Alors que les entreprises placent de plus en plus de workloads dans le Cloud public, la sécurité change de modèle. Les entreprises ont besoin de solutions de sécurité dans le Cloud, mais optent de plus en plus pour des offres managées.
Alors que les entreprises accélèrent leur transformation digitale, les DSI externalisent de plus en plus leurs infrastructures auprès des fournisseurs Cloud. Cela implique naturellement la mise en œuvre de solutions de sécurité dans le Cloud. Qu’il s’agisse d’AWS, de Microsoft Azure et, dans une moindre mesure, de Google Cloud, les hyperscalers proposent des portefeuilles de solutions de sécurité de plus en plus conséquents. Les récentes acquisitions de Mandiant et de Siemplify par Google Cloud démontrent la course des géants du Cloud afin de couvrir l’ensemble des besoins de solution de sécurité dans le Cloud.
Les hyperscalers jouent sur la complémentarité
Depuis les firewall, la gestion des identités et des accès, la détection des menaces jusqu’au SIEM, les fournisseurs Cloud proposent à peu près toutes les briques de cybersécurité, avec l’atout d’offrir une intégration étroite avec l’ensemble de leurs services, ce qui a particulièrement séduit les DevOps. Les synergies entre les infrastructures mondiales de ces acteurs et ces briques de sécurité native sont évidentes dans certains domaines, notamment la lutte contre les attaques DDoS comme l’expliquait Alexis Marcou, Senior Solutions Architect chez AWS lors de l’AWS Summit 2022 : « L’un des principes de défense contre les attaques DDoS est de répartir l’attaque sur un ensemble de points dans le monde. Utiliser des points de présence d’un CDN (Content Delivery Network) comme AWS CloudFront, des caches locaux, des mécanismes de répartition de la charge à l’échelle mondiale va facilement réduire l’impact d’une attaque DDoS. Le WAF va se concentrer sur les attaques applicatives. Ce service peut s’activer au-dessus de CloudFront. L’utilisateur va créer des règles pour laisser passer le trafic légitime et bloquer le trafic malveillant et activer des fonctions de supervision évoluées. » Illustration de cette approche 100 % Cloud, l’activation du WAF sur CloudFront se fait en quelques clics, sans même nécessiter d’intervention sur les entrées DNS. Cette approche a notamment démontré son efficacité chez Winamax, un service de jeu en ligne fréquemment confronté à des attaques DDoS de très grande ampleur (lire encadré Jaguar Network : une offre
de SOC managé plus accessible).
Des règles de filtrage prêtes à l’emploi
L’entreprise peut bien évidemment créer elle–même ses règles de filtrage, mais de multiples règles prédéfinies existent déjà pour le WAF. Ainsi, une règle de détection d’injection SQL est activée où il est possible d’imposer la saisie d’un Captcha pour les utilisateurs de certaines zones géographiques à risque. Ses règles sont créées et managées par AWS, mais d’autres fournisseurs de cybersécurité proposent eux aussi des règles prêtes à l’emploi. C’est notamment le cas de F5 ou Fortinet qui proposent des versions managées. C’est le fournisseur qui les maintient et, par exemple, tient à jour lui-même les listes d’adresses IP potentiellement dangereuses.
