Auteur/autrice : Aubin

2 piliers essentiels pour un réseau d’entreprise moderne et sécurisé

A leur émergence il y a quelques années, les architectures de sécurité SASE (Secure Access Service Edge) et les outils de sécurité CASB (Cloud Access Security Broker) promettaient de révolutionner la sécurité des infrastructures réseaux et cloud. Plusieurs années après, qu’en est-il dans les faits ?  Quelle complémentarité entre les deux approches ?

Les premières solutions CASB ont été développées dans les années 2010 par des startups spécialisées, avec l’objectif de répondre aux problématiques de sécurité qui accompagnaient l’adoption massive des services cloud par les entreprises. Rapidement, les grands acteurs de la cybersécurité ont reconnu la pertinence de cette approche et ont commencé à proposer leurs propres solutions CASB.

La notion de SASE est quant à elle apparue près de 10 ans plus tard. A son origine, le très reconnu Gartner, qui promettait un changement de paradigme basé sur la fusion des services de sécurité réseau traditionnels avec les avantages du cloud, pour créer une approche intégrée de la sécurité et du réseau.

La notion de SASE a fait son apparition en 2019, 9 ans après le développement des premières solutions CASB.

L’adoption de ces deux solutions progresse rapidement, particulièrement chez les grandes entreprises qui cherchent à unifier la sécurité réseau et la sécurité du cloud en mettant l’accent sur la protection de leurs données sensibles.

Avec du recul, les experts s’accordent à dire que les solutions SASE et CABS sont devenues incontournables pour assurer la cybersécurité des entreprises. Pour autant, leur complexité de mise en œuvre ou leurs contraintes budgétaires freinent certaines PME qui hésitent à se lancer dans de tels projets, coûteux et incertains.

SASE et CASB : Des solutions émergentes pour des besoins nouveaux

Avant de plonger dans les aspects techniques de ces solutions, il est essentiel de comprendre leur rôle et leur place dans le paysage cyber.

SASE : Vers une convergence des réseaux et de la sécurité

L’architecture SASE représente une approche novatrice qui combine la sécurité réseau traditionnelle avec la connectivité cloud. En intégrant les fonctionnalités de sécurité et les performances réseaux au niveau du cloud, les solutions SASE permettent aux entreprises de sécuriser efficacement les accès aux applications et aux données, où que se trouvent les utilisateurs. Cette convergence de l’ingénierie des réseaux et de la sécurité offre une agilité inédite pour protéger les données tout en optimisant les performances.

CASB : Le gardien du cloud

Les outils CASB, quant à eux, se concentrent sur la sécurité des données et des applications dans le cloud. En surveillant le trafic et les activités des utilisateurs, ils détectent les menaces potentielles, protègent contre les fuites de données sensibles et garantissent la conformité réglementaire. Les solutions CASB agissent comme des gardiens du cloud, apportant une visibilité granulaire et des contrôles avancés pour les services cloud adoptés par l’entreprise.

Différences clés entre SASE et CASB

La principale différence entre ces deux solutions réside dans leur portée et leur fonctionnalité :

• La solution SASE englobe une approche complexe de la sécurité en intégrant les fonctionnalités de réseau et de sécurité au niveau du cloud ;
• La solution CASB se concentre plus spécifiquement sur la sécurité des applications cloud et des données.

L’architecture SASE promet donc d’offrir une protection holistique pour tous les utilisateurs, quel que soit leur emplacement, là où les solutions CASB sont axées sur la sécurité des applications cloud utilisées par les employés.

Une plongée dans la technologie : Comment fonctionnent les solutions SASE et CASB ?

L’architecture SASE repose sur plusieurs composants clés qui se combinent pour créer un environnement de sécurité cohérent et évolué :

• SD-WAN (Software-Defined Wide Area Network) : SD-WAN offre une connectivité réseau intelligente et flexible en optimisant le trafic entre les sites distants et le cloud. Il assure des performances élevées et une faible latence, pour une expérience utilisateur optimale.
• Firewall nouvelle génération : Les pare-feux nouvelle génération, déployés dans le cloud, fournissent des fonctionnalités avancées de sécurité, telles que l’inspection des paquets, la prévention des intrusions et la détection des malwares.
• ZTNA (Zero Trust Network Access) : Le modèle ZTNA renforce la sécurité en appliquant le principe du « Zero Trust », où chaque utilisateur et appareil doit être authentifié et autorisé avant d’accéder aux ressources de l’entreprise.
• Proxy Cloud : Le proxy cloud agit comme un intermédiaire entre les utilisateurs et les applications, filtrant et inspectant le trafic pour détecter les menaces potentielles.

Le marché des solutions SASE est en croissance rapide, avec une augmentation de 40 % en 2022, selon Cisco.

Les outils CASB adoptent une approche axée sur les données et les applications cloud. Leur fonctionnement technique comprend les éléments suivants :

• Discovery : La solution CASB effectue une découverte approfondie des services cloud utilisés par les employés, identifiant ainsi les applications autorisées et non autorisées.
• Classification et protection des données : Les données sensibles sont classées en fonction de leur niveau de confidentialité, et des politiques de sécurité sont appliquées pour protéger les données contre les fuites ou les accès non autorisés.
• Contrôle d’accès : La solution CASB mettent en œuvre des contrôles d’accès granulaires pour les applications cloud, garantissant que seuls les utilisateurs autorisés peuvent accéder aux données sensibles.
• Détection des menaces et analyse du comportement : En surveillant les activités des utilisateurs et le trafic dans les applications cloud, les fonctionnalités CASB détectent les comportements malveillants et les menaces potentielles.

Ces technologies émergentes sont proposées par des leaders du marché tel que Cisco et Palo Alto Networks qui offrent des solutions complètes intégrant la sécurité réseau et cloud, comme Secure Access Service Edge (SASE) et Prisma SASE. De même, Microsoft et Symantec offrent des solutions CASB de premier plan, telles que Cloud App Security (MCAS) et CloudSOC, pour protéger les données dans le cloud.

Un duo puissant : Complémentarité et synergie entre SASE et CASB

Les solutions SASE et CASB n’entrent donc pas en concurrence, mais se complètent pour offrir une sécurité optimale.

