La sécurité informatique se renouvelle continuellement. Les mesures de sécurité évoluent au fur et à mesure que les architectures changent, que de nouveaux objets sont connectés à Internet et que les pirates trouvent de nouvelles failles dans les systèmes. La majorité des innovations sont graduelles : on améliore la surveillance des comportements, les systèmes d’authentification, la granularité des accès et l’efficacité des journaux et des rapports. Récemment, l’apprentissage machine a permis de rendre chacune des couches de sécurité plus rapide, plus efficace et plus forte.
Mais la philosophie des architectures de sécurité évolue aussi avec le temps. Globalement, cette évolution peut être assimilée à un rétrécissement du périmètre de sécurité : de la protection du réseau d’entreprise, nous sommes passés à la protection des services. Et tôt ou tard, nous passerons à la protection individuelle de petits ensembles de données.
La même progression qui s’applique aux réseaux d’entreprises s’applique aussi aux appareils. Auparavant, on protégeait l’appareil dans son ensemble. Puis, on a commencé à protéger les services et les applications (avec des solutions comme les bacs à sable), et nous devrons tôt ou tard protéger chaque amas de données importantes.
En fait, la protection actuelle des données paraît incomplète en comparaison de celle à venir. Un jour, les données se protégeront elles-mêmes et n’auront plus à dépendre de couches de sécurités externes.
La progression de la sécurité n’est pas parfaitement linéaire. Il y a alternance de périodes de « défense en profondeur » — où l’on renforce les mesures de sécurité existantes en rajoutant des couches autour des actifs de même type — et de périodes de « défense d’échelle » — où l’on effectue des changements structurels et redéfinit la notion d’« actif protégé ». Ces périodes correspondent respectivement aux déplacements horizontaux et verticaux sur le graphique ci-dessous. On perçoit intuitivement qu’en rapetissant le périmètre, on rallonge la liste des actifs à protéger.
Signalons que, comme la sécurité est un processus additif, le travail d’échelle ne sacrifie pas la profondeur.
Nous postulons l’existence de quatre grandes ères : les châteaux, les chevaliers, les besaces et les édits. Dans cette analogie, les châteaux et les chevaliers devraient être bien compris. Les chevaliers utilisaient des besaces pour transporter leurs documents et leur argent (des actifs de données); un édit constituait une proclamation (donc, un regroupement simple de données, ou pépite) ayant un objectif et un public cible bien définis. Un chevalier pouvait transporter plusieurs édits dans sa besace et les livrer à qui de droit au château.
On peut grouper ces quatre ères deux à deux : au temps des châteaux et des chevaliers, la sécurité reposait implicitement dans les réseaux et les services; au temps des besaces et des édits, la sécurité devient l’apanage des données elles-mêmes. La transition fondamentale des chevaliers aux besaces aura lieu lorsque les données se géreront elles-mêmes. Ce point est marqué d’un Δ dans le diagramme ci-dessus. Il s’agit d’une révolution de la conception de la sécurité. La transition des châteaux aux chevaliers était le résultat de l’évolution technologique. La transition des chevaliers aux besaces, elle, découle plutôt d’une prise de conscience et des demandes de la société : une combinaison du rejet technologique des structures de pouvoirs de la Silicon Valley; du RGPD et du CCPA (qui ne sont que des pas de bébé); et finalement, de l’environnement sociopolitique — les démocraties étant mises à mal par des services qui ne gèrent pas bien leurs données… ou pire encore, qui prétendent ne pas être responsables du contenu dont ils font la promotion. Nous devons commencer à nous poser de sérieuses questions : qui détient et qui contrôle les données? Et pour y répondre, il faut tenir compte de ceux qui contrôlent la liberté d’expression et de ceux qui ont le droit de publier des données, d’y accéder ou de les contrôler. Ces facteurs nous poussent à complètement repenser la sécurité.
