La cybersécurité peut protéger les données. Et les ascenseurs ?





En association avec Cortex Xpanse de Palo Alto Networks

Les capacités avancées de cybersécurité sont essentielles pour protéger les logiciels, les systèmes et les données dans une nouvelle ère du cloud, de l'internet des objets et d'autres technologies intelligentes. Dans le secteur de l'immobilier, par exemple, les entreprises s'inquiètent du potentiel de détournement d'ascenseurs, ainsi que de la gestion des bâtiments et des systèmes de chauffage et de refroidissement compromis.



Selon Greg Belanger, vice-président des technologies de sécurité chez CBRE, la plus grande société de services et d'investissement immobiliers commerciaux au monde, la sécurisation de l'entreprise est devenue plus complexe : les équipes de sécurité doivent être familiarisées avec les contrôles et le matériel des nouveaux appareils, ainsi que la version du firmware est installé et quelles vulnérabilités sont présentes. Par exemple, si un système de chauffage, de ventilation et de climatisation (CVC) est connecté à Internet, il se demande : le micrologiciel qui exécute le système CVC est-il vulnérable aux attaques ? Pourriez-vous trouver un moyen de traverser ce réseau et d'entrer et d'attaquer les employés de cette entreprise ?

Comprendre les vulnérabilités de l'entreprise est essentiel pour protéger les actifs physiques, mais investir dans les bons outils peut également être un défi, déclare Belanger. L'intelligence artificielle et l'apprentissage automatique ont besoin de grands ensembles de données pour être efficaces dans la fourniture d'informations, explique-t-il. A l'ère du cloud-first et de l'internet industriel des objets, le périmètre devient beaucoup plus fluide. En appliquant l'IA et l'apprentissage automatique aux ensembles de données, dit-il, vous commencez à voir des modèles de risque et de comportement à risque commencer à émerger.

Une autre priorité lors de la sécurisation des actifs physiques est de traduire les informations en mesures que les dirigeants de la suite C peuvent comprendre, pour aider à stimuler la prise de décision. Les PDG et les membres des conseils d'administration, qui deviennent de plus en plus avertis en matière de sécurité, peuvent bénéficier de scores agrégés pour la gestion de la surface d'attaque. Tout le monde veut savoir, surtout après une attaque comme Colonial Pipeline, cela pourrait-il nous arriver ? À quel point sommes-nous en sécurité ? dit Bélanger. Mais si votre entreprise est en mesure d'attribuer des mérites à diverses fonctionnalités ou de les noter, il est alors possible de mesurer l'amélioration. Belanger poursuit, Notre capacité à voir le score, à réagir aux menaces, puis à continuer à améliorer ce score est une mesure clé.



C'est pourquoi la gestion de la surface d'attaque est essentielle, poursuit Belanger. Nous obtenons en fait une visibilité sur CBRE comme le ferait un attaquant, et souvent ces outils sont automatisés. Nous voyons donc bien plus que n'importe quel pirate informatique ne verrait individuellement. Nous voyons l'ensemble de notre environnement.

Cet épisode de Business Lab est produit en association avec Palo Alto Networks.

Transcription complète

Laure Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché. Notre sujet aujourd'hui est la sécurisation des actifs physiques. De toute évidence, l'accent a été mis sur la partie cybernétique de la cybersécurité, mais les entreprises ont également des actifs physiques, notamment des infrastructures pétrolières et gazières, des installations de fabrication et des biens immobiliers. Lorsque vous lancez des fusions et acquisitions, des instances cloud illimitées, des capteurs IoT et des appareils partout, la surface d'attaque d'une entreprise peut être large, vulnérable et largement inconnue.

Deux mots pour vous : ascenseurs détournés.



Mon invité est Greg Bélanger, vice-président des technologies de sécurité chez CBRE. CBRE est la plus grande société de services et d'investissement en immobilier commercial au monde, avec plus de 100 000 employés dans le monde.

Cet épisode de Business Lab est produit en association avec Palo Alto Networks.

Bienvenue, Greg.



Greg Bélanger : Bonjour.

Laurier: Pour commencer, on dit souvent que chaque entreprise est une entreprise technologique. Alors, comment la cybersécurité joue-t-elle un rôle dans l'immobilier commercial ? La sécurité physique est probablement quelque chose que la plupart des gens connaissent, mais qu'en est-il des systèmes, des capteurs et des données ?