L’intégration de ces technologies repose sur une orchestration technique sophistiquée pour assurer une sécurité optimale. Lorsqu’un utilisateur tente d’accéder à une application cloud, SASE, avec son modèle ZTNA, vérifie l’identité et l’état de l’appareil.

Une fois l’accès autorisé, CASB prend en charge l’inspection du trafic cloud en utilisant des protocoles tels que TLS/SSL pour décrypter les flux de données. Il applique ensuite des politiques de sécurité basées sur des critères tels que les autorisations de l’utilisateur, la sensibilité des données et l’activité typique de l’utilisateur. En travaillant conjointement, la solution SASE fournit une passerelle d’accès sécurisée au cloud, tandis que la solution CASB agit comme un intermédiaire intelligent pour surveiller, filtrer et analyser le trafic. Puis cette dernière, applique des contrôles granulaires en temps réel pour empêcher les accès non autorisés, bloquer les activités suspectes et prévenir les fuites de données.

La synergie entre ces deux solutions permet d’adapter dynamiquement les politiques de sécurité en fonction des comportements des utilisateurs et des nouvelles menaces détectées, garantissant ainsi une protection renforcée et proactive pour les données et applications de l’entreprise.

Avantages évidents, limitations à considérer

Les atouts qui transforment la sécurité des entreprises

SASE :

• Unifié et agile : La solution SASE combine la sécurité réseau et le cloud, simplifiant la gestion et offrant une agilité inégalée.
• Réduction des coûts : Le regroupement des fonctionnalités de sécurité dans une plateforme unifiée ainsi que la consolidation des outils de sécurité et du réseau réduisent les coûts opérationnels.
• Réponse rapide aux menaces : La solution SASE permet une détection et une réponse rapides aux incidents de sécurité.

CASB :

• Contrôle des données dans le cloud : La solution CASB offre une visibilité et un contrôle granulaires sur les données sensibles dans le cloud.
• Conformité réglementaire : Les outils CASB aident les entreprises à respecter les réglementations sur la confidentialité des données.
• Prévention des fuites de données : La solution CASB empêche les fuites accidentelles ou malveillantes de données.

Les défis à anticiper et les limites à prendre en compte

SASE :

• Déploiement complexe : L’adoption de la solution SASE peut être complexe, nécessitant une planification minutieuse et une migration vers le cloud.
• Dépendance à la connectivité Internet : La performance de la solution SASE dépend de la qualité de la connexion Internet.

CASB :

• Latence : Les outils CASB peuvent introduire une latence lors de l’inspection du trafic cloud.
• Visibilité limitée sur les applications encryptées : Les applications utilisant des protocoles d’encryption peuvent limiter la visibilité du CASB.

Pour quelles organisations s’adressent les solutions SASE et CASB ?

Les solutions SASE et CASB s’adressent particulièrement aux entreprises de taille moyenne à grande, confrontées à des environnements de réseau complexes et à des défis de sécurité liés à l’adoption massive du cloud. Les organisations soucieuses d’améliorer l’efficacité de leur sécurité tout en garantissant la conformité réglementaire trouveront une valeur significative dans ces solutions.

Pour certaines organisations, il peut être avantageux de déployer d’abord la solution SASE pour unifier la sécurité réseau et le cloud, avant d’ajouter la solution CASB pour renforcer la protection des données dans le cloud.

Cette approche permet d’aborder les défis de sécurité les plus urgents tout en préparant l’entreprise à une protection plus granulaire des données sensibles dans le cloud.

SASE et CASB ne sont pas en concurrence, mais se complètent.

Dans certains cas, une solution SASE seule peut répondre aux besoins de sécurité d’une entreprise :

• Si cette dernière n’utilise pas intensivement le cloud pour stocker des données sensibles
• Si elle a déjà en place des solutions de sécurité spécifiques pour le cloud, elle peut offrir une approche globale simplifiée pour la sécurité du réseau et des applications.

Conclusion

Les solutions SASE et CASB se positionnent comme des piliers essentiels pour garantir la protection des données, des applications et des utilisateurs.

En adoptant une approche complémentaire, les entreprises peuvent renforcer leur posture de sécurité et prospérer dans l’ère du numérique.

Il est crucial de noter que l’adoption de ces approches doit être soigneusement évaluée en fonction du contexte et des besoins spécifiques de chaque entreprise.

En raison de la complexité technique et des enjeux liés à la sécurité des données, il est fortement recommandé aux entreprises de se faire accompagner par un prestaire en cybersécurité tel qu’Abbana lors de l’intégration de ces solutions.

Face à l’émergence des solutions d’IA (ChatGPT, Bard, …), les entreprises font face à des craintes légitimes pour la sécurité et la confidentialité de leurs données.

Pour autant, interdire leur usage peut s’avérer risqué, voire contreproductif : au-delà des risques pour la compétitivité des organisations, l’interdiction pure et simple de l’IA fait peser un risque fort de « shadow AI ».

Découvrez comment des solutions techniques émergentes peuvent libérer le potentiel de l’IA au sein de votre organisation en toute sécurité.

Pour lutter contre le Shadow AI, favorisez un usage encadré et sécurisé de l’IA grâce à des solutions techniques émergentes comme le français SAFEBRAIN

Shadow IT : un risque bien identifié et accentué par la multiplication des applications cloud

Le Shadow IT, en bon français « informatique clandestine », désigne l’utilisation de matériel ou de logiciels informatiques, par un département ou une personne, sans que le service informatique ou de sécurité de l’organisation ne l’ait approuvé, ou même qu’il n’en ait connaissance.

L’avènement des services et applications basés sur le cloud, la démocratisation des devices personnels et la frontière toujours plus ténue entre les sphères professionnelles et personnelles ont renforcé le risque de Shadow IT ces dernières années. Typiquement, les applications susceptibles de relever du Shadow IT incluent des applications de messagerie instantanée, de partage de fichiers, de gestion de projet, de vidéoconférence, etc.

Par le contournement des politiques d’entreprise, leur utilisation expose les organisations à des risques sérieux en matière de sécurité, le département informatique ne disposant pas de visibilité et n’exerçant aucun contrôle sur les services et applications adoptés par les salariés.

