L’approche SASE axée sur le renseignement sur la menace cyber

2 ans ont suffit pour tout bouleverser. 

La pandémie a laissé en héritage aux organisations françaises de nouvelles pratiques de travail de plus en plus collaboratives et nomades. Cela a impacté les communications, le réseau et les modes d’accès. Ainsi les organisations changent de posture de cybersécurité pour s’adapter à leurs environnements et placent le renseignement sur la menace cyber au centre de leur stratégie. Confrontées aux problématiques de travail nomade, les organisations s’orientent vers l’approche SASE : Secure Access Service Edge. Mis en lumière par Gartner pour la première fois en 2019, ce concept offre une centralisation des fonctions de sécurité et du réseau pour simplifier la gestion des modes d’accès complexes. 

SASE couvre des fonctions de sécurité du réseau clés, telles que : 

• La sécurité des accès au web 
• Le CASB 
• Le “firewall as a service” et le concept de Zero Trust 

Toutes ces fonctions ont pour but de gérer les ressources informatiques partout et à tout moment.

A grande échelle, l’approche SASE applique une sécurité centrée sur l’utilisateur (son identité et son contexte) plutôt que sur l’appareil qu’il utilise. Les décisions sur les accès sont prises automatiquement dans le cloud, quelque soient les besoins de l’organisation, afin d’assurer une continuité d’activité, une sécurité flexible et sans limites de performances aaS. 

Cette approche unique ne doit pas omettre un facteur crucial pour assurer la réussite d’une politique de cybersécurité : le renseignement sur la menace cyber. 

Qu’est-ce qu’une approche axée sur le renseignement ? 

Une approche de la cybersécurité fondée sur le renseignement sur la menace complète les politiques d’accès automatisé d’une initiative SASE avec de la donnée pour renforcer les défenses de cybersécurité. Cela maintient une solution SASE dynamique et pertinente en la mettant constamment à jour avec de nouvelles informations sur les menaces. Le centre d’opérations de sécurité (SOC) dédié, répond et gère rapidement les aux incidents de cybersécurité émergents. 

Les données sont au cœur d’une approche fondée sur le renseignement. Les cybercriminels agissent en permanence, ce qui nécessite pour les entreprises d’assurer leurs opérations de cybersécurité sans discontinuité. Une posture de sécurité robuste repose sur une connaissance évolutive du paysage des menaces et des vulnérabilités. 

Le point de démarrage est la veille en matière de vulnérabilités et potentielles failles de cybersécurité. Les organisations qui opèrent une approche SASE doivent en maitriser les fonctions de cybersécurité virtuelles associées, en surveillant l’infrastructure pour détecter et remédier aux incidents. Elles doivent également protéger les assets IT et logiciels auxquels les utilisateurs accèdent, allant des systèmes de stockage distants aux applications métier. De nouvelles vulnérabilités apparaissent chaque jour dans les systèmes des organisations. Identifier ces points faibles et les corriger grâce aux produits et services installés spécifiquement, aidera les entreprises à réagir rapidement. 

Prendre des décisions fondées sur des faits et non des hypothèses 

Les données sur la menace cyber sont un élément essentiel de cette approche. Un fournisseur de services doit rassembler et organiser des informations sur les acteurs de la menace ciblant les systèmes des organisations, qu’ils soient dirigés ou soutenus par des réseaux criminels, des gouvernements ou des groupes hacktivistes. Il surveillera les techniques de ces groupes d’attaque à mesure qu’elles évoluent au fil du temps. Le renseignement sur la menace surveille également les nouveaux “exploits”, c’est à dire les attaques qui tirent parti des vulnérabilités connues et inconnues (Zero-day). 

Ces données proviennent de multiples sources d’information. La Recherche et Développement du fournisseur de services sont une 1ère source, tout comme les données qu’il récupère dans ses opérations quotidiennes. Il combinera cela avec les données des flux de menaces agrégés, révélant des indicateurs de compromission, une source complète et fiable d’informations sur les menaces. Nous vous conseillons ainsi de chercher un fournisseur de services travaillant régulièrement avec les organismes de réglementation pour obtenir une couche supplémentaire d’informations de qualité sur les conditions émergentes des cybermenaces. 

