D’année en année, le nombre d’attaques informatiques ne cesse d’augmenter, occasionnant des dégâts plus ou moins spectaculaires suivant les cibles. En 2022, ce n’est pas moins de 831 cyberattaques avérées qui ont été remontées à l’ANSSI. Et il ne s’agit que de la partie visible.
Certaines actions malveillantes pourraient néanmoins être évitées. Ou plutôt rendues inoffensives grâce à la mise en place des standards de hardening (durcissement des systèmes en français) sur les systèmes informatiques, mais surtout à leur suivi durant l’ensemble de leur cycle de vie. Le hardening système consiste à réduire au strict nécessaire le nombre d’objets présents sur un système (applications, bibliothèques…) et les droits accordés aux utilisateurs. La surface d’attaque est ainsi diminuée.
Cette pratique figure logiquement parmi les recommandations de base des référentiels de sécurité, mais sa mise en œuvre et son contrôle régulier sont fastidieux. Les machines, utilisées pour bâtir des SI de plus en plus sophistiqués, ont en effet une tendance à la « dérive », au gré des incidents ayant nécessité une intervention, des mises à jour et évolutions du système.
Des outils permettent aujourd’hui d’automatiser une bonne partie de la sécurité opérationnelle : configuration des machines conformément aux règles de sécurité établies par l’organisation, patch management, prévention de cette « dérive » et contrôle continu de la conformité. Bienvenue dans l’ère de la « sécurité continue ».
La simplicité des outils DevOps VS la complexité de gérer une infrastructure
L’utilisation d’outils de déploiement, d’orchestration et de gestion des configurations est désormais généralisée, conséquence heureuse de la mouvance DevOps dans le monde de l’IT. Par ailleurs, l’intégration de profils Ops dans les équipes de Dev a significativement fluidifié le déploiement des applications grâce à une meilleure collaboration. Seulement voilà : le maintien en condition et à jour au fil du temps des infrastructures est encore trop souvent négligé. Petit à petit, la connaissance fine, la maîtrise globale de l’infrastructure et la capacité à prendre du recul sur les problématiques transverses – autant de compétences jadis portées par les sysadmins – se sont émiettées.
Or, existe-il une construction humaine plus complexe qu’une architecture informatique qui évolue en continu et qui doit composer avec les choix du passé ? Au final, une infrastructure ressemble souvent à un parc hétérogène ayant hérité d’une dette technique, d’un catalogue d’interdépendances et de contraintes qui s’épaissit chaque jour.
Rationaliser cette complexité, qui naturellement augmente, est une activité largement sous-estimée. C’est pourtant un levier essentiel pour sécuriser une infrastructure. Et c’est là qu’intervient le hardening, mais également les mises à jour système et le suivi des vulnérabilités.
Sans ces procédés, on est contraint d’intervenir en mode « pompier », ajoutant de potentielles failles à chaque correction effectuée en urgence. Car en cas d’incident de sécurité, il faut tout faire pour éteindre le feu, quitte à casser portes et fenêtres… Or même si les patchs provisoires ne sont pas faits pour durer, ces derniers perdurent au même titre que les solutions de contournement ; créant ainsi de nouvelles failles et faiblesses difficiles à identifier, qui pourront tôt ou tard être exploitées par un attaquant ou causer un dysfonctionnement du service.
Hardening et patch management, 2 piliers majeurs de la « Security in depth »
Si des équipes dédiées, comme les équipes SOC (security operation center), sont nécessaires pour réagir aux incidents, il est regrettable de ne pas tout mettre en œuvre en amont pour les éviter ou au moins les anticiper.
C’est la raison pour laquelle émerge le concept de « Security in depth », sécurité en profondeur en français. Il s’agit d’une tactique visant à superposer plusieurs couches de contrôles de sécurité héritée de la NSA. Son but ? Fournir une redondance en cas de défaillance d’un contrôle ou de l’exploitation d’une faille. Même si ces vulnérabilités ne sont évidemment pas toujours le point d’entrée d’une attaque, elles peuvent permettre à un intrus de rebondir d’une machine à l’autre jusqu’à trouver une porte ouverte donnant accès aux systèmes.
Si l’on reprend l’analogie des pompiers, l’idée du hardening et du patch management est d’installer, au moment où tout va bien, autant de portes coupe-feu que possible pour décourager les attaques et limiter la nécessité d’interventions réactives. Rien n’est en effet plus efficace que d’intégrer la sécurité dans les opérations du quotidien, et ce, dès le déploiement de nouvelles machines.