Ces risques comprennent notamment la sécurité des données, la conformité aux réglementations, la perte de contrôle de l’environnement informatique, la fragmentation des données, la duplication des efforts et le manque de visibilité et de contrôle.

Du Shadow IT au Shadow AI

Le Shadow AI, « l’IA clandestine » est une extension du concept de « Shadow IT ». Il désigne spécifiquement à l’utilisation de solutions d’IA telles que ChatGPT et Bard sans l’approbation de l’entreprise. Citons par exemple l’utilisation de ChatGPT sur les devices personnels de salariés pour corriger du texte, générer du contenu ou pour rédiger un email à un client. Les cas d’utilisation de l’IA en dépit des politiques mises en place par les organisations se multiplient. Là encore, et malgré des avantages indéniables, l’utilisation « clandestine » de ces solutions soulève de sérieuses préoccupations concernant la sécurité et la confidentialité des données.

L’essor de l’IA déclenche un schéma similaire à celui du « Shadow IT » lorsque des départements tels que le marketing, la supply chain et les RH décident de déployer eux-mêmes des solutions d’IA. Cette adoption généralisée entraînera la prolifération d’un environnement de modèles de « Shadow AI ».

Peter Sondergaard – Chairman of the Board, 2021.ai

Pour les organisations, indépendamment des règles mises en place, le Shadow AI se traduit en effet par des risques bien réels :

• La perte de contrôle des données : les solutions d’IA aspirent une grande quantité de données pour fonctionner. Sans contrôle ni supervision, il est possible que des données sensibles de l’entreprise soient exposées ou utilisées de manière inappropriée.
• Les failles de sécurité : le Shadow AI peut introduire des vulnérabilités dans les systèmes de l’entreprise, car les solutions utilisées ne sont pas soumises aux mêmes contrôles de sécurité que celles approuvées par le service IT.
• Les problèmes de conformité : l’utilisation de solutions d’IA non autorisées peut entraîner des problèmes de conformité avec les réglementations en vigueur, telles que le RGPD. L’entreprise peut être tenue responsable de l’utilisation incorrecte ou non autorisée de données personnelles.
• La perte d’efficacité : « l’émiettement » des applications, et l’émergence d’usages hétérogènes au sein des organisations peuvent réduire le potentiel de collaboration et l’efficacité opérationnelle.

Une politique d’entreprise trop restrictive favorise le Shadow AI

En les interdisant complètement, l’entreprise se prive de ces opportunités au risque d’hypothéquer sa compétitivité et la montée en compétences de ses salariés à moyen et long termes.

Favoriser un usage encadré et sécurisé de l’IA par le triptyque : sensibilisation, procédures et solutions techniques

Plutôt que d’interdire complètement l’utilisation de l’IA, il est préférable de mettre en place des mesures d’encadrement pour minimiser les risques tout en permettant aux employés de bénéficier des avantages de cette technologie. Voici quelques suggestions :

• Sensibilisation et formation : Il est essentiel de fournir une formation adéquate aux employés sur les risques liés à l’utilisation de l’IA et sur les bonnes pratiques à adopter. Cela permettra de sensibiliser les employés aux enjeux de sécurité et de confidentialité des données, ainsi qu’aux limites et aux utilisations appropriées de l’IA.
• Gouvernance et procédures : des politiques claires concernant l’utilisation de l’IA en entreprise permettent de définir les outils et les plateformes autorisés, ainsi que les mesures de sécurité et de confidentialité à mettre en place. Des procédures de contrôle doivent également permettre de superviser l’utilisation de l’IA et de détecter toute activité suspecte.
• Solutions techniques sécurisées : Il existe aujourd’hui des solutions techniques qui permettent de sécuriser l’utilisation de l’IA en entreprise. C’est par exemple la vocation d’outil comme SAFEBRAIN, une solution française émergente qui ajoute des surcouches de sécurité, d’anonymisation et de confidentialité aux principales solutions d’IA génératives existantes. Outre les garanties offertes par SAFEBRAIN en termes de sécurité ou de respect du cadre réglementaire (RGPD), cette solution offre des fonctionnalités de collaboration inédites permettant aux organisations d’adopter l’IA de manière optimale.

(Re)découvrez comment la norme d’authentification d’e-mails DMARC peut vous protéger du risque lié au « phishing » en garantissant l’origine et l’intégrité de vos e-mails.

Selon une étude récente de l’Agence de l’Union européenne pour la cybersécurité, environ 40% des entreprises européennes ont signalé avoir été la cible d’une attaque de phishing en 2022. De plus, une enquête de Verizon a révélé que 32% des violations de données impliquaient du phishing, ce qui en fait l’une des principales menaces cyber. Pire encore, un rapport de Symantec a indiqué que près de 1 utilisateur sur 2 ouvre un e-mail de phishing. Face à cette menace croissante, la nécessité de sécuriser efficacement les e-mails est devenue une priorité absolue. C’est ici que DMARC (Domain-based Message Authentication Reporting and Conformance) entre en jeu.

1 utilisateur sur 2 ouvre un e-mail de phishing, ce qui fait des e-mails la première menace cyber en entreprise

Qu’est-ce que DMARC et son histoire ?

DMARC est une politique d’authentification e-mail qui utilise SPF (Sender Policy Framework) et DKIM (Domain Keys Identified Mail) pour aider à protéger les destinataires des e-mails frauduleux. Le DMARC a été introduit pour la première fois en 2012 par Paypal, Google, Facebook et d’autres pour lutter contre le spoofing et le phishing. Depuis lors, il a été adopté par une multitude d’organisations à travers le monde, notamment de nombreux fournisseurs de services de messagerie tels que Gmail et Yahoo.

82% des organisations qui ont mis en œuvre DMARC ont vu une diminution de l’usurpation d’e-mail, et 78% ont noté une amélioration de la délivrabilité des e-mails.

Comment fonctionne DMARC ?

DMARC utilise deux mécanismes d’authentification, SPF et DKIM, pour vérifier l’authenticité des e-mails.

