Giuliano Ippoliti, directeur de la cybersécurité de Cloud Temple, et Clément Oudot, Identity Solutions Manager de Worteks recommandent la double authentification et de nouveaux cloisonnements pour renforcer les environnements hybrides.
Les prises de position récentes des chefs d’état révisent-elles la gestion des risques ?
Giuliano Ippoliti : L’instabilité géopolitique exacerbe les menaces cyber, avec la montée en puissance du cyberespionnage et d’attaques de sabotage numérique parrainées par des états. Pour réduire ces risques, un important bouclier consiste à surveiller les menaces en temps réel, retenir des partenaires certifiés SecNumCloud et des services de Cyber Threat Intelligence. De plus, la démocratisation des deepfakes, amplifiée par l’IA générative, multiplie les actions et transactions malveillantes. Les équipes doivent être formées pour y faire face. Deux autres pistes peuvent être suivies : l’authentification à plusieurs facteurs, avec horodatage et réputation d’IP et les solutions implémentant l’approche Zero Trust. En cas d’anomalie, un SOC doit pouvoir réagir en 24/7, désactiver un compte douteux, avant de pousser les investigations.
Clément Oudot : Le profil des cyberattaques évolue, rendant caduques certaines mesures de protection. On peut songer au chiffrement de données sensibles telles que les mots de passe. Les risques pourront toutefois être réduits en poursuivant les efforts sur les évolutions des algorithmes de hachage et la mise en place de seconds facteurs d’authentification.
Comment protéger ses identités numériques à présent ?
G.I. : Rien n’empêche un client de déployer des traitements et des données de façon non sécurisée sur un cloud sécurisé ; le prestataire a cependant un devoir de conseil. Nous croyons au cloisonnement des identités, à travers la séparation des annuaires, avec un annuaire dédié aux administrateurs de l’infrastructure par exemple. La qualification PAMS (prestataires d’administration et de maintenance sécurisées) va plus loin dans la segmentation, en suggérant un annuaire dédié à chaque commanditaire infogéré. Chaque annuaire doit être durci et ses journaux supervisés par un SOC. La configuration des habilitations doit reposer sur le principe du moindre privilège, une règle d’or. Chacun doit avoir les privilèges nécessaires pour mener à bien son travail mais pas davantage. La sécurité des annuaires doit être évaluée régulièrement à travers des audits réguliers, menés tous les trois mois par exemple.
C.O. : L’annuaire d’entreprise est un composant sensible du système d’information et une cible privilégiée des attaques. Cela est d’autant plus vrai avec Active Directory dont la présence dans les entreprises est toujours aussi importante. Chez Worteks, nous mettons en place des solutions d’administration pour réduire l’exposition des serveurs Active Directory. Et nous préconisons l’utilisation d’autres annuaires comme OpenLDAP pour tous les usages ne nécessitant pas l’annuaire de référence du monde Microsoft.
Proposez-vous une protection d’annuaires à 360° ?
Clément Oudot : L’offre d’identité W’IDaaS de Worteks s’appuie sur le projet FusionIAM hébergé par la communauté open source OW2. Cette offre se décline sur site et en mode SaaS en hébergement souverain. Le modèle SaaS permet aux organisations de s’affranchir de la gestion d’annuaire et de confier sa protection à des spécialistes. C’est d’autant plus pertinent pour l’authentification des clients et partenaires. Le déploiement des outils sur site vient sécuriser les composants déjà en place (annuaire, applications métiers, accès aux infrastructures) sans remettre en question les différents choix préalables.
G.I. : Chez Cloud Temple, l’hébergement dans un cloud de confiance qualifié SecNumCloud est complété par des services managés de gestion d’annuaire, certifiés ISO 27001 et bientôt qualifiés PAMS (Prestataires d’administration et de maintenance sécurisées). Nos équipes sont alors responsables de la sécurité de l’annuaire. Au-delà, nous pouvons ajouter des audits de configuration, une surveillance à travers un SOC et des tests d’intrusion, avec l’aide de partenaires.