Grég : CBRE a entrepris un parcours de transformation numérique au cours des cinq dernières années en prévision de l'évolution de notre marché. Dans le passé, personne ne considérait l'immobilier commercial comme une entreprise de logiciels ou de technologie, mais nous changeons cela. Nous examinons ce qui est arrivé à d'autres industries comme Uber. Ce qu'Uber a fait aux taxis et Airbnb aux hôtels, nous voulons nous assurer que CBRE est à l'avant-garde. Nous avons donc décidé de nous perturber et de nous transformer en une entreprise technologique. Nous sommes une société immobilière commerciale avec la technologie et les données comme différenciateurs. Avec tout cela, il y a beaucoup plus d'innovation, d'applications, de migration vers le cloud et de technologies de construction intelligentes. La direction de CBRE a su très tôt que nous devions disposer d'une capacité de cybersécurité avancée pour protéger nos clients dans le monde entier dans la nouvelle ère. Assurer la sécurité de nos logiciels et protéger nos données sont donc des priorités absolues pour cette entreprise année après année.

Laurier: C'est vraiment intéressant parce que tu as raison. Les gens ne pensent pas nécessairement à la façon dont une société immobilière pourrait être une société technologique. Ces cinq années ont-elles été difficiles ? Pensez-vous qu'il a fallu du temps pour comprendre l'importance et l'urgence de cette transformation numérique ?

Grég : Ça a été cinq bonnes années. Cela a été un changement pour eux, certes, mais il y a eu beaucoup de changements introduits par le côté doux de la maison. Donc, passer d'une société immobilière commerciale à une société qui exploite l'immobilier commercial et les logiciels pour gérer ces bâtiments, pour exploiter les données dont nous disposons sur les personnes, cela a également été un grand changement. Non seulement ils ont changé la sécurité, mais ils sont passés à des pratiques telles que le développement logiciel agile, la technologie mobile, etc. La sécurité n'était qu'une autre couche ajoutée au changement déjà existant. C'est pourquoi nous n'avions pas de CIO. Nous avions un directeur de la transformation numérique à la barre.

Laurier: C'est une configuration intéressante, car la cybersécurité devient alors complètement intégrée à tout ce que vous faites. Il n'est pas considéré comme un module complémentaire distinct.

Grég : Absolument. J'ai en fait été embauché pour être le vice-président de devSecOps, qui intégrait la sécurité dans toutes ces pratiques de développement logiciel agiles. La sécurité se concentrait sur l'endroit où nous en étions il y a cinq ans : lorsque vous serez prêt à être mis en service, nous vous testerons et vous dirons si vous allez ou non passer en production. Maintenant, nous travaillons en étroite collaboration avec nos développeurs en tant que partenaires, et nous essayons de nous déplacer le plus à gauche possible. Exécutez donc des tests et donnez-leur des idées de conception, une modélisation des menaces, des choses comme ça pour essayer de s'assurer que tout logiciel qu'ils publient est prêt à fonctionner dès le premier jour.

Laurier : Juste pour donner aux gens une compréhension de ce qu'est devSecOps, donc devOps est une pratique de développement logiciel continu avec un accent sur les opérations informatiques, et ensuite vous ajoutez de la sécurité. Alors vous faites appel à toutes ces équipes pour créer de meilleurs logiciels pour l'entreprise en général et aussi pour la protéger.

Grég : Absolument raison. La clé de cela est que nous voulions que la sécurité soit aussi automatisée que possible. Lorsque vous pensez à devOps, cela prend une grande partie de ce processus de création de logiciels et de déploiement de logiciels et de le faire en continu. Nous voulions nous assurer que la sécurité était dans cette même optique. Alors que vous vous prépariez à développer des logiciels et à migrer des logiciels, cette sécurité a été impliquée à des étapes clés du processus.

Laurier: Une fois, j'ai eu une conversation horrifiante avec un cadre à propos d'ascenseurs détournés. Pourriez-vous donner à nos auditeurs des exemples de problèmes de cybersécurité spécifiques que les bâtiments et les services immobiliers pourraient rencontrer qui sont nécessairement différents de ceux, disons, d'un Uber ?

Grég : Absolument. Les ascenseurs détournés, les systèmes de gestion des bâtiments, les systèmes CVC sont tous une préoccupation. Vous entendez beaucoup parler de ces choses dans les nouvelles, quelque chose que nous avons vécu personnellement. Nous cherchons à développer des applications mobiles que vous pouvez intégrer à votre téléphone, puis utiliser des éléments tels que Bluetooth Low Energy pour réellement ouvrir les portes de nos bâtiments. Ainsi, lorsque vous pensez à la sécurité physique, il y a maintenant un point de contact avec la technologie de l'information et l'Internet industriel des objets. Nous avons en fait développé une application qui permettra à un employé d'entrer et d'utiliser son téléphone pour déverrouiller une porte, afin d'avoir accès à son lieu de travail.

