Le numérique comme valeur par défaut : Gérer les conséquences imprévues

La finalité de la transformation numérique a toujours été un modèle opérationnel « numérique par défaut ». Je ne me souviens pas de la dernière fois où quelqu’un a laissé un annuaire téléphonique sur mon porche ou m’a tendu le DVD d’un nouveau film à regarder. Lorsque je veux jouer à un nouveau jeu, j'utilise la boutique sur ma console. Je ne me lève certainement plus pour me rendre dans un magasin de jeux physique et parcourir les cartouches. Et les mises à jour ? Ils sont livrés automatiquement.  Sérieusement, même mes jeux de rôle sur table préférés sont numériques aujourd’hui. Je n’ai pas besoin de trimballer treize livres et plusieurs kilos de dés chez quelqu’un pour jouer. J'ai juste besoin de mon ordinateur portable.

Ce n’est pas que j’abandonne mes dés. Parce que ce ne sont que des paroles folles.

Mais j’utilise davantage le numérique parce que les entreprises nous offrent davantage de numérique.

Au cours de l’année écoulée, tous les secteurs ont progressé rapidement – motivés par la nécessité – vers les deuxième et troisième phases de la transformation numérique.

Phase 1

Automatisation des tâches 

À ce stade, la numérisation conduit les entreprises à transformer les tâches commerciales orientées vers l'humain en diverses formes d'« automatisation », ce qui signifie que davantage d'applications sont introduites ou créées dans le cadre du flux commercial. Cela a commencé par l’automatisation de tâches individuelles bien définies pour améliorer l’efficacité. Un exemple courant est celui des systèmes IVR qui répondent à des questions courantes sur un produit ou un service, mais qui peuvent avoir besoin de passer la parole à un représentant humain. Dans cette phase, les tâches individuelles sont automatisées, mais pas intégrées de manière cohérente. 

La conséquence imprévue : Plus de code 

Il ne s’agit pas seulement de plus de code résultant d’un plus grand nombre d’applications, mais également de plus de code résultant de nouvelles architectures d’applications. L'application iPhone moyenne nécessite moins de 50 000 lignes de code. Google? Plus de 2 millions. La plupart des applications se situent quelque part entre les deux. Tout ce code doit être maintenu, mis à jour et sécurisé, et les organisations étendent leur base de code à travers les architectures depuis des années. Ils exploitent désormais cinq architectures distinctes et environ trois à quatre bases de code différentes, du COBOL au C, en passant par JS et Go.

Et cela ne prend pas en compte l’utilisation croissante de JSON, YAML et Python à mesure que les organisations adoptent « l’infrastructure en tant que code ». Cela représente plus de la moitié (52 %) selon notre étude annuelle , et ce chiffre ne fera que croître à mesure que les organisations qui se lancent dans l'IA et le ML commencent à adopter des pratiques opérationnelles qui incluent également des « modèles et algorithmes » sous forme de code.

Phase 2

Expansion numérique 

À mesure que les entreprises commencent à tirer parti des infrastructures cloud natives et à favoriser l’automatisation grâce à leur propre développement logiciel, cela conduit à une nouvelle génération d’applications pour soutenir la mise à l’échelle et l’expansion ultérieure de leur modèle numérique. Le moteur de cette phase est constitué par les chefs d’entreprise qui s’impliquent dans les décisions d’application conçues pour différencier ou offrir un engagement client unique. Par exemple, les prestataires de soins de santé intègrent de plus en plus les dossiers des patients et la facturation aux systèmes d’admission, de sortie et de planification. Les rappels de rendez-vous automatisés peuvent alors éliminer les processus manuels. Se concentrer sur l’amélioration des processus métier de bout en bout est le thème commun de cette phase.   

La conséquence imprévue : Plus de connexions

Mais attendez, il y a plus. Le numérique comme valeur par défaut et la modernisation de l’informatique impliquent davantage de connexions entre les applications, les systèmes, les appareils, les consommateurs, les partenaires et les API. Chacun d’entre eux constitue un point d’entrée potentiel, susceptible d’entraîner une violation ou une compromission importante des systèmes.

Les enjeux sont ici élevés. Logiciel malveillant. Ransomware. Fraude. Perte de revenus. Les coûts liés à l’échec de la sécurisation de tout ce qui pourrait être attaqué sont exorbitants, tout comme la manière dont vous allez vous y prendre.

