Bernard Ourghanlian, directeur Technique et Sécurité de Microsoft, a accordé une interview à Solutions-Numériques sur les Assises de la Sécurité. Il prend une position tranchée envers l’approche traditionnelle de la cybersécurité.
Solutions-Numériques : Que représente aujourd’hui la cybersécurité pour Microsoft ?
Bernard Ourghanlian : Il y a une évolution des modèles informatiques, une évolution des menaces, et comme nous devons à nos clients la confiance notamment dans le Cloud, nous avons décidé d’investir massivement dans la cybersécurité. Depuis 2015, Microsoft dépense plus d’1 milliard de dollars par an sur ce sujet de la cybersécurité, ce qui se traduit par beaucoup d’acquisitions, mais aussi une volonté d’enfouissement de la sécurité dans toutes nos offres. C’est sans doute le côté le plus paradoxal de cette stratégie : nous sommes sans doute l’un des plus gros investisseurs dans le monde en cybersécurité du côté de notre R&D, et, pour autant, c’est un domaine dans lequel nous n’avons pas de marque, pas de communication. La sécurité est, en quelque sorte, un sujet enfouit dans tout ce que nous faisons, sachant que tout évolue très rapidement dans ce domaine. Nous avons une vision de bout en bout, depuis le terminal, le poste de travail au Cloud en prenant en compte les environnements d’exploitation en entreprise, et avec une vision d’architecture de la sécurité un peu différente de beaucoup des acteurs qui sont ici sur les Assises de la Sécurité.
SN : Quelle est l’architecture de sécurité aujourd’hui prônée par Microsoft ?
BO : Cela fait très longtemps que nous ne croyons plus à la notion même de périmètre de sécurité. La sécurité périmétrique est aujourd’hui un concept totalement obsolète. Nous considérons que ce qui peut encore constituer la dernière frontière, le dernier périmètre, c’est l’identité. L’identité est la dernière chose qui reste dans un monde totalement ouvert où il est nécessaire de déterminer en temps réel la capacité d’un utilisateur à accéder à tel ou tel objet sécurisé. Il faut être capable de le faire dans un contexte d’accès qu’il faut évaluer de manière dynamique et qui va accorder, ou pas, l’accès à l’utilisateur sur la base de la qualité de son identité avec un niveau de confiance de l’identité suffisamment fiable : endroit où cette identité a été démontrée – selon qu’il s’agisse du hotspot Wifi d’un aéroport, d’un poste situé derrière le pare-feu du système d’information – ; types d’informations auxquelles il souhaite accéder : confidentielles, classifiées… Cette approche basée sur l’identité va de pair avec la capacité de classifier les informations par niveau d’importance, de valeur pour l’entreprise. Un sujet sur lequel nous avons beaucoup investi depuis plus d’une dizaine d’années, c’est la gestion des droits numériques. Outre le chiffrement, il faut avoir la capacité d’exprimer à travers une grammaire XML ce que l’on a le droit de faire sur un fichier ou un document quel que soit son support. A partir du moment où le fichier en question est chiffré et que l’on a exprimé les actions que les utilisateurs pourront effectuer, seuls les gens qui ont le droit légitime d’accéder à cette information pourront d’une part y accéder et d’autre part pourront faire que ce que le propriétaire a décidé de leur accorder. Si celui-ci a décidé d’empêcher que l’on puisse renvoyer l’information à travers la messagerie ou puisse faire un couper/coller de son contenu, on pourra l’interdire.
SN : Ce discours d’ouverture des SI passe mal auprès des RSSI en charge de leur protection…
BO : Le monde change et certains on encore du mal à ce projeter dans ce nouveau monde, pour autant de nombreux préceptes sur lesquels ont été construite l’architecture de sécurité des systèmes d’information actuels sont malheureusement totalement obsolètes. De multiples vendeurs ici présents sur les Assises font de la protection réseau qui consiste en l’analyse des contenus des flux réseaux, alors que notre vision c’est que les contenus doivent être chiffrés de bout en bout.Donc il n’y a rien à analyser sur le réseau. Nous sommes dans une logique totalement différente et l’essor de cette nouvelle approche est inexorable. Le chiffrement est un élément absolument indispensable de la sécurité et la seule façon de garantir que seul le destinataire d’une information y aura accès, c’est de s’assurer que le fichier en question est chiffré et qu’on est sûr que le fichier lui arrive bien car il y a un chiffrement de bout en bout. C’est une approche qui a été baptisée l’architecture « 0 Trust », c’est-à-dire que l’on ne fait confiance à personne, ni au fournisseur Cloud ni au réseau. C’est une vision en rupture des pratiques actuelles et l’immense majorité des produits ici présentés sur les Assises ne servent à rien dans une telle architecture. De manière plus générale, nous estimons que les entreprises consacrent aujourd’hui trop d’argent sur la cybersécurité, ce qui est tout à fait paradoxal, je le conçois, mais dans le même temps, les résultats sont pitoyables. On ne peut se résigner à ce que les plus grandes entreprises françaises se fassent hacker en permanence. Si cela arrive encore aujourd’hui, c’est qu’un certain nombre de mesures essentielles ne sont toujours pas appliquées. Mettre à jour ses systèmes, avoir des mots de passe gérés de manière intelligente permettrait d’éviter 90 % des tentatives de hack que l’on observe tous les jours.
