C’est un fait peu connu, Cloudflare protège aujourd’hui environ 20% de l’internet mondial. La solution de cybersécurité est disponible via le cloud, elle est donc facile et rapide à déployer en tout lieu. Et elle offre sécurité et fiabilité à plus de quatre millions d’utilisateurs dans le monde.
En 2004, Matthew Prince et Lee Holloway créent le Project Honey Pot, un projet open source d’architecture flexible pour le monitoring des fraudes et abus sur Internet. En 2009, ils sont rejoints par Michelle Zatlyn, qui propose d’ajouter le blocage des menaces sur Internet à la surveillance. Ensemble, ils créent Cloudflare, dont le nom s’inspire de l’image d’un pare-feu dans le cloud, avec la mission d’aider à construire un Internet meilleur. En novembre 2009, la start-up obtient un premier financement, et installe son premier bureau à Palo Alto, sur la Silicon Valley. Après avoir réglé la délicate question de la latence – via la mise en cache de la couche matérielle et le filtrage du trafic parasite qui permettent aux sites d’être plus sûrs, mais aussi beaucoup plus performants -, c’est 27 septembre 2010 que Cloudflare dévoile sa solution au monde à l’occasion de la TechCrunch Disrupt de San Francisco.
Eclatement de l’approche traditionnelle de la sécurité
Aujourd’hui, nous rencontrons Boris Lecoeur, Directeur général France de Cloudflare. Il intervient à un moment pour le moins stratégique pour les entreprises : elles sont confrontées à l’explosion du nombre des cyberattaques dont la complexité ne cesse d’augmenter. Et dans le même temps, la pandémie a imposé l’éclatement de l’approche traditionnelle de la sécurité, dite “mode château-fort”, en plaçant les utilisateurs dans le cloud, donc hors périmètre. L’épreuve est délicate, le périmètre de défense des organisations a éclaté, les utilisateurs sont dispersés, et leurs applications sont à la fois dans le cloud privé et le cloud public, ce qui rend impossible le maintien à jour des défenses.
Or, comme Boris Lecoeur nous le fait remarquer : “L’Internet est devenu le réseau de l’entreprise, mais n’a pas été pensé pour être sécurisé, rapide et fiable”. Comment dans ces conditions permettre aux utilisateurs d’exploiter Internet à leur avantage, et éviter aux entreprises de continuer à faire face au mille-feuilles de la sécurité et à la pénurie des talents ?
Protection de l’entreprise en mode Zero Trust
La réponse apportée par Cloudflare est contenue dans la question : c’est par le cloud que l’éditeur protège ses clients. A commencer par déployer sa propre infrastructure au travers de 210 points de présence dans le monde, datacenters en propre et en colocation. Sur cette infra – qui offre une alternative simple au SD-WAN – et ses points de présence, l’éditeur déploie, en mode cloud native et serverless, le code de ses produits de sécurité, WAF, CDN, DDOS, etc. Ils peuvent également être intégrés sur les environnements des clients sous la forme d’API, en particulier sur les éditeurs d’identités (IDP – identity provider). Boris Lecoeur décrit ainsi l’ensemble : “Une couche de protection simple et rapide à déployer en seulement quelques minutes, qui s’applique sur le datacenter du client, sur ses applications et les API, également en mode SaaS, sur les utilisateurs en mode reverse proxy, sur les sites web, ou encore sur l’IoT”.
Ainsi Cloudflare offre une protection Zero Trust des utilisateurs. On retrouve en effet dans cette solution certains des principaux composants de cette approche qui se veut sans concession. Tout d’abord dans la volonté de contrer la menace au plus proche de là où elle arrive via l’un des réseaux les plus interconnectés, et non plus par une protection périmétrique que l’on sait aujourd’hui inefficace. En cas de menace détectée, l’automatisation des process permet la segmentation à partir de son infrastructure – ce sont deux autres piliers du Zero Trust – ce qui va isoler l’attaque et protéger l’ensemble des clients de la plateforme. Enfin, sur le poste de l’utilisateur final, chaque connexion est identifiée et validée sans qu’il soit nécessaire d’utiliser un VPN. Le dernier pilier du Zero Trust est respecté… Ajoutons pour terminer la capacité interconnecter les filiales sans investir dans un MPLS, via un web security gateway à distance qui peut exécuter un navigateur déporté pour assurer le nettoyage. Cloudflare offre certainement l’une des couvertures de sécurité les plus complètes.
Le réseau edge protége déjà 17 à 20% du trafic mondial
Evidemment, tout cela n’est rendu possible que par la présence de ce réseau Edge, les 210 points de présence (dont 2 en France, Paris, Marseille ) et 9 500 interconnexions Telcos et FAI, qui assurent déjà la protection de 17 à 20% du trafic mondial, de plus de 30 millions de propriétés Internet (options des serveurs et navigateurs), ainsi que de deux root servers, les serveurs racines de DNS qui répondent aux requêtes en noms de domaines saisies dans un navigateur. “C’est l’un des réseaux les plus interconnectés au monde, qui assure une connaissance approfondie de la topographie d’Internet”, commente Boris Lecoeur.
Cloudflare le complète d’un SOC (Security Operations Center), à la fois pour ses besoins propres, et pour éventuellement offrir un SOC as-a-Service à ses clients.
4,1 millions d’utilisateurs
L’ensemble des données qui passent par l’infrastructure, nativement chiffrées ou avec les clés de l’utilisateur, offre une connaissance précise des menaces et de leurs sources. Les patterns d’attaques sont identifiés très tôt, même chez les petits clients qui sont pourtant généralement mal couverts par les cyber-défenses. Ainsi, dans un modèle vertueux, chaque client de Cloudflare améliore la sécurité de l’ensemble des 4,1 millions d’utilisateurs de la solution. Démarche doublement vertueuse pour l’éditeur, l’entreprise accède avec Cloudflare à une solution unique (sans qu’il soit nécessaire de consolider un mille feuille de solutions disparates), simple, facile à mettre en œuvre, et toujours à jour. Et économique, puisque son modèle de coût est à l’utilisateur ou à la propriété internet protégée. “La solution permet à n’importe quelle organisation de disposer d’un niveau d’expertise avancée sans être expert. Elle est également proposée en marque blanche par des opérateurs télécoms et des fournisseurs de solutions de cybersécurité”.
Ce cercle vertueux est un pari gagnant sur l’avenir. Comme nous l’indique Boris Lecoeur, “Avec l’augmentation du nombre de nos clients, le volume simplifie le problème. Face aux attaques et à la complexité qui continuent de perdurer, nous allons continuer à automatiser notre plateforme et à l’enrichir d’algorithmes d’IA (Intelligence Artificielle). Et à répondre aux attaques sans baisse de performance pour nos clients”. L’intelligence partagée à l’échelle du réseau, il n’y a rien de mieux pour ce concentrer sur ce qui ne change pas, en particulier l’internet et le cloud qui continueront de prendre une part prédominante dans les entreprises, et les attaques dont le volume et la complexité ne risquent pas de se réduire.
Yves Grandmontagne