Si vous avez déjà travaillé dans un endroit si grand qu'ils doivent vous donner une carte pour aller d'un endroit à un autre dans un bureau, nous avons développé ce que nous appelons des technologies de points de cheminement pour permettre aux utilisateurs de cette application mobile de naviguer entre l'endroit où ils se trouvent assis et où se trouvait la salle de conférence et donnez-leur des commentaires en cours de route. Tout cela se fait via Bluetooth et des intégrations dans le mobile. En tant que professionnels de la sécurité, nous devons protéger cela.

Nous devions regarder cet appareil mobile, qui était connecté à un capteur, et ce capteur était connecté à une passerelle, et cette passerelle était connectée à Internet, mais comment tout cela fonctionnait-il ? Comment les données sont-elles arrivées ? Comment est-il sorti ? Assurez-vous que ces appareils se trouvent sur des réseaux séparés et segmentés. Ce sont toutes des préoccupations cruciales pour nous. Nous avons également effectué des tests d'intrusion sur ces applications et appareils pour nous assurer qu'ils étaient sûrs.

Nous examinons tous les risques de ces nouvelles technologies dans le cadre de nos compétences modernes, et nous examinons les développeurs de logiciels. Ils fabriquent ces technologies, et les équipes d'infrastructure les mettent en place, alors que nous essayons de sécuriser l'entreprise.

Laurier: Un peu plus sur les tests d'intrusion ou les tests d'intrusion - c'est à ce moment-là que vous essayiez réellement de voir à quel point votre réseau et votre environnement étaient sécurisés ?

Greg : C'est vrai. Nous payons des gens pour essayer d'entrer par effraction. Le piratage n'est pas un crime. Nous essayons de payer des pirates éthiques pour s'introduire dans nos systèmes et nous dire où les méchants, les vrais méchants, pourraient en fait trouver des moyens de faire exploser nos systèmes.

Laurier: Nous parlons donc vraiment de quelque chose qui va au-delà d'un bâtiment intelligent. Quand on regarde les récentes failles de cybersécurité, par exemple, le piratage du traitement de l'eau en Floride, on voit que la surface d'un bâtiment ou d'une entreprise est en fait assez large, et montre peut-être des endroits qui ne sont pas les plus évidents pour les gens ou des tests de stylo ou des pirates non éthiques pour pirater un bâtiment ou une entreprise.

Greg : C'est vrai. C'est un domaine relativement nouveau. Il existe un certain nombre de grandes entreprises qui se penchent sur cette technologie opérationnelle (ou OT) pour essayer de tester le stylo pour trouver les vulnérabilités existantes. C'est une discipline différente. Vous devez être familiarisé avec certains des contrôles ou une partie du matériel qui régit ces environnements, quel type de micrologiciel est utilisé sur ces appareils, puis quel type de vulnérabilités sont réellement présentes dans ce micrologiciel.

C'est légèrement différent du test de pénétration informatique ou des choses que nous comprenons normalement comme des pilotes et des bibliothèques qui pourraient également contenir des vulnérabilités. Ajoutez ensuite à cela, il y a maintenant des points de contact. Donc, si vous avez un système HVAC connecté à Internet, le micrologiciel qui exécute le système HVAC est-il vulnérable aux attaques ? Pourriez-vous trouver un moyen de traverser ce réseau et d'entrer et d'attaquer les employés de cette entreprise ? Voilà donc quelques-unes de nos principales préoccupations.

Laurier: Avoir les bons outils pour défendre une entreprise est également un défi car la sécurité continue d'évoluer, pour faire face à diverses contre-menaces. Certaines d'entre elles peuvent être plus automatisées, comme l'intelligence artificielle, mais ce qui est crucial, c'est de comprendre la vulnérabilité de votre entreprise, n'est-ce pas ? Donc, la surface d'attaque possible de toute votre entreprise, n'est-ce pas ?

Grég : Absolument. L'intelligence artificielle et l'apprentissage automatique ont besoin de grands ensembles de données pour être efficaces dans la fourniture d'informations. À l'ère du cloud et de l'Internet des objets industriel (IIoT), ce périmètre sur lequel vous essayez d'obtenir des informations devient beaucoup plus fluide. Traditionnellement, le périmètre était bien défini. Il a été renforcé contre les attaques, mais maintenant, avec les instances cloud, les appareils IIoT peuvent apparaître sur votre réseau et être exposés à Internet sans trop d'avertissement. Même à l'ère des défenses traditionnelles du périmètre, voir votre entreprise comme un attaquant le ferait de l'extérieur était une tâche difficile.