• Alignement DKIM : DKIM (Domain Keys Identified Mail) est une méthode d’authentification des e-mails qui utilise des clés cryptographiques pour signer les messages sortants. Lorsque le message est reçu, DMARC vérifie si la signature DKIM est présente et valide. Ensuite, il compare le domaine dans la signature DKIM avec le domaine de l’adresse e-mail de l’en-tête « From ». Si les deux domaines correspondent, cela indique que le message est authentique.

Par exemple, si l’en-tête « From » indique « john.doe@example.com » et que la signature DKIM inclut le domaine « example.com », DMARC considère que l’alignement DKIM est réussi.

• Alignement SPF : SPF (Sender Policy Framework) est une autre méthode d’authentification qui permet de spécifier les serveurs de messagerie autorisés à envoyer des e-mails au nom d’un domaine spécifique. DMARC vérifie si l’adresse IP de l’expéditeur est autorisée dans les enregistrements SPF du domaine de l’en-tête « From ». Si l’adresse IP est autorisée, cela indique que le message provient d’une source légitime.

Par exemple, si l’en-tête « From » indique « john.doe@example.com » et que l’adresse IP de l’expéditeur est autorisée dans les enregistrements SPF du domaine « example.com », DMARC considère que l’alignement SPF est réussi.

Si l’un de ces contrôles d’alignement (DKIM ou SPF) échoue, DMARC examine la politique DMARC définie pour le domaine. Cette politique indique comment le message doit être traité en cas de non-conformité. Les actions courantes incluent la mise en quarantaine de l’e-mail, l’envoi dans un dossier de spam ou le rejet pur et simple du message.

Par exemple, si la politique DMARC est définie sur « quarantine » (quarantaine), les e-mails qui ne passent pas les contrôles d’alignement peuvent être déplacés vers un dossier de quarantaine pour une analyse plus approfondie. Si la politique est définie sur « reject » (rejet), les e-mails non authentifiés seront refusés, et le serveur de messagerie du destinataire les rejettera automatiquement.

Mise en place de DMARC

ABBANA vous accompagne dans la mise en œuvre de DMARC, au travers de plusieurs étapes :

• Mise en place de SPF et DKIM : Avant d’implémenter DMARC, vous devez avoir des enregistrements SPF et DKIM correctement configurés.
• Création d’une politique DMARC : Une politique DMARC est un enregistrement TXT dans le DNS du domaine. Il indique aux récepteurs comment vérifier les e-mails avec SPF et DKIM et que faire des e-mails qui échouent à ces vérifications.
• Déploiement progressif : Il est recommandé de commencer avec une politique DMARC de « none » (aucune) pour observer les effets sans affecter les e-mails sortants. Une fois que vous avez confiance en votre configuration, vous pouvez passer à « quarantine » (quarantaine) puis « reject » (rejet).
• Surveillance et ajustement : Les rapports DMARC fournissent des informations précieuses sur les e-mails envoyés de votre domaine, ce qui permet de repérer et de résoudre les problèmes.

DMARC, quel coût pour votre organisation ?

La mise en place de DMARC en soi ne coûte rien. DMARC est une norme ouverte qui utilise les enregistrements DNS publics, et il n’y a pas de frais pour utiliser ces normes ou pour ajouter ces enregistrements à votre DNS. Cela signifie que si vous avez l’expertise en interne pour configurer et gérer DMARC, SPF et DKIM, vous pouvez le faire sans coût direct.

L’impact de DMARC

Une étude récente du Global Cyber Alliance a constaté qu’une organisation protégée par DMARC est jusqu’à cinq fois moins susceptible de faire face à une attaque de phishing réussie que celle qui ne l’est pas. En outre, selon une enquête de Valimail, environ 82% des domaines qui ont mis en œuvre DMARC ont vu une diminution de l’usurpation d’e-mail, et 78% ont noté une amélioration de la délivrabilité des e-mails.

L’évolution de la sécurité dans le cloud: l’émergence d’Azure Bastion

Le cloud a radicalement transformé la manière dont les entreprises hébergent leurs infrastructures et applications, entrainant la généralisation des environnements virtuels. Le Move to Cloud s’accompagne de nouveaux défis, notamment en termes de sécurité.

Azure Bastion est né de la volonté de Microsoft d’apporter une réponse robuste à ces défis « SecCloud ». Lancé en 2019, ce service PaaS intégré au cloud Azure a été conçu pour offrir une solution de sécurité complète pour l’accès à distance aux VMs. En combinant plusieurs mesures de sécurité en un seul service, Azure Bastion permet aux entreprises de protéger efficacement leurs ressources cloud.

---

Azure Bastion : Une solution adaptée à tous types d’organisations

Azure Bastion s’adresse à toutes les organisations qui utilisent des environnements virtuels dans le cloud, qu’il s’agisse de petites entreprises en croissance ou de grandes organisations ayant des environnements cloud complexes. Peu importe la taille de votre organisation ou le nombre de VMs que vous utilisez, Azure Bastion peut être un ajout précieux à votre stratégie de sécurité.

---

Les atouts d’Azure Bastion

Azure Bastion offre plusieurs avantages clés qui en font une solution de choix pour la sécurité des accès à distance aux VMs.

Un accès sécurisé à vos VMs

Azure Bastion agit comme une « passerelle Bastion » dans votre Virtual Network (VNet), fournissant une couche de sécurité supplémentaire lors de l’accès à vos VMs. En utilisant le principe du Jump Host ou Bastion Host, il élimine l’exposition directe de vos VMs à l’Internet public, ce qui réduit considérablement le risque d’attaques par force brute ou d’exposition à des vulnérabilités Zero-day. En outre, il utilise des sessions RDP et SSH sur SSL, offrant une connexion cryptée de bout en bout. Cette fonctionnalité peut potentiellement réduire le nombre d’incidents de sécurité de 30% à 40%, ce qui se traduit par une économie de coûts considérable en termes de temps et de ressources consacrées à la gestion des incidents.

Le chiffrement des données

Azure Bastion utilise le protocole SSL/TLS pour encapsuler et chiffrer le trafic RDP et SSH entre le client et le serveur. Cela garantit que toutes les données transmises pendant la session de connexion sont chiffrées et protégées contre les interceptions et les manipulations malveillantes. Ce niveau de chiffrement peut potentiellement empêcher jusqu’à 60% des tentatives de vol de données.

