Note 4 ; Plus des intentions qu’un véritable concept

La défense en profondeur, c’est une architecture cyber qui est passé de mode, au profit du « zéro trust ». Pourtant ce court ouvrage veut nous vanter les mérites d’une nouvelle génération de défense en profondeur. Cela mérite que l’on y regarde de plus près. D’un format un peu plus petit que ce que l’on a coutume de voir, l’opuscule ne compte que 45 pages pour 5 chapitres. Ce n’est donc pas une lecture qui va nous garder en haleine très longtemps.

Le point de départ de cet opuscule est une conviction intime de l’auteur : la faiblesse de l’architecture de défense en profondeur réside dans le principe de base de l’indépendance des lignes de défenses, alors qu’il s’est forgé une vision selon laquelle ces lignes doivent au contraire être intégrées. C’est ce que nous allons voir.

Le premier chapitre est une critique de l’architecture de défense en profondeur : qu’est-ce qui ne marche pas et pourquoi ? Le teste dresse un constat sévère : les lignes de défense indépendantes ne protègent pas suffisamment contre les attaques externes, car il s’agit de produits indépendants que les attaquants apprennent à connaitre, mais ils ne protègent pas non plus les attaquent visant les utilisateurs internes, car elles sont inefficaces contre le phishing, par exemple. La critique la plus importante est sans doute celle du « bruit » générés par ces lignes indépendantes, qui reposent sur un SIEM pour corréler ces différentes informations et leur donner un sens. Ce chapitre n’est pas dénué d’intérêt, car même si le propos n’entre pas en profondeur, il fait un bon travail pour dresser un paysage des faiblesses pénitentielles d’une architecture de sécurité classique.

Au second chapitre, il est question de dresser un parallèle entre les architectures de défense d’un système IT et de leur mise en œuvre dans le monde militaire. Dans leur version militaire, les lignes ne sont pas « étanches » : l’information d’une ligne remonte vers un centre de contrôle qui l’utilise pour mieux configurer les lignes suivantes. Il y a donc bien échange d’information, essentiellement descendante. Le chapitre se conclut assez sèchement : les lignes de défense d’une architecture IT n’échangent pas d’information et ont des fonctions qi se superposent souvent partiellement, car venant de vendeurs différents. Cette optique militaire est intéressante, mais finalement, on ne retire que peu d’enseignements de ce chapitre.

Nous arrivons au troisième chapitre qui va s’attaquer à la description des lignes de défense pour une application Web sur le Cloud. C’est une approche assez complète qui n’intègre pas moins de 8 lignes de défense ! C’est une description synthétique mais plutôt factuelle de ce que permet chaque ligne de défense avec un intérêt assez marqué pour le Web Application Firewall. Le texte évoque assez succinctement ce que les fournisseurs cloud proposent à cet égard. C’est un chapitre qui permet de se faire une bonne idée des lignes de défense de ce type d’architecture.

Au chapitre 4 nous arrivons enfin à l’approche intégrée que promeut l’auteur. Le texte tente de faire diversion en exposant plusieurs méthodes d’intégration, mais en fait la véritable mise sous les feux de la rampe est intégration via le Security Operation Center (SOC) par le biais d’API proposée par les différents vendeurs. Mais le texte reste très flou sur la réalité de cette intégration. Il va néanmoins insister assez lourdement sur l’intérêt d’un SOC externalisé, qu’il appelle SOCaaS par rapport à une solution on prémices. Le propos est assez superficiel, et il semble bien difficile de voter « pour » (ou contre) à l’issu du chapitre.

Le chapitre 5 ferme cet essai. Plutôt que de rentrer dans le concret de l’intégration esquissée au chapitre précédant, l’auteur nous met en perspective le futur de cette intégration : les Bots et le machine learning. Il semble avoir une idée très claire de ce futur et nous propose même une démarche en 11 étapes pour nous préparer à cet avenir !

J’ai qualifié cet opuscule d’essai, car c’est ce qu’il est à mon avis. L’auteur, à la lumière de son expérience et des idées qui ont fait leur chemin entrevoie le futur de la défense en profondeur. Cet écrit était le moyen pour donner davantage de forme à cela, tenter de prédire le futur de cette architecture en la rendant plus tangible. De mon point de vue, l’essai n’est pas transformé. Il manque des principes plus concrets sur la manière dont cette intégration s’opère, les informations qui remontent, comment le SOC les transforment en actions au niveau des lignes de défense suivantes. L’idée est là mais elle n’est pas transposée dans la réalité.

Référence complète : Modern Defense in Depth – Stephen Gates – O’Reilly 2019 – ISBN : 978-1-492-05033-9