Le facteur humain doit-il être renforcé également ?
Giuliano Ippoliti : Oui car tous les incidents ne sont pas liés à la malveillance. Le non respect de procédures internes ou un défaut de compétences sont parfois en cause dans les incidents de sécurité. Il reste donc essentiel de mettre à jour les compétences des administrateurs techniques et de sensibiliser les collaborateurs face aux deepfakes. Une conduite du changement peut aussi faire évoluer certaines pratiques d’administration. Par exemple, des postes dédiés à l’administration pourront être séparés des postes de tâches bureautiques et de navigation Internet. Cette mesure ne ravit pas tout le monde, au début.
C.O. : Worteks a participé à plusieurs projets de mise en place de MFA de petites organisations et d’universités comptant plusieurs milliers d’étudiants. Nous accompagnons également les équipes techniques sur la maîtrise des nouveaux protocoles comme OpenID Connect. Lors de la mise en place d’authentification multifacteurs (2FA/MFA), il est essentiel de bien connaître toutes les fonctions offertes à chaque public (utilisateur interne, partenaire, administrateur) et d’optimiser leur adoption.
En externalisant des services de cybersécurité à un tiers, quelles précautions supplémentaires faut-il prévoir ?
Clément Oudot : Confier une partie de sa sécurité à un tiers nécessite des garanties. Chez Worteks nous pensons qu’elles ne peuvent être apportées qu’en utilisant des logiciels open source, que nos clients peuvent auditer, et en conservant les données en France pour éviter tout risque lié aux législations extraterritoriales. Avec notre offre W’aaS en cours d’accréditation SecNumCloud 3.2, nous ajoutons un critère supplémentaire qui est l’utilisation de composants libres communautaires, sans société éditrice dont la stratégie économique pourrait venir remettre en cause nos choix techniques.
G.I. : Il faut bien vérifier les compétences du prestataire au travers de certifications et qualifications (ANSSI, PASSI, PRIS, PACS, etc.). Au niveau contractuel, il importe de définir clairement les responsabilités, les engagement de services SLA, les exigences de sécurité, la clause d’audit et les pénalités en cas de défaillances avérées. Il importe de mettre en place un système de pilotage des prestataires, avec des comités réguliers.
Quelles améliorations prévoyez-vous ?
Giuliano Ippoliti : L’automatisation offerte par l’IA permet d’aller plus vite, en particulier dans le développement de logiciels. L’ANSSI liste néanmoins des risques propres à l’IA, de façon précise. On observe plusieurs cas d’usage, selon que l’IA est exploitée par les attaquants ou en défensif, pour interpréter des événements de sécurité. Lorsqu’un SIEM remonte un événement, l’IA peut analyser l’en-tête d’un e-mail par exemple, pour qualifier son caractère malveillant, recommander ou déclencher des actions pertinentes de remédiation.
L’approche SaSE, comme Zero Trust, théorise la tendance du recours aux outils SaaS de sécurisation. Il y a des avantages (déploiement rapide, pas de maintenance) et des inconvénients (solution souvent hébergée hors de l’Union européenne, sans respect du règlement RGPD). La sélection des partenaires exige donc un grand soin, car les fournisseurs présentent des niveaux de sécurité hétérogènes.
Clément Oudot : Pour Worteks, l’autonomie technologique et le numérique responsable forment deux leviers d’action. Nous continuons à investir dans la contribution à l’écosystème open source et permettons à nos clients d’y être partie prenante. C’est pourquoi nous serons présents à plusieurs événements tels que les conférences annuelles d’OW2, du COTER numérique et au SOFINS, où nos clients se rendent aussi.
📆 Jeudi 20 mars à Paris Expo, Clément Oudot interviendra aux côtés d’Emilie Bonnefoy (OpenSezam) et Sébastien Lapique (Aduneo) autour d’une table ronde modérée par Fabrice Frossard lors du Forum des solutions Cybersécurité IA.Cloud.
Illustration générée par Flux1 AI.