La MFA permet de réduire les risques de violation de compte de 99,9%, selon une étude de Microsoft.

Le contrôle d’accès basé sur les rôles (RBAC)

Azure Bastion s’intègre au modèle de contrôle d’accès basé sur les rôles (RBAC) d’Azure, vous permettant d’attribuer des rôles spécifiques aux utilisateurs et de définir des autorisations granulaires pour accéder aux VMs via Azure Bastion. Cette fonctionnalité renforce le principe de moindre privilège (PoLP), réduisant ainsi les risques liés aux erreurs humaines ou aux tentatives de compromission. En utilisant RBAC, vous pouvez potentiellement réduire les incidents de sécurité internes de 25%.

La journalisation et le suivi

Azure Bastion génère des journaux d’audit détaillés qui enregistrent toutes les activités de connexion effectuées via le service. Ces journaux permettent de garder une trace des accès aux VM et facilitent la détection précoce d’éventuelles activités non autorisées. En surveillant et en analysant ces journaux, vous pouvez prendre des mesures appropriées pour renforcer la sécurité de vos VMs Azure. Cela peut également faciliter le respect des exigences réglementaires et des normes de conformité, ce qui peut se traduire par des économies de coûts en évitant les amendes et les sanctions pour non-conformité.

---

La sécurité… à quel prix ?

La compréhension des coûts associés à l’utilisation d’Azure Bastion est essentielle pour optimiser le retour sur investissement de votre solution de sécurité. Voici les principales considérations à prendre en compte :

Coûts de mise en place (Build)

Il faut noter que la mise en place d’Azure Bastion entraîne des coûts initiaux. Ces coûts incluent l’achat de l’abonnement Azure, la configuration de l’environnement Azure, l’installation d’Azure Bastion et la formation du personnel sur l’utilisation de l’outil. Les coûts varient en fonction de la taille et de la complexité de votre environnement, mais peuvent s’étendre de quelques centaines à plusieurs milliers d’euros.

Coûts d’exploitation (Run)

Une fois Azure Bastion installé, il y a des coûts continus liés à son exploitation. Azure Bastion est facturé à l’heure, en fonction du nombre d’heures pendant lesquelles le service est déployé et disponible. En 2022, le coût d’Azure Bastion est d’environ 0,16€ par heure, ce qui revient à environ 115€ par mois. Ce tarif comprend l’accès RDP et SSH illimité pour un nombre illimité de VMs dans le VNet.

Vous pouvez simuler le princing en consultant le calculateur de prix d’Azure pour obtenir des estimations plus précises des coûts actuels pour votre organisation : https://azure.microsoft.com/fr-fr/pricing/calculator/ .

Il y a aussi des coûts associés à la maintenance et à l’assistance, tels que la mise à jour du service, le dépannage des problèmes, et la surveillance continue de la sécurité.

Il est important de noter que les économies réalisées en termes de sécurité et de conformité peuvent compenser une partie significative de ces coûts. En évitant les violations de données, en minimisant le temps d’arrêt, et en réduisant le risque de non-conformité, Azure Bastion peut fournir une valeur considérable qui va bien au-delà de son coût direct.

Coûts de sortie (Exit)

Si vous décidez de cesser d’utiliser Azure Bastion, il y a des coûts de sortie à considérer. Ces coûts peuvent inclure la suppression de l’outil, la migration vers une nouvelle solution, et la formation du personnel à l’utilisation de l’alternative choisie.

En somme, bien que l’utilisation d’Azure Bastion implique des coûts, ceux-ci doivent être équilibrés avec les bénéfices apportés en termes de sécurité, de conformité, et de tranquillité d’esprit.

---

Conclusion

Azure Bastion offre une solution complète et robuste pour sécuriser l’accès à vos VMs dans le cloud. En choisissant Azure Bastion, vous bénéficiez d’une sécurité renforcée, d’une plus grande tranquillité d’esprit et d’une simplification de la gestion de vos VMs.

Abbana vous accompagne dans la mise en place de cet outil. Nous sommes disponibles pour échanger. Contactez-nous pour en savoir plus sur comment Azure Bastion peut aider votre entreprise.

Abordez les défis de la cybersécurité en accélérant les temps de réponse et en améliorant l’efficacité de votre équipe grâce à l’Orchestration, l’Automatisation et la Réponse en Sécurité (SOAR).

Volume croissant d’alertes de sécurité, difficultés de coordination entre les différents équipes internes, gestion d’outils de sécurité qui se multiplient, tâches répétitives à faible valeur ajoutée qui dévorent le temps des équipes SSI… face à la menace cyber, les organisations sont confrontées à un défi de taille, celui d’optimiser la gestion de leurs ressources tout en assurant une protection optimale.

C’est ici qu’intervient le SOAR (Security Orchestration, Automation, and Response). Cet outil puissant promet d’optimiser et d’accélérer la réponse aux incidents de sécurité, tout en renforçant l’efficacité globale de la sécurité IT.

Avec le SOAR, les ingénieurs ont à leur disposition une multitude de fonctionnalités qui peuvent améliorer la manière dont ils gèrent les incidents de sécurité. Il intègre des outils de gestion des cas, de suivi des menaces, d’automatisation des workflows et de visualisation des données, le tout sur une seule plateforme.

Passons à la loupe les mécanismes et les bénéfices que le SOAR peut apporter à votre entreprise.

Les premières solutions SOAR étaient principalement axées sur l’automatisation des tâches de sécurité répétitives (comme la collecte et l’agrégation des journaux de sécurité, la vérification des mises à jour de sécurité ou encore la gestion des correctifs logiciels). Cependant, au fil du temps, les plateformes SOAR ont évolué pour inclure des capacités plus avancées, telles que l’intelligence artificielle et le machine learning pour améliorer la détection des menaces, ainsi que l’intégration avec d’autres technologies de sécurité pour une meilleure orchestration.

Des entreprises comme IBM avec sa solution Resilient, Palo Alto Networks avec sa solution Demisto, ou encore Splunk avec Phantom, ont été parmi les premières à proposer des solutions SOAR. D’autres, comme Rapid7 avec InsightConnect, FireEye avec Security Orchestrator et Swimlane avec sa plateforme éponyme, ont suivi. Ces solutions ont été adoptées dans une variété de secteurs, allant de l’IT au secteur financier, de la santé à l’industrie manufacturière.