Fait intéressant : on peut voir que l’évolution se fait selon une tendance fort-faible-faible-fort. Bien entendu, il ne faut pas en conclure que la sécurité « château + chevalier » est plus faible que la sécurité du château seul. Il s’agit simplement de remarquer que l’ajout de chevaliers constitue un aveu que les châteaux seuls ne suffisent pas. Après le Δ, nous amorcerons la portion faible de la sécurité axée sur les données. Plus tard, nous pourrons adopter un modèle de toute évidence supérieur… mais que nous ne sommes pas encore prêts à adopter. Tout au long de ce processus, la sécurité s’améliore.
Poussons l’analyse un peu plus loin. Notre approche se divise en évolutions découlant de la technologie et en évolutions découlant de la société (facteurs humains, attentes). Ces deux catégories sont intrinsèquement liées. Tout modèle qui les isole complètement est imparfait, mais une telle approche permet de mieux voir venir les prochaines ères de sécurité.
Bon nombre des technologies évoquées ici (pour les besaces et les édits) existent déjà. L’IA, les grands livres numériques, le cryptage homomorphe, le cryptage de bout en bout, le cryptage postquantique, la gestion des clés et plusieurs autres technologies, quant à elles, continuent de s’améliorer. Elles sont même, à bien des égards, déjà adaptées à l’ère des besaces. Ce ne sont pas les technologies qui retardent la prochaine étape de la sécurité, c’est la volonté implicite dans le Δ, qui relève davantage de la motivation des acteurs, des demandes de la société et des modèles d’affaires émergents. Comme partout ailleurs, il faut compose
r avec l’inertie, les intérêts bien établis et la méconnaissance et l’incompréhension générales des nouvelles solutions.
Château
Jusqu’à il y a dix ans, la philosophie « château et douve » était la plus courante. Tout ce qui se trouvait dans le château (le réseau d’entreprise) était en sécurité, et comme les indésirables n’avaient jamais accès au château, les actifs qui s’y trouvaient étaient à la portée d’à peu près tous ceux qu’on laissait franchir le pont-levis. On construisait un mur solide qu’on entourait d’une douve — une sorte de zone neutre — et on s’efforçait de rendre les murs plus forts et plus hauts, et la douve, plus large et plus profonde. La philosophie du château évoluait rarement. On se contentait d’ajouter des couches de « défense en profondeur ». Le même principe a été appliqué aux appareils : la protection terminale s’appliquait à l’appareil tout entier. On présumait qu’en sécurisant l’appareil, on sécurisait aussi toutes ses applications.
Un jour, il a fallu reconnaître que peu importe l’épaisseur des murs ou la profondeur de la douve, les assaillants pouvaient percer les défenses. Pensons seulement au cheval de Troie, ou à d’autres tactiques éprouvées, comme les complices (de plein gré ou à leur insu), les tunnels et les échelles. Il a aussi fallu admettre que l’on s’entourait parfois de personnes inaptes ou négligentes. Pour remédier à la situation, nous avons sécurisé chaque pièce du château (p. ex., la salle des RH) et renforcé la douve et les murs. Nous avons réuni les documents de même nature dans un lieu (les dossiers de RH dans la salle des RH) et tenu un registre de consultation. Nous avons tendu des pièges (pots de miel et autres), ce qui revenait à renforcer le périmètre avec du ruban adhésif.
Chevalier
Avec l’arrivée, ces dix dernières années, des téléphones intelligents, de l’Internet des objets et des services infonuagiques, le modèle du château est tombé en désuétude : les terminaux posent des problèmes de contrôle, et les actifs des entreprises ont migré vers des services hébergés par des tiers. La quantité de données que génèrent et stockent les entreprises a crû exponentiellement, mais pas toujours de manière contrôlée, surtout en matière de provenance, de stockage et d’accès. La philosophie de sécurité a évolué pour tenir compte de ceci : (1) certains indésirables vont inévitablement s’infiltrer dans le château, et il faut prendre des mesures supplémentaires pour limiter les dégâts qu’ils causeront de l’intérieur; (2) beaucoup d’actifs d’entreprise (dont certaines couches de sécurité, comme les services d’authentification) se trouvent en dehors des murs du château (sur des appareils personnels, les appareils de l’Internet des objets ou dans les services infonuagiques); (3) les grands fournisseurs infonuagiques sont mieux placés pour gérer la sécurité qu’une entreprise individuelle; (4) les données doivent être cryptées partout; (5) les relations de confiance comptent plus que jamais.