SN : Pour autant, existe-il des solutions qui permettent d’aller vers ce nouveau modèle « 0 Trust » ?
BO : La sécurité reste une école de l’humilité. On peut considérer que les solutions qui permettent de répondre aux nouveaux enjeux de la cybersécurité existent mais il est possible de réaliser des progrès très rapidement, notamment par la mise en place d’une meilleure hygiène informatique, au travers d’un chiffrement de bout en bout systématique, à travers la simplification des systèmes. Car plus ceux-ci sont complexe, plus il est compliqué de les sécuriser. C’est un discours un peu choquant que je tiens ici sur les Assises mais l’approche actuelle ne marche pas ! Il faut se poser les vraies bonnes questions et changer d’approche de manière radicale et pas seulement à la marge. Il est compliqué de changer d’approche, mais si on évoque le GDPR, il y a là de quoi largement occuper les RSSI or c’est un sujet derrière lequel il y a très peu de technologies à mettre en œuvre. Il s’agit de projets essentiellement méthodologiques, de processus à mettre en place sans devoir accumuler les briques technologiques. Il faut un peu de technologies à certains endroits pour se rendre conforme, mais pas tant que cela. Un énorme travail doit être mené afin d’identifier les données, savoir les classifier, évaluer leur niveau de sensibilité, autant de mesures qui ne relèvent pas de pile de technologies assemblées tant bien que mal par les RSSI.
SN : Les grands RSSI se plaignent justement de la complexité des solutions et du nombre très important de fournisseurs, appelant pour certains à une concentration du marché.
BO : C’est de leur faute ! Ils continuent de se doter de solutions « Best-of-Breed » et tant qu’ils continueront dans cette voie, ils créeront un objet trop compliqué dont la complexité nuit à sa sécurité. Le fait de générer des millions voire des milliards d’événements de sécurité chaque jour est devenu ingérable. Ou on dispose de modèles d’intelligence artificielle suffisamment subtils pour être capable d’en extraire les signaux faibles, mais l’idée n’est pas non plus de multiplier les sources d’événements qui, dans la pratique, sont reçus par ailleurs. Il faut avant tout simplifier, ce qui est paradoxal, je le conçois, mais on ne peut se résoudre au fait que la situation actuelle est une fatalité. »
SN : Est-ce que certaines entreprises parviennent à faire mieux ?
BO : Certaines entreprises font de la cybersécurité de manière un peu « rustique » avec un certain succès. Si on prend l’exemple des banques, celles-ci connaissent quelques problèmes de cybersécurité, mais ceux-ci sont généralement d’origine interne, avec des fraudes issues d’employés mécontents. Sur les 10 années pendant lesquelles nous avons aidé des clients à se sortir de situations de crise de cybersécurité, je n’ai jamais vu une seule banque. Par contre tous les autres secteurs sont frappés, que ce soit dans le privé ou dans le public et toujours pour les mêmes raisons. Je reste étonné de voir que ces sujets ne progressent pas véritablement. Exemple avec un RSSI dans une usine qui se plaint de ne pas pouvoir patcher car son DSI ne veut pas interrompre la production : on peut concevoir un système d’information de façon à ce qu’il y ait une redondance et que lorsqu’on patche un système, il y ait toujours un système actif capable de piloter l’usine. Il n’y a pas de fatalité, mais il faut concevoir la sécurité d’une autre façon. Cette idée de dire que l’on ne fait confiance à rien est un concept extrêmement important.
Auteur : Alain Clapaud