Maintenant, nous avons des outils plus modernes qui non seulement font apparaître ces systèmes en temps réel, mais vous alertent des vulnérabilités qui pourraient avoir un impact sur vos scores. Nous voyons des choses comme l'informatique fantôme, des appareils IoT mal configurés, des systèmes cloud, en plus d'une plus grande visibilité sur ce qui se passe dans nos bureaux dans le monde entier. En appliquant l'apprentissage automatique de l'IA à cet ensemble de données, vous commencez à voir des modèles de risque et de comportement à risque commencer à émerger.

Laurier: Lorsque vous considérez l'extérieur vers l'intérieur, comment voyez-vous cela - en tant qu'étranger examinant votre entreprise et les domaines possibles à exploiter ?

Grég : Le concept de certains de ces outils de gestion de surface d'attaque est qu'ils nous donnent la même visibilité que n'importe qui sur Internet aurait sur notre entreprise. Il est difficile de voir notre entreprise dans sa totalité. Lorsque vous pensez à une entreprise de la taille de CBRE, où se trouvent tous vos actifs numériques ? Savez-vous pertinemment que quelqu'un n'a pas mis en place un site Web sur un fournisseur d'hébergement cloud, disons, en Afrique du Sud, puis a utilisé votre logo et votre nom, et l'a utilisé à des fins de marketing inoffensives, mais cela pourrait toujours avoir un impact sur votre marque ? Ces types de choses ne sont pas toujours révélés par les outils normaux dont nous disposons pour analyser notre environnement connu.

Donc, en regardant la gestion de la surface d'attaque, nous sortons et nous identifions tous ces actifs qui peuvent être liés à CBRE. Ensuite, l'autre tâche pour nous est d'examiner ces actifs et de les corréler avec l'identité, l'espace IP CBRE. Nous obtenons donc en fait une visibilité sur CBRE comme le ferait un attaquant, et souvent ces outils sont automatisés. Nous voyons donc bien plus que n'importe quel pirate informatique ne verrait individuellement. Nous voyons l'ensemble de notre environnement.

Laurier : C'est ainsi que vous mesurez votre surface d'attaque.

Grég : Exactement.

Laurier: Vous essayez de trouver tout ce que vous pouvez. Certaines organisations utilisent cet inventaire comme métrique, par exemple à quelle vitesse faut-il réellement mesurer tous vos actifs pour faire un inventaire complet des actifs, puis le comparer à ce que les attaquants voient ? Comme vous l'avez mentionné, un attaquant peut ne voir qu'une seule chose, mais les attaquants travaillent souvent en équipe, comme nous l'avons vu récemment avec l'exploit Colonial Pipeline. Alors, comment cela donne-t-il une longueur d'avance aux entreprises ?

Grég : C'est un voyage. Lorsque vous débutez avec la gestion de la surface d'attaque, vous devez considérer que la plate-forme de votre choix va identifier un grand nombre d'actifs qui peuvent ou non être associés à votre entreprise. Donc, la première chose que vous allez examiner, c'est quel pourcentage d'actifs avons-nous identifié comme nos actifs ? La première mesure est, combien en avez-vous découvert ? Combien en avons-nous identifié ? Ce qui reste à faire? À partir de là, nous sommes personnellement passés à l'examen de nos cinq prochains grands sujets. Par exemple : notre outil de gestion de la surface d'attaque a-t-il révélé des certificats expirés, des comptes cloud dont nous n'avions peut-être pas connaissance ? Avons-nous détecté un malware sortant d'un de nos points de présence ?

Je vais vous donner un exemple : nous avons eu un cas où ils ont détecté un logiciel malveillant provenant de l'un de nos bureaux en Europe, et nous sommes donc immédiatement passés à l'action. Nous avons essayé d'identifier de quel actif il s'agissait. Pour la vie d'entre nous, nous ne pouvions pas identifier quel atout c'était. Nous avons regardé l'étiquette d'inventaire. C'était un ordinateur portable, mais nous ne l'avions pas sur notre réseau. Il n'était pas associé à un utilisateur. Nous nous sommes rendu compte à cause de cela que notre réseau d'invités sortait du même point de présence depuis ce bureau, et c'était donc quelque chose. Ce n'était heureusement pas un véritable incident de logiciel malveillant, mais quelqu'un qui était invité dans notre réseau avait quelque chose qui était un actif affecté.