C’est précisément ce que proposent les outils tels que Rudder, en vous donnant les moyens de mettre en pratique efficacement le hardening, de suivre les vulnérabilités impactant vos systèmes, de gérer le déploiement des patchs (patch management)… Et surtout de contrôler la dérive dans le temps.
Faire perdurer les effets bénéfiques des audits… ou comment éviter la dérive
Toutes les organisations ont aujourd’hui une politique de sécurité qui va du respect des règles d’hygiène informatique élémentaires, telles que décrites par l’ANSSI, SecNumCloud ou CIS Benchmarks, jusqu’aux référentiels de sécurité les plus pointus exigés par les normes ISO 27 0001 ou encore les certifications PCI-DSS pour les données de paiement et HDS pour les données de santé. Les audits réguliers menés pour valider la conformité des infrastructures poussent à faire le tour du parc pour corriger, mettre à jour et optimiser la sécurisation des systèmes. Des semaines de travail pour être irréprochable le jour J. Mais le fruit de ces efforts est vite dissipé par l’entropie naturelle d’un système informatique qui évolue en permanence et subit des interventions humaines, le plus souvent non tracées. C’est ce que l’on appelle la « dérive ».
Les méthodes de sécurité énumérées ci-dessus permettent donc aussi d’assurer la conformité via l’automatisation du déploiement et du contrôle continu des règles définies par l’organisation. Et ça change tout : l’audit devient un non-événement puisqu’il est continu et automatisé. L’écart entre les configurations souhaitées et l’état réel de vos machines est calculé et corrigé. Non seulement, vous contrôlez ainsi la dérive et assurez le maintien de la sécurité à tous les niveaux selon le concept de security in depth, mais vous avez également une totale visibilité sur vos systèmes, ainsi que la possibilité de produire des rapports en quelques clics.
C’est d’ailleurs en se basant sur le concept de conformité par design qu’est né Rudder. Il fonctionne à l’aide d’agents légers, déployés sur chaque machine, qui collectent et remontent en temps réel des informations utiles pour la configuration automatique des serveurs. Mais aussi et surtout pour donner de la visibilité (via une interface web graphique) sur l’état d’un parc et contrôler cette dérive.
Sécurité et conformité : les deux faces d’une même pièce ?
Si la conformité a toujours été intimement liée aux enjeux de sécurité, ces deux aspects se révèlent plus que jamais complémentaires et indissociables pour gérer les infrastructures d’aujourd’hui. À tel point que les outils de gestion de configurations adoptent désormais des fonctionnalités de contrôle de la conformité, et inversement.
Pour démocratiser l’application des bonnes pratiques de sécurité, Rudder propose ainsi des règles prédéfinies et ajustables ; auxquelles vous pouvez bien sûr ajouter vos propres règles spécifiques à votre infra et à vos contraintes métier… Bref, tout ce qui rend votre cas d’usage unique et votre expérience précieuse.
Rudder est également un bras droit utile pour renforcer la sécurité de vos systèmes en obtenant des informations détaillées sur les mises à jour et les vulnérabilités qui affectent vos machines, en fonction de leur OS et des applications qui y sont installées. Vous pouvez ainsi remédier aux failles avant qu’elles ne soient exploitées et limiter les risques. Y compris les risques juridiques, puisque les autorités de contrôle ont déjà considéré que l’obsolescence logicielle ouvrait une brèche conséquente pour les attaques et constituait donc un manquement.
Un outil tel que Rudder ne fait certes pas tout. L’expertise de vos équipes de sécurité reste nécessaire. Il faudra toujours, par exemple, prendre des décisions pour remédier aux vulnérabilités dont vous aurez été alertés et pour lesquelles il n’existe pas encore de correctifs. Mais grâce à l’automatisation de la sécurité et de la conformité, Rudder permet d’augmenter l’efficacité des équipes dédiées à l’infrastructure et de fiabiliser leurs interventions. Vous serez débarrassé des corvées qui peuvent être gérées automatiquement et nécessitent des contrôles réguliers. Vous pourrez ainsi concentrer vos efforts sur les cas particuliers et les menaces les plus avancées. Vos adversaires, eux aussi, automatisent tout ce qui peut l’être pour augmenter l’efficacité de leurs attaques, pour les industrialiser. Aujourd’hui, vous ne pouvez pas faire moins pour rivaliser.