L’automatisation, le cœur du SOAR

SOAR, ou Security Orchestration, Automation, and Response, est une solution de cybersécurité conçue pour améliorer l’efficacité de la gestion des menaces en centralisant l’information, en automatisant les tâches routinières et en facilitant la réponse coordonnée aux incidents. Cette solution s’appuie sur des règles prédéfinies, le machine learning et des scénarios d’incidents pour orchestrer et automatiser les processus de réponse aux incidents. Les plateformes SOAR peuvent réduire le temps de réponse aux incidents de 80% – ce qui peut signifier passer de 10 heures à 2 heures pour une alerte critique.

Les plateformes SOAR peuvent réduire le temps de réponse aux incidents de 80%

Quelques exemples de processus pouvant être automatisés par le SOAR :

• la collecte et l’agrégation des journaux de sécurité, l’analyse des alertes et la gestion des mises à jour de sécurité ;
• les réponses aux incidents de sécurité courants, ce qui réduit considérablement le temps nécessaire pour contenir une menace. Le SOAR permet de développer des playbooks personnalisés qui décrivent étape par étape comment répondre à différents types d’incidents de sécurité. Ces playbooks peuvent être modifiés et améliorés au fil du temps, permettant aux équipes de s’adapter rapidement aux nouvelles menaces. Par exemple, lorsqu’un système est compromis, une solution SOAR peut automatiquement isoler le système affecté, recueillir des données pour l’investigation, et même initier des procédures de restauration ;
• la configuration des règles de pare-feu ou de l’application des correctifs de sécurité ;
• la découverte et le suivi des vulnérabilités dans l’ensemble de l’organisation. Cela signifie qu’au lieu d’attendre qu’une vulnérabilité soit exploitée, le SOAR peut aider à identifier et à corriger proactivement les vulnérabilités, renforçant ainsi la posture de sécurité globale ;
• l’automatisation facilite également le respect des exigences réglementaires. Par exemple, le SOAR peut générer automatiquement des rapports de conformité en collectant les informations nécessaires à partir de diverses sources. Cela non seulement réduit le temps et les efforts consacrés à la préparation des rapports, mais garantit également que les rapports sont précis et à jour.

Une visibilité accrue

L’un des principaux avantages de l’adoption d’une solution SOAR est l’augmentation substantielle de la visibilité sur l’ensemble de l’écosystème de sécurité de l’entreprise.

Le SOAR permet de centraliser les informations provenant de différents outils et systèmes de sécurité, y compris les pare-feu, les systèmes de prévention des intrusions, les outils de détection et de réponse aux menaces sur le réseau et les terminaux (NDR & EDR), les systèmes de gestion des informations et des événements de sécurité (SIEM), et d’autres outils de sécurité spécialisés.

Cette centralisation offre aux équipes de sécurité une vue d’ensemble, en temps réel, de l’état de la sécurité de l’entreprise :  par exemple, un analyste de sécurité utilisant une solution SOAR peut voir en un coup d’œil toutes les alertes de sécurité générées au cours des dernières 24 heures, identifier rapidement les systèmes qui sont la cible de tentatives d’intrusion, suivre l’évolution des menaces en cours, et déterminer les actions qui ont été prises en réponse.

Par ailleurs, la plateforme SOAR peut corréler automatiquement les événements et les alertes pour identifier les schémas d’attaque. Par exemple, si un acteur malveillant tente d’infiltrer un réseau en exploitant plusieurs vulnérabilités sur différents systèmes, le SOAR peut détecter cette activité coordonnée et alerter les équipes de sécurité.

En outre, la plateforme SOAR peut également faciliter l’analyse des tendances à long terme en matière de cybersécurité. Elle peut mettre en évidence une augmentation des attaques de phishing au cours des derniers mois, indiquer les secteurs de l’entreprise les plus ciblés, ou révéler une corrélation entre certains types d’incidents et des moments spécifiques de la journée ou de la semaine. En fournissant cette visibilité inégalée, les solutions SOAR permettent aux équipes de sécurité de prendre des décisions éclairées et proactives, d’accélérer la détection des menaces et la réponse aux incidents, et d’améliorer l’efficacité globale de la gestion de la sécurité.

Le SOAR, une promesse de gains opérationnels et financiers

En plus de l’automatisation des tâches répétitives, le SOAR offre une visibilité inégalée sur l’ensemble de l’écosystème de sécurité. Il permet aux équipes de détecter les menaces de manière proactive, de comprendre rapidement le contexte de chaque incident et de prendre des décisions éclairées sur la réponse la plus appropriée. Selon une étude de Forrester, les organisations utilisant le SOAR ont réduit leurs coûts d’exploitation de 50%.

Une réduction de vos coûts d’exploitation pouvant aller jusqu’à 50%.

Cette réduction drastique est attribuable à plusieurs facteurs :

• L’automatisation des tâches de routine et répétitives permet aux équipes de sécurité de consacrer davantage de temps à des activités à plus forte valeur ajoutée (analyse de menaces avancées, planification stratégique et l’amélioration des processus de sécurité). Cela peut se traduire par une économie de plusieurs milliers d’heures de travail chaque année pour une équipe de sécurité typique, ce qui équivaut à plusieurs postes à temps plein.
• La réduction des erreurs humaines, souvent sources de coûts supplémentaires. En automatisant les tâches, le risque d’erreur diminue, ce qui évite des dépenses liées à la correction de ces erreurs.
• L’amélioration du temps de réponse face aux incidents de sécurité, limite les arrêts de production potentiellement coûteux.
• L’amélioration des prises de décisions, grâce à une visibilité globale et à la centralisation des informations de sécurité. Le SOAR aide ainsi à prendre des décisions plus éclairées, ce qui permet d’éviter les dépenses inutiles et d’optimiser les investissements en matière de cybersécurité.

