Par Christophe Auberger, Fortinet

Les entreprises ont désormais accès à de nombreuses applications (logiciels) et ressources métiers (progiciels) hébergées directement chez les éditeurs. Ainsi, nous nous confrontons à un environnement multi-cloud, par nature complexe. Se pose alors la question de la cybersécurité dans le multi-cloud. Il faut donc repenser sa stratégie en matière de sécurité informatique !

Pour cela, Fortinet propose des solutions pour aider les entreprises à protéger leurs données informatiques dans un environnement multi-cloud, notamment en déployant une solution sandbox dans le cadre d’une stratégie SD-WAN. Mais pas que… ! Retrouvez ces solutions sur www.the8bits.com

Qu’est-ce que le SD-WAN ?

Après l’IPsec (Internet Protocol Security) et le MPLS (Multi Protocol Label Switching), le SD-WAN pour « Software-Defined Wide Area Network » représente la nouvelle génération de protocole réseau.

Il s’agit d’un réseau étendu à la définition logicielle, il facilite la gestion du réseau en séparant la partie matérielle du réseau de ses mécanismes de contrôle et de gestion. Pour Gartner, il permet de switcher dynamiquement les paquets IP en fonction de leur « scénario de route » et donc de multiplier les types de connections de raccordements et de technologies.

Dans un environnement cloud, le SD-WAN permet de créer facilement ou faire évoluer « simplement » son réseau interne. Ainsi il est possible pour un client de raccorder entre eux ses sites distants, ses entreprises partenaires (fournisseurs et clients), ses propres fournisseurs Cloud, et ce en utilisant n’importe quel Fournisseur d’Accès à Internet (FAI).

En d’autres termes, le SD-WAN permet aux entreprises d’être connectées de façon permanente et efficaces, avec des débits plus importants tout en faisant des économies.

SD-WAN et cybersécurité dans le Multi-Cloud

La sécurité est souvent le parent pauvre des plateformes proposant du SD-WAN. Le risque est en effet une dégradation importante du débit, ce qui nuit à la promesse d’un débit important. Conséquence : ces fournisseurs imposent à leurs entreprises clientes de définir elle-même leur stratégie cybersec.

Fortinet interpelle les entreprises sur les possibles difficultés auxquelles elles peuvent être confrontées au moment de choisir une solution SD-WAN. L’entreprise a fait le choix d’offrir au sein d’une seule et même plateforme à la fois les fonctionnalités SD-WAN, mais également les fonctions de sécurité telles qu’un pare-feu nouvelle-génération (NGFW), un anti-malware, un système IPS et un filtrage web.

Pour ce qui concerne les logiciels et progiciels en mode SaaS (Software as a Service)

Il est important de vérifier pour toutes les connexions et applications les privilèges accordés et inspecter le trafic de chacun de bout en bout. « La connectivité pouvant évoluer à tout moment, la sécurité doit également pouvoir s’adapter en temps réel pour prendre en charge les évolutions et les changements sur le réseau » précise Christophe Auberger. C’est une étape indispensable de votre cybersécurité dans le multi-cloud.

Pourquoi utiliser une SandBox ?

Les environnements multi-cloud sont, particulièrement vulnérables aux menaces zero-day. Pour y répondre, Fortinet conseille l’utilisation d’une sandbox (ou Bac à Sable) intégrée aux outils de cybersécurité.

La sandbox est un mécanisme qui isole tout ou partie de l’exécution d’un logiciel le temps de traiter son risque informatique et de s’assurer de son innocuité. Il est utilisé pour améliorer la sécurité d’un logiciel ou de pages web. Dans le cas d’un système d’exploitation, il diminue les risques lors de l’exécution d’un logiciel. Lorsque vous choisissez votre firewall, vérifiez s’il dispose nativement ou en option d’un tel dispositif.

Il est donc indispensable d’équiper votre réseau multi-cloud d’une telle sandbox pour une protection maximale.