Ces données sont traitées et corrélées avec tous les renseignements sur la menace cyber, s’appuyant fortement sur un SOC 24×7 hautement performant. Les analystes hiérarchiseront les menaces, soulignant la nécessité de correctifs urgents et neutralisant d’abord les menaces les plus critiques. 

Intégrer le renseignement sur la menace cyber dans votre projet SASE 

Les projets SASE sont des initiatives de transformation digitales modulaires. Ils entrainent des déploiements échelonnés alignés sur des considérations commerciales telles que les dates d’expiration des contrats pour les produits et services existants. Chez Orange Cyberdefense, nous préconisons d’intégrer le renseignement sur la menace cyber dans votre approche SASE, dès le début et au fil des trois étapes suivantes. 

Identifier 

Chaque implémentation SASE est différente, en fonction des besoins techniques uniques de l’organisation et de son profil de risque. Cette première étape est le moment de plaider en faveur d’une initiative SASE axée sur le renseignement auprès des principaux décideurs. Travailler avec un fournisseur de services permet de créer et concevoir une stratégie de cybersécurité fiable et cohérente. 

Un consultant vous aidera à évaluer votre posture actuelle et à définir les priorités en matière de cybersécurité qui guideront votre initiative SASE. ll s'agit notamment d'analyser les facteurs de sécurité de l'entreprise, d'identifier les menaces et de les mettre en correspondance avec les risques spécifiques de l'entreprise. 

L’évaluation de votre architecture de cybersécurité actuelle vous préparera à une analyse des faiblesses, en vous permettant de mettre en correspondance vos mesures de protection existantes avec votre vision SASE afin de créer une feuille de route.

Votre consultant vous aidera à identifier le cadrage SASE le plus approprié pour votre entreprise. 

Protéger 

Au cours de cette étape, vous travaillerez avec votre fournisseur de services pour concevoir une architecture SASE qui sécurise les connexions entre les utilisateurs, les applications et les données. Il protégera les utilisateurs contre les menaces cyber, quel que soit leur emplacement. Vous bénéficierez ainsi des connaissances en cybersécurité et en réseau du consultant pour mettre en œuvre la solution issue des meilleures pratiques de l’industrie. Cette architecture doit inclure un composant de service de cybersécurité managé qui transmet des données sur les menaces et les vulnérabilités en constante évolution vers votre infrastructure SASE. 

Détecter et répondre 

Cette dernière étape est celle où les renseignements sur les menaces, combinés aux services de SOC managés nourrissent efficacement la solution SASE. C’est aussi une étape qui supervise et améliore en continu votre posture de cybersécurité. Les analystes, à l’aide d’outils automatisés de détection et de réponse aux menaces du SOC, surveilleront tous les composants de la solution SASE. Ils combineront cette télémétrie avec les informations sur les menaces pour identifier et gérer rapidement les incidents émergents. 

Conclusion 

S’il y a un point à retenir pour les organisations qui envisagent de mettre en œuvre une approche SASE, c’est que cela va au-delà d’une solution technologique. C’est une discipline qui nécessite une boucle de rétroaction constante pour maintenir les mesures de protection étroitement adaptées aux menaces du monde réel. 

La prise en compte des informations sur les vulnérabilités et les menaces dans la conception de votre initiative SASE aidera à protéger votre entreprise contre les attaques à venir. Cela vous permettra de gérer les vecteurs d’attaque croissants et le trafic réseau malveillant. 

Définir une bonne approche pour piloter votre stratégie SASE à long terme est un défi, mais nous sommes là pour vous aider. 

En résumé, adopter une approche SASE c'est : 

• Se doter de capacités à appliquer un politique de sécurité uniforme, de bout en bout ; 

• Adopter une plateforme aaS flexible, non limitante en termes de performance ; 

• Optimiser l’expérience utilisateur.