Les Limites du SOAR

Bien que le SOAR offre de nombreux avantages, il ne s’agit pas d’une solution « miracle » qui résoudra toutes vos problématiques cyber. Voici quelques limites. Tout d’abord, il requiert une compréhension approfondie de l’infrastructure de sécurité existante ainsi que des processus de sécurité de l’organisation. Un déploiement hâtif sans une planification adéquate peut conduire à une mauvaise configuration, ce qui rendrait les fonctionnalités automatisées inefficaces, voire nuisibles. Il ne remplace pas les équipes de sécurité ni ne résout les problèmes de sécurité fondamentaux.

Le SOAR semble donc particulièrement adapté aux organisations de taille moyenne à grande qui gèrent un grand volume de données et d’alertes de sécurité. Il s’adresse également aux entreprises qui ont déjà mis en place une stratégie de sécurité mature et qui ont des processus bien définis, puisque ces processus seront la base de l’automatisation et de l’orchestration mises en œuvre par le SOAR.

Il est essentiel de noter que le SOAR n’est pas une première étape pour les organisations qui manquent de maturité en matière cyber. Avant de considérer l’implémentation d’une solution SOAR, une entreprise doit avoir établi un programme de sécurité robuste avec des politiques et des procédures claires, un inventaire précis de leurs actifs, une bonne hygiène de patch et une équipe dédiée à la cybersécurité. Le SOAR est donc bien un outil de niveau avancé qui vise à optimiser et à améliorer les opérations de sécurité existantes, plutôt qu’à instaurer des fondements de sécurité à partir de zéro. En d’autres termes, une organisation doit atteindre un certain niveau de maturité en cybersécurité avant de pouvoir pleinement bénéficier des avantages offerts par le SOAR.

Conclusion

Le SOAR représente une évolution majeure dans le domaine de la cybersécurité, offrant une approche unifiée pour gérer et répondre aux incidents de sécurité. Les défis inhérents à sa mise en œuvre sont équilibrés par des gains significatifs en termes d’efficacité, de temps de réponse et de coûts d’exploitation :

• Efficacité accrue
• Réponse plus rapide aux incidents de sécurité
• Réduction des erreurs humaines
• Gestion proactive des vulnérabilités
• Conformitée améliorée et facilitée
• Visibilité accrue

À mesure que le paysage des menaces cyber continue d’évoluer, le SOAR offre aux organisations un moyen essentiel pour rester à la pointe de la défense, en optimisant leurs ressources et en accélérant leur réponse aux incidents.

Le Graal pour réaliser des économies tout en réduisant votre impact carbone ?

---

En quoi consiste l’approche FinOps ?

La démarche FinOps, issue des termes « Finance » et « Opérations », se concentre sur le contrôle et la maîtrise des coûts liés au Cloud : elle s’attache à optimiser l’équation entre performances et coûts.

Le but de cette approche est de trouver le juste équilibre entre les exigences budgétaires, les contraintes opérationnelles et les innovations proposées par les différents fournisseurs. Comme la méthodologie DevOps, la démarche FinOps encourage l’intégration de la gestion des performances et innovations IT avec les activités opérationnelles.

Optimisation financière du Cloud : les leviers de l’expert FinOps

Pourquoi une approche spécifique ? L’optimisation financière de « l’équation cloud » est rendue complexe par l’existence de nombreux coûts indirects, de coûts cachés, et par l’analyse – pas toujours aisée – de l’utilisation réelle qui est faite des ressources. La démarche FinOps repose sur quelques grands principes clés.

1. La gestion des coûts : l’identification, le suivi et l’analyse des dépenses cloud constituent une apparente évidence quant il s’agit de réaliser des économies. Il n’est pourtant pas toujours simple de réaliser un suivi précis et à moindre effort de ces coûts. C’est la raison pour laquelle nous recommandons, selon les contextes, et en complément des outils natifs proposés par les cloud providers, l’utilisation d’outils dédiés qui collectent les données de consommation, les consolident, afin d’offrir une vision à 360° et un premier niveau d’analyse facilitant la prise de décisions.
2. L’optimisation des ressources : la connaissance de la consommation n’offre qu’un premier niveau d’analyse, il convient ensuite d’étudier l’’utilisation effective de ces ressources (qu’il s’agisse d’instances, des bases de données, des espaces de stockage et d’autres ressources cloud) afin d’identifier les ressources superflues. L’utilisation d’outils de dimensionnement automatique facilite ce travail en ajustant les ressources en fonction de la demande de manière dynamique. Cette optimisation repose sur la mise en place de politiques définies par les entreprises pour arrêter ou mettre en veille les ressources inutilisées. C’est généralement le deuxième levier majeur permettant d’assurer des économies.
3. La gestion des « réservations » : les entreprises ont la possibilité de « réserver » des ressources cloud à l’avance en s’engageant sur du moyen ou long terme, pour garantir la disponibilité des ressources, tout en profitant de tarifs négociés plus avantageux (et à prix bloqués sur la période d’engagement). Pour profiter à plein de ce levier, tout en évitant la « sur-consommation », un expert FinOps peut utiliser l’historique des données d’utilisation et des outils prédictifs afin de déterminer les ressources qui peuvent être réservées pour maximiser la rentabilité économique à moyen et long termes.
4. L’analyse des performances : une analyse approfondie des performances des applications et services cloud permet de détecter les goulots d’étranglement, les inefficacités et les pistes d’optimisation. Cela peut être réalisé en collectant et en analysant des métriques de performance telles que les temps de réponse, l’utilisation du processeur, les délais de latence réseau, etc. Ces résultats aident à identifier les sources de sous-performance et à prendre des mesures correctives, de quoi potentiellement réduire les coûts associés aux ressources surdimensionnées ou aux problèmes de configuration.
5. La gestion des données : le stockage des données dans le cloud pèse généralement très lourd dans le budget cloud. Il est donc important d’optimiser les politiques de stockage, de transfert et de sauvegarde des données. Cela peut inclure la suppression des données inutilisées ou redondantes, l’utilisation de services de stockage à long terme moins coûteux pour les données moins fréquemment utilisées, et l’optimisation des mécanismes de transfert de données pour réduire les frais de réseau. Une politique de gestion des données optimisée peut vous apporter des gains opérationnels et financiers significatifs.
6. L’automatisation : la démarche FinOps profite naturellement des leviers d’optimisation qu’apporte la culture DevOps. La mise en œuvre de scripts et l’utilisation d’outils d’orchestration permettent d’automatiser et de rationnaliser le déploiement et l’administration des infrastructures ; cette approche facilite par ailleurs la collecte de données, l’analyse des coûts, la gestion des réservations dans une logique d’optimisation du dimensionnement des ressources.