Ce sont donc les types d'informations que nous avons commencé à tirer de la gestion de la surface d'attaque au cours des trois dernières années. Maintenant, nous cherchons à aller plus loin et à agréger toutes ces choses dans un score global, un peu comme un score de crédit.

Laurier : C'est incroyable, vous pouviez passer à l'action rapidement lorsque vous remarquiez quelque chose qui n'allait pas dans un réseau mondial comme celui-là. Cela semble urgent, non ? Alors, comment exprimez-vous réellement à vos collègues et fournisseurs et à tous les partenaires de l'ensemble de la chaîne et de l'écosystème, à quel point il est important de reconnaître la gestion de la surface d'attaque ? De plus, pour vous-même, vous trouvez-vous un pionnier ou peut-être un chef de file où vous ouvrez la voie à de nombreuses autres entreprises pour comprendre que ce type de technologie et de façon de penser la sécurité est là, comme si c'était un vrai chose?

Grég : Même si j'aimerais être qualifié de visionnaire, je ne suis certainement pas un visionnaire, mais ce sont des concepts connus depuis un certain temps. Ils commencent tout juste à être adoptés à grande échelle. Quand j'ai commencé à parler de gestion de la surface d'attaque, ce n'était pas facile à comprendre.

Une fois que vous avez expliqué ce que vous faites et ce que les outils de gestion de la surface d'attaque vous apporteront réellement, ce moment d'ampoule s'est produit très rapidement. Notre CISO a immédiatement vu la valeur de cet outil, a immédiatement dit que nous devions absolument nous assurer d'identifier tous nos actifs. Que pouvons-nous tirer de plus de ces systèmes ? C'était super. Nous avons vu l'informatique fantôme. Nous avons vu des comptes cloud dont nous ignorions l'existence. Nous avons vu des appareils mal configurés ou des certificats sur le point d'expirer. Donc, la valeur de cela devient immédiatement apparente, mais c'est quelque chose qui demande un peu d'explication.

Laurier: Ainsi, lorsque vous parlez du score agrégé pour la gestion de la surface d'attaque, cela ressemble à quelque chose d'un peu plus compréhensible pour un conseil d'administration et divers PDG et autres cadres. Vous pouvez donc dire que nous nous améliorons ou que nous ne nous en sortons pas aussi bien cette année ou ce trimestre lorsque nous examinons les scores un par un. Pensez-vous que ce décompte, ou cette façon d'apporter un tableau de bord à la sécurité, facilitera cette discussion avec les PDG, les cadres et les conseils d'administration en général ?

Greg : Absolument. Cela a longtemps été une difficulté. Tout le monde veut savoir, surtout après une attaque comme Colonial Pipeline, cela pourrait-il nous arriver ? À quel point sommes-nous en sécurité ? Quel est notre score, ou y a-t-il une mesure que vous pouvez me donner pour me dire si je suis en sécurité ou non, ou si notre programme est efficace ? Souvent, nous leur donnerons une variété de mesures. Voici toutes les vulnérabilités que nous avons. Voici les instances de logiciels malveillants que nous avons détectées et nettoyées. Voici tous les incidents de sécurité que nous voyons chaque jour. Mais cela ne se traduit pas nécessairement par, sommes-nous en sécurité ? Allons-nous mieux ? Y a-t-il des domaines sur lesquels nous pouvons nous concentrer ? Donc, si nous envisageons de donner une métrique, cela aide certainement à clarifier cette image. Si vous pouvez expliquer comment cette métrique a été dérivée, comment il s'agissait d'une multitude de facteurs tels que les certificats, les vulnérabilités ou la configuration, et qu'en est-il de l'agrégat de votre application analysant vos tests de sécurité d'application ?

Si vous regardez comment nous avons réduit toutes nos vulnérabilités à haut risque du point de vue de la sécurité des applications, cela en tient compte. Donc, trouver cette formule, c'est certainement difficile. C'est quelque chose qui représente un défi, et les gens comme moi dans le domaine de la sécurité s'épanouissent dans ce genre de défis. Mais c'est certainement là que je vois les PDG et les conseils d'administration qui deviennent définitivement plus avertis en matière de sécurité, c'est là que je les vois vouloir que cette métrique aille. Ils veulent voir un score qui leur donne un sentiment de confort que nous faisons mieux, et ce n'est pas quelque chose de statique. Ce n'est pas quelque chose qui s'améliorera toujours parce que de nouvelles vulnérabilités, de nouvelles attaques se produisent tout le temps, et ce score changera. Mais notre capacité à voir le score, à réagir aux menaces, puis à continuer à améliorer ce score est une mesure clé pour nous.