On a baptisé ce modèle « modèle à vérification systématique » (en anglais seulement) ou « périmètre défini par logiciel » (en anglais seulement). Il n’y a plus d’« intérieur du château »; il faut présumer que tout se trouve hors des murs, et qu’il faut donc mettre en place de fortes mesures d’identification et de vérification avant de donner accès à un service. Google a mis en œuvre son approche BeyondCorp, et une foule d’adeptes rapides en prêchent déjà les vertus aux masses. C’est l’approche que Gartner appelle le « périmètre de services d’accès sécurisé » (SASE, de l’anglais Secure Access Service Edge), un nom qui rend explicite la nécessité de protéger les services individuels (qui y a accès, ce qu’il peut en faire, quelles données il peut utiliser, et qui peut voir quelles données ont été utilisées et comment). Le service pouvant partir de n’importe où (tablette, téléphone intelligent, appareil de l’Internet des objets) et aboutir n’importe où (service infonuagique, pair, entreprise), les contrôles d’accès et les mesures d’identification se chevauchent, mais chaque service est davantage responsable de sa propre sécurité.
Pour filer la métaphore du château, le roi a compris qu’il devait sécuriser toutes ses terres, et non seulement son château. Il a donc formé des chevaliers pour assurer la sécurité du royaume de façon décentralisée. Ces chevaliers assurent la sécurité partout où ils se trouvent, pourfendant les menaces qu’ils rencontrent, et font état de la situation et des enjeux. Ces services sont rendus au roi par les chevaliers, et le roi doit leur faire confiance. Des mesures incitatives ont été mises en place, et les structures de signalement ont été redéfinies.
À l’heure actuelle, nous nous trouvons environ au milieu de la transition vers les modèles de sécurité axées sur les chevaliers, probablement à la phase de la majorité précoce sur la courbe typique d’adoption des technologies. Les fournisseurs ont créé des solutions de rechange aux VPN, car les chevaliers doivent aussi assurer la sécurité des interactions qui ont lieu loin du château. De cette transition architecturale découlent les connexions pair-à-pair sécurisées, le transfert du risque vers les tiers, et une foule d’autres révolutions. La philosophie SASE ajoutera de nombreuses couches de défense en profondeur : il y aura évolution des épées, des armures, des boucliers et des lances.
Besace
Comme c’est souvent le cas, au moment où la génération actuelle de technologies atteint un plateau de productivité, une nouvelle philosophie prend racine chez les avant-gardistes. La centralisation des données s’accélère, mue par les idées émergentes concernant les grands livres numériques (une forme extrême de la vérification systématique), la capacité de l’IA à résoudre des problèmes auparavant trop imposants (comme la catégorisation de l’intégralité des données d’une entreprise) et l’importance d’utiliser les données à bon escient (l’encadrement de l’IA ou la conformité au RGPD ou à la CCPA en sont des exemples). Bien que le modèle à vérification systématique ait lancé le mouvement de protection axée sur les données plutôt que sur les réseaux, la segmentation des données dans les modèles à vérification systématique actuels repose sur le concept
de « données requises pour un service ». Si un utilisateur a le droit d’accéder à un service, il a le droit d’utiliser toutes les données auxquelles ce service a accès. Au cours de la vraie transition, vers ce que nous avons baptisé les besaces (ou « périmètre défini par les données »), l’accent passe des services aux données elles-mêmes. L’information que transporte le chevalier est cruciale : sa besace doit donc rester sécurisée s’il tombe au combat. Seul le bon destinataire doit pouvoir ouvrir la besace dans les bonnes circonstances; le chevalier qui l’apporte importe peu. Ce sont les données qui priment; les services sont relégués au rôle d’utilisateur des données.