Phase 3

Entreprise assistée par l'IA 

À mesure que les entreprises progressent dans leur parcours numérique et exploitent des capacités plus avancées dans les plateformes d’application, la télémétrie commerciale et l’analyse de données, ainsi que les technologies ML/IA, les entreprises deviendront assistées par l’IA. Cette phase ouvre de nouveaux domaines de gains de productivité commerciale qui étaient auparavant inaccessibles. Par exemple, un détaillant a constaté que 10 à 20 % de ses tentatives de connexion infructueuses étaient dues à des utilisateurs légitimes qui avaient des difficultés avec le processus de validation. Refuser l’accès par défaut représentait une perte de revenus potentiellement importante. L’analyse comportementale peut être utilisée pour distinguer les utilisateurs légitimes des robots qui tentent d’accéder. La technologie et l'analyse ont permis l'identification assistée par l'IA de ces utilisateurs pour les laisser entrer, augmentant ainsi les revenus et améliorant la fidélisation des clients.    

Les conséquences imprévues : Plus de données

Enfin, le numérique par défaut entraîne nécessairement davantage de données. Il ne s’agit pas uniquement de données client (commandes, produits, adresses, détails de paiement), mais également de données opérationnelles telles que des mesures et des journaux. Une entreprise numérique a besoin de télémétrie pour comprendre les visiteurs, les modèles d’engagement, les performances, les flux inhabituels et les comportements anormaux. Cette télémétrie n’est pas quelque chose qui peut être analysé et rejeté, du moins pas immédiatement. Des jours, voire des semaines ou des mois, de télémétrie peuvent être nécessaires pour établir correctement des lignes de base opérationnelles, puis découvrir des modèles qui alimentent les décisions commerciales ainsi que des anomalies indiquant une attaque.

Toutes ces données nécessitent une attention particulière. Il doit être normalisé, stocké, traité, analysé et organisé. Et cela nécessite de la sécurité, car certaines de ces données peuvent contenir des éléments clients protégés nécessitant une conformité et une surveillance réglementaire.

Le résultat inattendu de la transformation numérique : Plus de complexité 

Quelle que soit la vitesse à laquelle une organisation progresse à travers ces phases, le résultat est le même : plus de complexité.

Et nous savons tous que la complexité est l’ennemie de la sécurité.

Ainsi, pour les professionnels de la sécurité, le numérique par défaut signifie de nouveaux défis. L’une des façons de faire face à cet ensemble de défis de sécurité est de le décomposer en catégories plus faciles à gérer.

Simplifiez pour garder la tête froide

La plupart des défis de sécurité peuvent être regroupés en trois grandes catégories : application, infrastructure et entreprise. Ces catégories de niveau supérieur sont utiles pour gérer les situations où vous avez besoin de financement ou de soutien de la direction. Ils sont également utiles pour le triage afin de déterminer la meilleure approche pour les atténuer.  

Couche applicative → DevSecOps

Les vulnérabilités de la couche applicative peuvent être traitées avec une approche de déplacement vers la gauche, c'est-à-dire en faisant de la sécurité une partie de chaque pipeline, du développement au déploiement en passant par l'exploitation. Il s’agit presque toujours de vulnérabilités involontaires, généralement causées par une action humaine, intentionnelle ou accidentelle. Ils couvrent toute la pile, des secrets partagés via les référentiels personnels des développeurs à la mauvaise configuration des buckets S3. Les outils peuvent identifier les vulnérabilités des composants tiers et d’autres dépendances pour garantir que vous utilisez la version la plus récente, la plus performante et, espérons-le, la plus sûre de ce script.

Du WAF au DAST en passant par le RASP et le SAST, les outils abondent pour aider à analyser et sécuriser le code. La plupart d’entre eux sont entièrement capables de s’intégrer au pipeline de développement. En automatisant les analyses, vous éliminez efficacement les transferts et la perte de temps associée. L’industrie l’appelle DevSecOps, mais vous pourriez également l’appeler traitement parallèle ou multitâche. Cela signifie que le calendrier ne s’arrête pas lorsqu’une équipe ou un individu n’est pas disponible ou surchargé de travail. Cela signifie une analyse plus approfondie et la capacité de détecter les erreurs plus tôt dans le processus.