Laurier: Pensez-vous que les conseils d'administration et les équipes de direction sont de plus en plus avisés en matière de sécurité ? Je veux dire, c'est impossible, n'est-ce pas, de ne pas voir les gros titres presque chaque semaine maintenant d'une violation ou d'une autre, mais est-ce que cela filtre?

Grég : Ouais. Je sais personnellement que pour nous, nous recevons toujours une liste annuelle de priorités émanant de notre PDG et de notre conseil d'administration. Depuis que je suis dans mon entreprise chez CBRE, c'est notre priorité numéro un ou numéro deux chaque année. C'est donc une priorité absolue, car ils voient les gros titres.

Comme tout professionnel de la sécurité vous le dira, chaque fois que quelque chose sort de la vulnérabilité, un jour zéro, une attaque comme Colonial Pipeline, on nous pose tous la même question. Cela pourrait-il arriver ici ? Sommes-nous en danger ? Donc, ce genre de choses préoccupe absolument notre conseil d'administration. Ce qui m'intéresse, c'est que les conseils d'administration veulent maintenant recruter des membres qui sont eux-mêmes plus avertis en matière de sécurité, et ils posent des questions difficiles. Que faites-vous à propos de ces vulnérabilités ? À quelle vitesse pouvez-vous patcher ? Quel est votre intervalle entre la vulnérabilité et le correctif ?

Ce sont des choses qui parlent directement à notre langage professionnel de la sécurité. Certes, ils sont très pertinents pour nous, mais ils sont certainement plus directs et plus investis, et ils donnent au conseil un sentiment de confort que quelqu'un de son côté qui parle le langage de la sécurité.

Laurier : Je veux dire, c'est ce que vous voulez voir, n'est-ce pas ? De toute évidence, les priorités du conseil d'administration sont vastes, et l'une d'elles est de faire du profit, mais l'autre est de ne pas perdre de profit, et une attaque de cybersécurité pourrait nuire à cela. Vous devez donc vous assurer que vous parlez la langue dans toute l'entreprise.

Greg : Absolument.

Laurier  : Vous avez parlé un peu de la façon dont la gestion de la surface d'attaque vous donne en fait cette idée de savoir que l'ordinateur lui-même contient des logiciels malveillants, mais qu'ils n'ont pas encore affecté le réseau. Alors, y a-t-il d'autres idées que vous avez vues à partir d'un logiciel de gestion de surface d'attaque qui vous ont simplement surpris ou vous ont fait réaliser à quel point il était important d'avoir cette capacité ?

Greg : Oui. Comme beaucoup de grandes entreprises, nous effectuons un test d'intrusion annuel. Autrement dit, nous engageons quelqu'un de l'extérieur de notre entreprise pour nous attaquer comme le ferait un méchant. Cela nous donne une idée de jusqu'où ils peuvent aller. La différence avec les attaques réelles et ces entreprises que nous engageons est que nous leur donnons un temps fixe. Nous disons : « Vous avez six semaines pour entrer par effraction et vous rendre le plus loin possible dans notre environnement », et nous leur donnons les conditions d'engagement. Vous êtes autorisé à faire ces choses, mais pas autorisé à faire ces autres choses.

Au cours des années où nous avons utilisé la gestion de la surface d'attaque, c'était formidable de voir ces attaques. Ils reviennent et ils vous donnent une lecture semaine après semaine, c'est ce que nous voyons, ce sont les choses que nous avons exploitées. Nous sommes capables de voir beaucoup des mêmes choses qu'eux sont capables de voir.

Par exemple, cette année, ils ont souligné un site Web hébergé en Afrique du Sud. Ils ont dit qu'il exécute ce cadre et qu'il semble être sur ce fournisseur d'hébergement. Il semble n'y avoir aucune vulnérabilité, mais nous l'attaquons et voyons si nous ne pouvons pas nous y introduire. C'est ton adresse IP ? Oui oui ça l'est. Nous en sommes conscients grâce à notre outil de gestion de la surface d'attaque. Nous sommes au courant de la demande. Nous ne pouvons pas nécessairement le sécuriser parce que nous ne l'avons pas défendu. Cela fait partie du shadow IT.