SD-Wan et compatibilité SSL

Fortinet recommande l’utilisation de solutions SD-WAN compatibles avec SSL (SSL = Secure Socket Layer, complément de sécurisation à TCP/IP, est le protocole de sécurité le plus utilisé pour créer un canal sécurisé entre deux machines informatiques) et/ou TLS (Transport Layer Security, la version open-source de SSL).

Cette compatibilité permet d’établir un lien et d’en contrôler le flux, de chiffrer les données acheminées sur un réseau public. Ce réseau public se trouvera au niveau des différents datacenters où transitent vos données, services et applications SaaS, mais également de l’Internet et entre les sites distants.

Sans compatibilité vous ne pourrez mettre en place une stratégie basée sur un VPN (Virtual Private Network ou réseau virtuel privé grâce à l’encryptage des deux bouts du réseau) en topologie mesh (maillage en réseau, où toutes les machines sont connectées pair à pair, sans hiérarchie centrale. Cette organisation forme donc une structure dite « en forme de filet ». Ainsi, chaque nœud reçoit, envoie et relaie les données.

Une telle organisation implique une gouvernance et des outils d’administration solides, sans lesquels aucun contrôle du réseau n’est possible.

Monitoring intégré : la pierre angulaire de votre stratégie SD-WAN

Jusqu’ici nous vous avons alerté sur les points de vigilance pour mettre en place votre stratégie SD-WAN sécurisé, notamment avec une Sandbox.

Il se peut que vous n’ayez pas pensé à tout lors de la définition de votre stratégie. Mais ajouter a posteriori des solutions de sécurité autonomes à votre environnement SD-WAN existant vous imposera d’utiliser différentes interfaces d’administration, ce qui dans les faits empêche une bonne visibilité et un véritable contrôle de vos flux. Nous vous invitons donc à prévoir dès le départ un monitoring complet et intégré, comprenant le contrôle de la conformité et de la sécurité pour vous assurer que toutes les connexions répondent aux exigences minimales.

Aussi vous devez privilégier une solution qui réunit la sécurité et la connectivité du réseau en un seul système. Cela vous garantit une vraie souplesse en cas de modification de votre réseau, ce qui ne manquera pas de survenir. Assurez-vous de disposer d’agilité dans le futur contrôle grâce à une seule console de gestion intégrée. « Cette approche garantit que les problèmes de configuration peuvent être reconnus et résolus tout en restant conformes aux exigences réglementaires qui couvrent à la fois les connexions de sécurité et le réseau » précise Christophe Auberger.

Conclusion et recommandation pour votre cybersécurité dans le multi-cloud

Nous venons de le voir, il est indispensable pour les entreprises utilisant un multi-cloud (de facto ou volontaire) de bien se poser un ensemble de questions pour garantir la sécurité de leurs données pour aujourd’hui mais également pour demain. Il apparait ainsi clairement que l’utilisation d’une solution intégrée permet de réussir sa stratégie SD-WAN et donc d’assurer la cybersécurité dans le multi-cloud.

Pour autant est-ce que votre stratégie de sécurisation est complète ?

Certes on ne saurait que trop vous conseiller une segmentation réseau de type Intent-based, la redondance de vos liens de communication et des passerelles de sécurité d’e-mail. La formation et la sensibilisation des collaborateurs de l’entreprise est aussi un facteur majeur de protection (service de formation disponible sur notre plateforme). Mais votre fournisseur peut aller encore plus loin.  

Chez Fortinet, la logique est à une approche collective de la cybersécurité. Vous bénéficiez ainsi de nombreuses options d’accompagnement dans votre exploitation informatique avec les services FortiGuard et FortiCare en complément de vos pare-feu FortiGate (lien). Ces services reposent notamment sur une approche collaborative qui concerne de nombreux acteurs (organismes publics et privés, d’Etat ou professionnels de la sécurité informatique). A ce titre l’entreprise est membre fondateur de la Cyber Threat Alliance.

Pour toute question, les équipes 8bits et Fortinet sont à votre disposition à l’adresse contact@the8bits.com

%d blogueurs aiment cette page :