La bataille des éditeurs cyber sur les marketplaces
Les RSSI qui rechercheraient des solutions plus évoluées que celles proposées par les fournisseurs Cloud peuvent notamment se tourner vers les éditeurs de solutions de sécurité qui proposent de plus en plus leurs offres sur les marketplaces. Une position de “coopétiteur” qu’a choisi de défendre et amplifier Palo Alto Networks, présent sur la marketplace AWS. « Notre firewall était déjà disponible sur la marketplace AWS sous forme d’une machine virtuelle » explique Eric Antibi, Palo Alto Networks. « Nos clients devaient souscrire sur la marketplace, provisionner une instance, l’installer puis assurer lui-même ses montées de version. » L’éditeur a récemment fait évoluer son modèle en proposant l’accès à son firewall de nouvelle génération sous forme de service managé. La nuance est de taille : « Avec ce service managé, le client peut disposer de NGFW en quelques clics sans devoir s’occuper de la version du firewall, ni de son hébergement sur une instance AWS, ni de sa montée en charge future. » L’éditeur a fait l’effort d’intégrer l’administration de sa solution de protection au Firewall Manager d’AWS, l’idée de Palo Alto Networks étant de simplifier au maximum la gestion de sa solution par les équipes DevOps et accessoirement remplacer le firewall d’AWS qui était bien souvent mis en œuvre par ses équipes pour qui la rapidité est la clé.
Les grandes manœuvres autour de l’approche SASE
Outre les hyperscalers et les éditeurs de solutions, on assiste à une grande bataille de position entre les MSSP qui proposent des services managés à partir des offres éditeurs, les opérateurs télécoms qui proposent des services de sécurité alors que les entreprises basculent de plus en plus leurs réseaux vers les SD-WAN. Jaguar Network, opérateur télécom et fournisseur de services cloud, la branche B2B du Groupe iliad propose l’offre Web protect, une solution qui allie Firewall UTM, Antispam, Anti-DDoS. Laurent Cheyssial, CTO de Jaguar Network, replace l’offre cyber de l’opérateur en perspective : « Nous percevons une demande de plus en plus forte de la part de nos clients vis-à-vis de la cybersécurité. Davantage d’acteurs sont touchés notamment par des attaques de ransomware et c’est une problématique qui arrive très tôt dans nos échanges avec les clients. » L’opérateur assure une détection constante des vulnérabilités sur les plateformes de ses clients et s’assure que chaque configuration est à jour vis-à-vis des failles publiées.
Démocratiser les services…
« Nous signalons à nos clients toutes les vulnérabilités découvertes sur les infrastructures et nous pouvons les traiter dès que celles-ci sont connues si le client le souhaite. Ce sont les types de services que nous proposons depuis longtemps à nos clients afin que ceux-ci puissent se concentrer sur leur cœur de métier. Aujourd’hui, cette offre est complétée par la sécurité périmétrique avec le firewall et le WAF, la protection contre les attaques par déni de service (DDoS). Nous travaillons avec des partenaires comme Fortinet, Juniper, F5, Arbor ou encore Rohde & Schwarz. » L’offre de l’opérateur va jusqu’au CyberSOC, avec une volonté de démocratiser ce type de service que l’on retrouve aussi chez Orange Business Services avec son offre managée Micro-SOC.
Ces acteurs traditionnels doivent rapidement muscler leurs offres cyber car la concurrence venue du Cloud est sérieuse. Le marché SSE (Security Service Edge, ex-SASE dans la terminologie du Gartner) connait une vive croissance et il est mené par des acteurs tels que Zscaler, Netskope, McAfee Enterprise, Palo Alto Networks et Cisco. Secure Web Gateway, CASB, WAF, leur catalogue ne cesse de s’étendre.
L’approche managée arrive à point nommé
A terme, la montée du modèle « As a Service » dans la cybersécurité doit permettre aux équipes de sécurité de se délester de tout le volet “Ops” de la gestion des briques de sécurité et se concentrer sur l’amélioration de la posture de sécurité de l’entreprise. L’approche managée arrive à point nommé alors que les compétences en cybersécurité sont plutôt rares sur le marché du travail et les budgets toujours insuffisants lorsqu’il s’agit de faire face à la menace cyber.
Avis d’expert
Laurent Cheyssial,
CTO de Jaguar Network
« Nous percevons une demande de plus en plus forte de la part de nos clients vis-à-vis de la cybersécurité. Davantage d’acteurs sont touchés notamment par des attaques de ransomware et c’est une problématique qui arrive très tôt dans nos échanges avec les clients. »