Mais parce que nous avons découvert cela, nous sommes maintenant en mesure d'essayer de savoir exactement qui gérait ce site Web, ce qu'ils doivent faire pour le sécuriser, s'ils doivent ou non l'amener dans notre giron et l'héberger avec notre les fournisseurs d'hébergement informatique d'entreprise standard, ce genre de choses.

Cela a donc été inestimable du point de vue de le considérer comme un test d'intrusion, nous sommes en mesure de voir bon nombre des mêmes choses que nos testeurs d'intrusion voient à travers notre gestion de la surface d'attaque. C'est donc réconfortant de savoir que nous avons les mêmes yeux et la même vision qu'un attaquant.

Laurier  : Lorsque vous en parlez, comment cela aide-t-il réellement votre équipe de sécurité à mieux repousser les attaques ? Comment l'ASM ou la gestion de la surface d'attaque aide-t-elle à cela ?

Greg : La visibilité est le nom du jeu du point de vue de la sécurité. Nous voulions pouvoir tout voir dans notre environnement. Ensuite, vous faites un pas au-delà de cela et vous dites, d'accord, maintenant que nous pouvons tout voir, quel genre de comportement voyons-nous de ces actifs ? C'était la prochaine étape, travailler avec notre partenaire dans la gestion de la surface d'attaque, pour commencer à voir le comportement de ces actifs, qu'ils indiquent ou non qu'il y a peut-être un compromis ou qu'il y avait une sorte de vulnérabilité. C'est un peu comme les tests d'émissions. Ainsi, lorsque vous pensez à votre voiture et que vous l'emmenez pour des tests d'émissions, ils branchent un appareil à votre tuyau d'échappement et ils voient ce qui sort de votre voiture et ils vous donnent une note de réussite ou d'échec.

La gestion de la surface d'attaque est très similaire à cela. D'un point de vue comportemental, nous sommes en mesure d'examiner tous ces points de présence, toutes ces adresses IP Internet et de voir ce qui en ressort. Cela nous donne un aperçu de leur comportement. Ensuite, nous allons encore plus loin et nous intégrons tout cela en temps réel à notre SIM, notre système de gestion des incidents et des événements de sécurité. Cela est surveillé 24 heures sur 24 et 7 jours sur 7 par notre centre d'opérations de sécurité afin que, lorsque nous voyons quelque chose qui atteint le niveau d'un incident de sécurité, nous puissions y répondre en temps réel.

Laurier: C'est exactement ce que vous voulez faire, faire en sorte que les machines fassent le gros du travail, puis faire venir les humains pour comprendre ce qui se passe et ce qui se passe et sécuriser toute l'entreprise.

Grég : Absolument, ouais.

Laurier: Comment l'adoption presque omniprésente des services cloud affecte-t-elle votre façon de penser à la sécurité et à la gestion de la surface d'attaque. Qu'il s'agisse d'une instance tournante ou d'un ascenseur, c'est toujours une surface, n'est-ce pas ?

Grég : C'est vrai, et c'est une préoccupation majeure. Lorsque vous pensez à la nature élastique de la plupart des fournisseurs de services cloud, de nombreuses infrastructures peuvent être mises en place en quelques minutes, et vous pouvez ou non être conscient de cette infrastructure, de la façon dont elle est connectée, des vulnérabilités qu'elle a intégrées. La gestion de la surface d'attaque nous donne la même visibilité qu'un attaquant aurait. Donc, à mesure que les choses tournent en rond, si elles sont mal configurées, par exemple, et qu'elles divulguent des données d'une manière ou d'une autre, même des métadonnées, autour de, hé, je suis là, je suis un serveur Web. Voici ma version. Voici mon numéro, qui donne à un attaquant une foule d'informations que nous ne voulons pas nécessairement qu'il voie. Quels types de vulnérabilités existent pour ce serveur Web et cette version particuliers, et quelles choses pourrais-je exposer ? Cette exposition elle-même donne également un pied aux attaquants. Ils peuvent commencer à scanner cet actif particulier et rechercher des moyens de forcer brutalement ou de frapper à la porte afin qu'ils puissent réellement trouver un moyen d'entrer dans notre environnement.

Donc, de notre point de vue, la gestion de la surface d'attaque nous donne cette visibilité sur si nous examinons tous nos environnements cloud et nous pouvons leur dire ce que nous utilisons et ce dont nous sommes conscients, puis ils peuvent surveiller ces changements dans notre posture qui sortent, et regardez si nous avons ou non des actifs que nous ne voulions pas nécessairement exposer à Internet, et ce que nous disons au monde à travers l'exposition de ces actifs. Cela a donc certainement changé la donne pour nous lorsque nous réfléchissons au fonctionnement de notre environnement cloud. Cela nous a aidés à nous assurer que notre environnement cloud, à l'exception de points de présence très spécifiques, est en grande partie contenu à l'intérieur de ce réseau cloud privé.