Beaucoup de jeunes entreprises travaillent actuellement à utiliser l’IA pour la classification, l’organisation et la gestion des données d’entreprise. À cette étape, on navigue entre deux eaux — l’idée étant de regrouper les données similaires dans les mêmes besaces (groupes) pour faciliter l’implantation de meilleures politiques de sécurité. Comme les entreprises répartissent leurs actifs sur l’ensemble de leur réseau (et, de nos jours, dans le nuage), il était impossible sans l’IA de recenser et de localiser la totalité de leurs données. Les grandes bases de données dorsales uniques cèdent la place à la segmentation des données par cas d’utilisation et par listes de contrôle d’accès. Les audits et les pistes de données sont générés et transmis à des services avancés de consignation et d’analyse qui peuvent mettre au jour les utilisations inappropriées ou inattendues.
Si l’OPSI a toujours son mot à dire quant à la sécurité des besaces, l’agent principal de gestion des risques pousse lui aussi, désormais, pour l’adoption de solutions. Les entreprises doivent composer avec l’économie axée sur les données (maintenant une réalité) ainsi qu’avec les risques commerciaux et d’atteinte à la réputation posés par les fuites de données. La protection des données, désormais une initiative stratégique, exige non seulement des technologies informatiques, mais aussi des politiques de transfert du risque et des assurances.
La transition des chevaliers aux besaces constitue une inversion des structures de pouvoir (en accord avec notre théorie de la décentralisation). L’accent n’est plus mis sur les droits et privilèges des services et des connexions (les chevaliers), mais sur les droits et privilèges des données (le contenu des besaces). Certains types de données pourront être utilisés à certaines fins. Toute utilisation sera enregistrée — le propriétaire des données pourra donc être rassuré quant à leur utilisation, et l’utilisateur quant à leur provenance. Ce sont les données qui sont traitées comme des citoyens de premier ordre, et non les services qui les utilisent. Citons comme champs d’application la publicité (la personnalisation n’implique pas le sacrifice de la confidentialité; il suffit d’adopter une architecture axée sur les données plutôt que sur les services) et la lutte contre les préjugés algorithmiques. La portée de cette philosophie sera vaste.
Édit
La transition vers une sécurité axée sur les données se fera en deux étapes. La phase faible, celle des besaces, sera bien souvent « imposée » aux entreprises bien établies par des règlements, les gestes des utilisateurs, les vecteurs d’attaque avancés et la pression des employés. Mais ultimement, la véritable transition se fera lorsque les entreprises commenceront à se démarquer par leur gestion et leur respect des données. Il y aura émergence de la « règle des données minimales », c’est-à-dire que les services ne recevront que le strict minimum des données requis pour exécuter leur tâche (on pourrait notamment utiliser le cryptage homomorphe, mais pour bon nombre d’applications, une approche plus simple suffira), et la surveillance de l’utilisation sera maximale (peut-être au moyen d’un grand livre crypté et non modifiable). On a baptisé cette approche « données minimales, audits maximaux » (DMAM[1]). Pour poursuivre notre analogie médiévale, il s’agit des édits. La besace peut contenir plusieurs documents n’étant pas tous destinés au même public. Chaque édit devrait être capable d’assurer lui-même sa sécurité (il porte le sceau du roi), de sorte qu’il ne sera accessible qu’au bon public, au bon moment, et ce, avec des garanties quant à son utilisation et des mesures d’audit robustes. Chaque édit constitue une unité indivisible de données. Un « sous-édit » n’aurait aucun sens.
L’approche DMAM s’applique aussi aux métadonnées. Prenons, à titre d’exemple, le cryptage d’un courriel de nos jours. Vous pourrez peut-être réussir à cacher le contenu du message, mais comme les protocoles de transmission opèrent en texte libre, il est facile de connaître l’auteur, le destinataire et le parcours du courriel. Un édit envoyé par courriel ne respecterait pas l’objectif ultime de la DMAM. La protection doit s’appliquer non seulement au contenu, mais aussi à l’origine, au parcours et à l’utilisation.