Vulnérabilités des infrastructures → Défense distribuée

Les vulnérabilités plus traditionnelles telles que les attaques DDoS volumétriques et l’amplification DNS se situent dans la couche d’infrastructure. Vous ne pouvez pas vraiment vous déplacer vers la gauche pour atténuer ces attaques et vous ne pouvez certainement pas les éliminer, car vous ne contrôlez pas les attaquants. Vous ne pouvez contrôler que votre réponse.

Les vulnérabilités de la couche d'infrastructure nécessitent une approche plus axée sur le bouclier, dans laquelle les services de sécurité se défendent contre les attaques en direct, car il existe des moyens de les « traiter ».

Aujourd’hui, l’application est le périmètre et les organisations ont des applications partout dans le monde. En ignorant le SaaS, les organisations utilisent, en moyenne, 2,7 clouds publics différents qui étendent les centres de données existants. C'est au pluriel.

Ils disposent également de nombreux points de terminaison distribués, comme mon ordinateur portable d’entreprise. Même avant que le travail à domicile ne devienne une pratique plus ou moins permanente, les gens voyageaient, ce qui impliquait des terminaux mobiles distribués.

Cela crée un besoin de solutions distribuées centrées sur les applications et les identités pour défendre l’infrastructure et les applications. Cela signifie SASE et Zero Trust, ainsi que l'utilisation de Edge pour rapprocher les services défensifs de l'infrastructure de l'origine des attaques. SASE et ZTNA déplacent la politique des adresses IP et des réseaux vers les utilisateurs et les appareils et exigent une preuve d'identité pour accéder aux applications et aux ressources.

Vulnérabilités des entreprises → Assistance IA

Enfin, il y a les vulnérabilités de la couche métier. Comme les vulnérabilités de la couche d’infrastructure, celles-ci sont inhérentes ; vous ne pouvez pas les éliminer. Vous ne pouvez pas vraiment éliminer une page de connexion ou un processus de réinitialisation de mot de passe, vous êtes donc obligé de vous défendre contre des attaques qui vont invariablement mettre à mal vos défenses.

Et ils les battront. Les recherches de F5 Labs indiquent que la taille moyenne des attaques DDoS a augmenté de 55 % au cours de l'année écoulée, l'éducation étant l'un des secteurs les plus ciblés au début de 2021. Des attaques de vol d'identifiants ont été lancées contre des joueurs de jeux vidéo en 2020, à raison de plus de 500 000 par heure. Ces problèmes doivent être traités en temps réel.

C’est pourquoi il n’est pas surprenant que la sécurité assistée par l’IA soit adoptée à un rythme effréné, pour suivre le rythme fou auquel de nouvelles attaques et de nouvelles façons d’exécuter d’anciennes attaques sont développées et lancées.

N’oubliez pas que la science nous dit que les êtres humains ne peuvent traiter qu’environ 50 à 60 bits par seconde. C’est pourquoi il est si difficile d’effectuer plusieurs tâches à la fois. Les données provenant des systèmes, des appareils, des applications, des clients et du réseau circulent à un rythme bien supérieur à celui que nous, êtres humains, pouvons traiter. C’est pourquoi nous disposons de tableaux de bord et de visualisations, mais ceux-ci ne nous informent pas réellement de ce qui se passe réellement. Ce sont des instantanés d’un moment dans le temps, trop souvent basés uniquement sur des mesures binaires : haut, bas, rapide, lent. La capacité à traiter et à prédire avec précision les attaques potentielles a été citée par 45 % des répondants à notre étude annuelle comme « manquante » dans leurs solutions de surveillance actuelles. L’IA est une réponse à ce problème, avec la promesse d’une analyse des données en temps réel via des modèles entraînés capables de détecter et de nous alerter d’une éventuelle attaque.

Le numérique par défaut est la nouvelle norme 

En fin de compte, toute cette numérisation crée un monde distribué et axé sur les données. C'est numérique par défaut. Et cela signifie que les attaquants disposent de davantage de moyens pour accéder aux données, les exfiltrer et, plus généralement, semer le chaos. Dans un monde numérique par défaut, la sécurité a besoin d'une pile numérique et cela signifie DevSecOps, un modèle de défense distribué et une sécurité assistée par l'IA.