ensemble de leur trafic HTTP au même endroit grâce à des fonctionnalités de recherche, des tableaux de bord d'analyse et des filtres intégrés. Ces capacités peuvent aider nos clients à surveiller davantage de facteurs de risque au sein de la plateforme Cloudflare par rapport à l'exportation vers des outils tiers.

Scénario d'utilisation 3 : protéger les données sensibles grâce à l'UEBA

Ce troisième scénario d'utilisation résume une approche courante proposée par de nombreux clients pour tirer parti de nos scores de risque utilisateur/UEBA afin de prévenir les fuites et l'utilisation incorrecte de données sensibles :

Figure 4 : protéger vos applications, vos API et vos sites à l'aide d'informations sur les menaces soutenues par l'apprentissage automatique

  • Phase 1 : dans cet exemple, l'équipe de sécurité a déjà configuré les politiques de DLP (Data Loss Prevention, prévention des pertes de données) pour détecter et bloquer le trafic contenant des données sensibles. Ces politiques empêchent les tentatives répétées par un utilisateur d'importer du code source au sein d'un référentiel GitHub public.
  • Phase 2 : comme cet utilisateur a maintenant violé un grand nombre de politiques DLP en peu de temps, Cloudflare attribue un risque élevé à cet utilisateur suspect, indépendamment du fait que ce dernier ait été animé d'une intention malveillante ou bienveillante lors de ces importations de données. L'équipe de sécurité peut désormais enquêter davantage sur cet utilisateur spécifique, notamment en examinant l'ensemble de son activité récente enregistrée dans les journaux.
  • Phase 3 : les administrateurs peuvent ensuite définir des règles ZTNA ou même d'isolement de navigateur pour bloquer ou isoler l'accès à une application contenant d'autres données sensibles pour cet utilisateur spécifique ou un groupe d'utilisateurs à haut risque.

Dans l'ensemble, ce flux de travail met en évidence la manière dont les mesures de contrôle du niveau de sécurité de Cloudflare s'adaptent aux comportements suspects, de l'évaluation à l'application des mesures.

Bien se lancer dans la gestion unifiée du niveau de risque

Les scénarios d'utilisation ci-dessus reflètent la manière dont nos clients unifient la gestion des risques avec Cloudflare. Les conversations avec nos clients ont dégagé quelques thématiques expliquant pourquoi ils ont confiance en notre vision pour les aider à gérer les risques sur l'ensemble de leur surface d'attaque croissante :

  • La simplicité de notre plateforme unifiée : nous regroupons le SASE, ainsi que la notation et les mesures de contrôle des risques WAAP pour les utilisateurs et les applications. En outre, grâce à une API unique à l'ensemble des services Cloudflare, les entreprises peuvent automatiser et personnaliser facilement leurs flux de travail à l'aide d'outils d'infrastructure en tant que code, comme Terraform.
  • La flexibilité de nos intégrations : nous échangeons des signaux de risque avec les fournisseurs EPP, IDP, XDR et SIEM que vous utilisez déjà, afin de vous permettre d'accomplir davantage avec vos outils et vos données. En outre, grâce aux intégrations uniques applicables à l'ensemble de nos services, vous pouvez étendre les mesures de contrôle à tous vos environnements informatiques avec agilité.
  • L'échelle de notre réseau mondial : nos clients peuvent exécuter chaque service de sécurité dans n'importe quel emplacement de notre réseau, qui couvre plus de 320 emplacements et comporte plus de 13 000 interconnexions. L'inspection en une seule passe et l'application des politiques en matière de risque sont ainsi toujours rapides, cohérentes et résilientes, et s'effectuent à proximité de vos utilisateurs et de vos applications.

Si vous souhaitez découvrir de quelle manière Cloudflare peut vous aider à gérer vos risques, demandez une consultation dès aujourd'hui. Ou, si vous assistez à la conférence RSAC 2024, n'hésitez pas à participer à l'un de nos événements en présentiel.

Pour continuer à en apprendre davantage sur la manière dont Cloudflare peut vous aider à évaluer les risques, échanger des indicateurs de risque et appliquer des mesures de contrôle des risques, consultez d'autres ressources sur notre site web.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Risk Management (FR)Cloudflare One (FR)SASE (FR)CrowdStrike (FR)Français

Follow on X

Cloudflare|@cloudflare