L’approche de sécurité par édits en est encore au stade de la recherche, mais on parle davantage de trouver comment la rendre commercialement viable et comment renverser les structures de pouvoir actuelles que de recherches en cryptographie pure. On pourrait devoir attendre plusieurs années avant de la voir se populariser. Il faut promouvoir l’approche DMAM en créant des mesures d’identification plus fortes (et anonymes) et des grands livres numériques extensibles (qui ne sont pas énergivores au point d’en détruire la planète), en repoussant les limites du cryptage et du traitement des données cryptées, en trouvant des méthodes formalisées pour gérer les données et les métadonnées et en inventant de nouveaux modèles commerciaux et réglementaires. Surtout, il faut que les systèmes conçus selon cette approche soient suffisamment attirants pour convaincre les utilisateurs de délaisser les anciens systèmes. L’approche DMAM est sécuritaire notamment en raison de la confidentialité programmée. Les utilisateurs comprendront que la confidentialité fait partie intégrante de la sécurité. Nous devons changer notre philosophie des applications et des services pour concrétiser ces idées. Malgré tout, nous croyons que la DMAM est la conclusion logique de notre modèle de rétrécissement du périmètre.
On peut en trouver un exemple dans la refonte du Web en une architecture appelée Solid, promue par Tim Berner-Lee. Le protocole HTTP a été conçu pour les connexions (les services); Solid, quant à
lui, est conçu pour séparer les données des services et accorder la primauté aux pods de données. Dans Solid, les pods de données sont ce que nous avons appelé les besaces, et les données qu’ils contiennent sont des édits (p. ex., numéro d’assurance sociale). Que Solid s’impose ou non, il y a fort à parier que la philosophie qui l’anime triomphera un jour.
Le cryptage homomorphe, que nous avons mentionné précédemment, constitue aussi un signe avant-coureur de la faisabilité de la DMAM. Cette technologie permet à l’édit d’exposer certains de ses attributs à un service sans que ce dernier ait accès à l’édit lui-même. Il s’agit d’une approche DMAM viable pour certains types de services; les couches de gestion des données émergeront à mesure qu’émergent des solutions comme le cryptage homomorphe.
Comme s’ils étaient une extension du monde numérique, les objets physiques du monde réel seront traités comme des édits : ils auront leur propre clé numérique (indiquant la propriété et la provenance), et ces clés nécessiteront leur propre sécurité, leurs propres mesures de garde et leur propre assurance. Un jour, quand vous achèterez votre véhicule électrique futuriste, vous en obtiendrez les clés par Internet et consignerez vos droits de propriété dans l’équivalent futuriste d’une banque. La sécurité de vos droits de propriété sur le véhicule s’apparentera à celle de vos droits de propriété sur des photos numériques. Une foule de jeunes entreprises offrent déjà des services de gestion de grand livre numérique des actifs physiques.
Implications pour les entrepreneurs et les investisseurs
Ce portrait propose aux innovateurs et aux investisseurs à la recherche d’opportunités un cadre d’analyse simple. Il ne s’agit pas simplement de trouver des entreprises qui ont une année d’avance sur la courbe que nous avons montrée. Cette courbe n’est pas coulée dans le roc, même si nous l’avons présentée comme si c’était le cas. Certains secteurs ont plus d’avance (p. ex., les infrastructures essentielles) parce que leurs besoins en sécurité sont plus importants, tandis que d’autres accusent du retard parce que leurs objectifs ou les besoins de leurs utilisateurs entrent en conflit avec les pratiques exemplaires actuelles et, cela va de soi, avec les innovations à venir (si, dans un château, chaque pièce est fortement dépendante des autres, il est plus difficile de tout segmenter). Il importe de tenir compte du secteur, de voir à quel stade de l’évolution en est l’entreprise et d’investir dans celles qui sont prêtes à passer à la prochaine étape.
Comme le suggère le tableau plus haut, ces grands changements structurels feront aussi évoluer les modèles d’affaires. L’approche de vente de pare-feu a fait son temps, tandis que les services SaaS hébergés sont en croissance. De nouveaux modèles d’affaires apparaîtront au fur et à mesure que progresse la sécurité centrée sur les données. On peut déjà voir quelques aperçus de ces modèles dans l’univers des chaînes de blocs, mais il est encore trop tôt pour prédire précisément comment tout cela prendra forme.
– Merci à Alex Danco pour ses importantes contributions.
[1] Si cet acronyme vous rend euphorique, c’est que vous avez confondu avec la MDMA. Cependant, il est vrai que reprendre le contrôle de ses données, c’est une expérience incroyable!