Laurier : Cela a été une année assez difficile pour beaucoup de gens et de nombreuses industries, mais les répercussions de la pandémie dans l'industrie de l'immobilier commercial se répercuteront pendant des années, voire des décennies. À quoi pensez-vous différemment avec la sécurité à cause de la pandémie ?

Grég : Certes, la première chose qui m'est venue à l'esprit l'année dernière avec tout le monde travaillant à domicile, et je pense que ce sera vrai pendant un certain nombre d'années, c'est comment protéger les personnes qui travaillent maintenant à domicile ? Comment protégeons-nous les employés qui sont sur un réseau domestique avec leur famille ? Leurs familles peuvent ne pas disposer des mêmes outils de sécurité que nous et nos actifs peuvent être exposés. Nous avons donc examiné des choses comme Always On VPN, qui protégeront nos employés de tout ce qui se passe sur leur réseau domestique particulier. Cela a certainement été utile. Nous examinons également de nouvelles technologies comme Secure Access Service Edge, afin que nous puissions essayer de rapprocher tous nos outils et technologies des personnes qui travailleraient à domicile ou travailleraient de n'importe quel endroit d'ailleurs.

Enfin, je pense qu'il met énormément l'accent sur la sécurité dans son ensemble. Il y a beaucoup plus de prise de conscience des événements qui se sont produits au cours de la dernière année environ qui ont vraiment fait comprendre la nécessité d'un bon programme de cybersécurité. Cela a donc eu pour effet de rendre encore plus désastreuse une situation déjà mauvaise pour trouver de très bons professionnels de la sécurité fiables. C'est très difficile à trouver et leurs circonstances sont maintenant différentes. De nombreux professionnels de la sécurité travaillent à domicile et souhaitent une flexibilité accrue pour continuer à travailler à domicile, avoir un horaire flexible ou travailler à partir d'un autre bureau. Il est donc certainement plus difficile de trouver de très bonnes personnes après la pandémie.

Laurier : C'est, je pense, un problème non seulement pour les gens de la sécurité, mais en général, car les gens changent leur façon de vivre et veulent travailler. Quelque chose d'intéressant que vous avez dit était simplement l'idée de sécuriser le réseau domestique, ce qui signifie que la responsabilité d'une entreprise commence à s'étendre au-delà des zones normalement assez bien définies de l'entreprise. Parce que la réalité est que si la maison n'est pas sécurisée, alors le réseau n'est pas sécurisé, et puis votre employé n'est pas sécurisé.

Greg : C'est tout à fait exact. Quand on y pense, nous savons qui sont les personnes les plus attaquées. Nous connaissons certaines des personnes qui sont le plus souvent ciblées, soit parce qu'elles sont un cadre quelconque, soit parce qu'elles ont travaillé au sein d'un cadre, soit parce qu'elles occupent un poste, par exemple, dans le domaine juridique ou financier, où un attaquant pourrait tirer parti ces postes pour commettre une fraude.

Réfléchir à la manière dont nous protégeons ces personnes lorsqu'elles travaillent à domicile est une préoccupation majeure pour nous. Ce VPN Always On a été un défi de le déployer partout, mais nous l'avons fait en peu de temps. Nous avons maintenant la même sécurité offerte à tous nos employés, qu'ils soient ou non à la maison, qu'ils soient ou non au bureau ou qu'ils soient dans un café. Je pense que cela atténue certainement pas mal de risques.

Laurier : Greg, merci beaucoup de nous avoir rejoint aujourd'hui dans ce qui a été une conversation fantastique sur le Business Lab.

Grég : Merci. J'apprécie vraiment cela.

C'était Greg Belanger, vice-président des technologies de sécurité chez CBRE, avec qui j'ai parlé de Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles. C'est tout pour cet épisode de Business Lab. Je suis votre hôte Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology, et vous pouvez nous trouver dans la presse écrite, sur le Web et lors d'événements chaque année dans le monde entier.

Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com. L'émission est disponible partout où vous obtenez vos podcasts. Si vous aimez cet épisode, nous espérons que vous prendrez un moment pour nous noter et nous évaluer. Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next. Merci pour l'écoute.

Cet épisode de podcast a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n'a pas été produit par la rédaction de MIT Technology Review.

cacher