L’outillage FinOps

Des outils spécifiques facilitent la mise en œuvre des bonnes pratiques FinOps.

Les trois principaux Cloud Providers proposent chacun des outils qui offrent des fonctionnalités avancées de suivi des dépenses et de gestion des coûts dans leurs environnements respectifs : AWS Cost Explorer, Azure Cost Management + Billing et Google Cloud Billing.

Pour une gestion multi-cloud, CloudHealth by VMware et CloudCheckr sont des solutions intéressantes, avec des fonctionnalités d’analyses approfondies des coûts, d’optimisations des ressources et de budgétisation. Apptio Cloudability est une solution complète pour la visibilité des coûts cloud, tandis que Kubecost se concentre spécifiquement sur l’optimisation des coûts pour les environnements Kubernetes.

Enfin, on apprécie CloudSpend pour ses tableaux de bord interactifs et l’intégration possible à différents services cloud. Ces outils constituent une boîte à outils essentielle pour les entreprises souhaitant maîtriser leurs dépenses cloud et optimiser leurs investissements.

Les experts Abbana vous accompagnent et vous conseillent dans la mise en œuvre de cette démarche FinOps et dans le choix des outils les plus appropriés. Forts de notre expertise, nous sommes en mesure de construire avec vous la stratégie la plus adaptée à votre contexte.

---

Du FinOps vers le Green IT

Le développement du Cloud tel que nous le connaissons depuis plusieurs années ne pourra pas poursuivre sa course folle de manière durable.

Durant la dernière décennie, la capacité de stockage des data centers à l’échelle mondiale, boostée par l’apparition de « méga data centers », a été multipliée par 25 avec une conséquence immédiate : la hausse significative de la consommation électrique. Si rien n’est fait, la consommation électrique des data centers pourrait représenter 10% de la production électrique mondiale d’ici 2030.

En 2030, la consommation électrique des data centers pourrait représenter 10% de la production électrique mondiale.

Dans le même temps, c’est près d’un tiers du total de ces ressources qui sont inutilement gaspillées, avec jusqu’à 25 à 30% de capacité de stockage disponible et pourtant non utilisées par les entreprises. Sachant qu’un serveur classique consomme aujourd’hui jusqu’à 40% de sa puissance nominale même « au repos », c’est un gâchis sans nom !

Dans le grand ballet de la transformation numérique, les démarches FinOps et Green IT, esquissent un pas de deux révolutionnaire : la démarche FinOps, en optimisant l’utilisation des ressources IT, peut avoir un impact significatif sur notre empreinte écologique. On estime ainsi qu’une optimisation de 30% des ressources informatiques grâce à l’approche FinOps peut se traduire par une réduction d’environ 15% de l’empreinte carbone de l’entreprise.

Une optimisation de 30% des ressources informatiques grâce à l’approche FinOps peut se traduire par une réduction d’environ 15% de l’empreinte carbone de l’entreprise.

Alors, que ce soit pour le bien de la planète ou le bien de votre budget, n’hésitez plus et adoptez l’approche FinOps !

Microsoft Security Copilot

Les progrès fulgurants de l’Intelligence Artificielle ces derniers mois, et l’adoption rapide de ces nouveaux outils par les particuliers et les entreprises préfigurent une nouvelle révolution industrielle. 

Cette révolution en marche bouleverse déjà le monde de la cybersécurité : porteur de nouvelles menaces, l’essor de l’IA offre aussi de nouveaux outils pour la protection des SI. Si l’IA ne remplacera jamais (certains diraient qu’il ne faut jamais dire « jamais » !) le pouvoir de créativité et le libre arbitre humain, elle promet toutefois de modifier en profondeur le rôle des experts cyber au quotidien.

Ainsi, le 28 mars dernier, Microsoft a annoncé l’arrivée prochaine de son nouvel assistant en cybersécurité : Security Copilot. Après avoir intégré l’IA à GitHub, à Bing, puis à M365, le géant américain s’attaque aux outils de sécurité.  Alimenté par l’IA générative GPT-4 d’OpenAI, Security Copilot devient l’un des tous premiers produits de sécurité à doter les équipes défensives d’outils capables de décupler leur réactivité et leur périmètre de couverture à l’échelle permise par la puissance de traitement d’une intelligence artificielle. Security Copilot promet ainsi d’offrir une vitesse de traitement et une capacité de traitement en volume de données sans commune mesure avec les outils actuels : Microsoft Security Copilot permet d’analyser plus de 65 milliards de signaux quotidiens.

Avec cette première version, les équipes sécurités pourront facilement obtenir une cartographie des vulnérabilités et incidents sur le périmètre de leur organisation, profiter de l’analyse par l’IA d’un grand nombre de données empiriques pour déterminer la réponse optimale, pas à pas, à apporter à chacune de ces vulnérabilités. Les utilisateurs pourront bénéficier de modèles prédictifs, d’options de collaboration pour travailler en équipe ou encore intégrer des fichiers, des URL ou des extraits de codes pour réaliser des scans de vulnérabilité automatisés. Son système d’apprentissage intégré permet à Security Copilot d’optimiser et d’améliorer la pertinence de ses réponses en continu. 

Security Copilot sera disponible dans les mois à venir et promet déjà de marquer un tournant dans l’industrie de la cybersécurité. À court terme, on peut voir ce produit comme une réponse (partielle) aux pénuries de compétences cyber ; sur le long terme, l’intégration de l’IA aux outils de sécurité représente un enjeu vital pour équilibrer les capacités de détection et de réponse des entreprises, face à des attaques cyber toujours plus sophistiquées.

Microsoft le promet, Security Copilot incarne l’avenir de la sécurité, un avenir qui associe l’intelligence humaine à la puissance de l’IA.

Rendez-vous dans quelques mois pour un premier bilan !