La défense en profondeur (Defense in Depth, ou DiD) est une stratégie basée sur plusieurs couches visant à protéger l’intégrité des informations. Elle permet de couvrir tous les aspects de sécurité professionnels, créant même des redondances si besoin. Si une ligne de défense est compromise, d’autres couches de défense prennent le relais pour empêcher l’infiltration de nouvelles menaces. Cette stratégie remédie aux vulnérabilités de sécurité inhérentes à la technologie, aux effectifs et aux activités d’un réseau.
Face à l’évolution des cybermenaces et des tactiques d’attaque toujours plus malveillantes et automatisées, la défense en profondeur est une approche solide et complète pour les experts en cybersécurité.
Elle est d’une grande importance, comme en attestent les résultats de l’Enquête 2020 de Verizon sur les compromissions de données (DBIR). Le rapport de 2020 est le fruit d’une analyse de plus de 32 000 incidents de sécurité et de près de 4 000 compromissions recensés dans le monde. Voici une sélection de données alarmantes :
- Hausse des compromissions de données : les fuites de données ont doublé depuis 2019.
- Hausse des attaques sur le cloud : hausse de 43 % des attaques sur des applications web par rapport à 2019.
- Hausse des attaques motivées par l’appât du gain : 86 % contre 71 % en 2019.
- Messagerie et identifiants : 67 % des attaques peuvent être attribuées au phishing, au compromis par courrier électronique professionnel et au vol d’identifiants.
L’intérêt de la défense en profondeur réside dans son approche consistant à combiner des outils de sécurité avancés pour protéger les données critiques et bloquer les menaces avant qu’elles n’atteignent les terminaux et réseaux. Si la protection des terminaux (endpoint protection), les antivirus et les pare-feux demeurent des éléments indispensables, ces méthodes de sécurité réseau ne suffisent plus à assurer seules la protection de l’espace de travail moderne.
Avec la généralisation du travail dans le monde entier, les risques de sécurité se sont multipliés. Les travailleurs distants consultent et partagent des données via des applications cloud et travaillent en dehors du périmètre de réseau traditionnel. En plus d’influer sur le succès des initiatives de transformation numérique, cela introduit un nouveau vecteur d’attaque.
Comme en conviendront les professionnels de l’informatique et de la sécurité, Internet est devenu le nouveau périmètre des bureaux et il doit être défendu d’une manière nouvelle et globale. C’est là que le concept de défense en profondeur se démarque, car il repousse les limites de la cybersécurité en tenant compte des macrocontrôles nécessaires à une protection ultime, sous les aspects physiques, techniques et administratifs du réseau.
L’architecture d’une stratégie de défense en profondeur repose sur 3 piliers :
Les contrôles physiques, à savoir les mesures de sécurité pour protéger les systèmes informatiques de dommages matériels (exemples : agents de sécurité, verrouillage des portes...).
Les contrôles techniques, à savoir les mesures visant à sécuriser les systèmes du réseau. Les contrôles techniques spécifiques à une entreprise incluent une protection au niveau matériel, logiciel et réseau (exemple : mesures de cybersécurité multi-couches...).
Les contrôles administratifs, à savoir les politiques et procédures visant à protéger l’ensemble des collaborateurs (exemples : formation des employés pour classer des informations sensibles, conservation de fichiers privés dans des dossiers appropriés...).
D’où vient le concept de défense en profondeur ?
Le terme provient d’une stratégie militaire : il s’agit de placer des barrières pour ralentir l’avancée des intrus et pour donner le temps aux gardiens d’observer leurs mouvements et d’élaborer une riposte. L’objectif est donc de retarder la progression de l’agresseur au lieu de répliquer immédiatement.
Avant la transition vers le télétravail et la prévalence d’Internet, les entreprises ne pouvaient se reposer que sur des centres de données physiques, eux-mêmes protégés par plusieurs couches de sécurité concrètes. Seuls les employés munis de badges pouvaient accéder aux bâtiments, et seuls les ordinateurs portables associés à un compte Active Directory pouvaient accéder aux fichiers. Au pire, un membre du service marketing obtenait accidentellement les droits d’accès à un dossier technique. La situation a rapidement et considérablement changé.
Quels sont les défis de cybersécurité moderne ?
Alors que la transformation numérique est à nos portes, nos moyens de subsistance et nos processus commerciaux dépendent d’Internet et du cloud. Et si les principes de défense en profondeur restent essentiels, cette stratégie nécessite des contrôles techniques beaucoup plus avancés pour la cyberprotection des entreprises et des employés.
Bien que les grands fournisseurs de services cloud disposent d’excellents système de sécurité et de processus standardisés, ils restent vulnérables aux actions des utilisateurs : ceux-ci tombent souvent dans les pièges des escrocs (tentatives de phishing, liens malveillants…), ce qui expose le réseau à des criminels toujours à l’affût de données personnelles à exploiter. Dans le cloud, les utilisateurs n’ont pas besoin d’un badge ni d’un appareil fourni par leur entreprise pour accéder à des fichiers. Quelques clics suffisent donc à exposer un réseau d’entreprise aux cybermenaces.
Failles couramment observées dans les stratégies de cybersécurité
- Découverte trop tardive des virus et des logiciels malveillants
- Ouverture du réseau aux menaces via des tactiques de phishing contre les employés
- Non application des mises à jour et correctifs
- Non suivi ou méconnaissance des politiques de sécurité par les employés et utilisateurs
- Chiffrement manquant ou mal appliqué
- Absence de protection contre les malwares
- Nouveaux risques associés aux télétravailleurs qui se connectent à des réseaux non sécurisés et exposent des données.
- Failles de sécurité physiques
- Divergence de sécurité des partenaires commerciaux et chaînes d’approvisionnement
En quoi la défense en profondeur peut-elle aider ?
Une seule couche de protection n’offre pas un niveau de sécurité assez fort pour affronter l’intelligence et la constante évolution du paysage cybercriminel. La défense en profondeur permet de renforcer la sécurité d’un réseau en superposant, voire en dupliquant, certaines méthodes de protection pour minimiser l’éventualité d’une violation de données.
En appliquant plusieurs couches de défense différentes (pare-feu, antivirus, détection d’intrusion, balayage de ports, passerelles sécurisées…), les entreprises peuvent combler les failles auxquelles les réseaux seraient exposés s’ils ne disposaient que d’une seule couche de sécurité. Par exemple, si la couche de protection d’un réseau est compromise par un pirate, la défense en profondeur donne aux administrateurs et aux ingénieurs un délai supplémentaire pour déployer des mises à jour et des contre-mesures. Et en parallèle, les couches constituées de l’antivirus et du pare-feu bloquent toute intrusion supplémentaire.
Quel est le lien entre sécurité multi-couches et défense en profondeur ?
La sécurité multi-couches pour petites et moyennes entreprises (PME) associe plusieurs solutions de cybersécurité visant à réduire la surface d’attaque d’un réseau et à le protéger entièrement.
Cette approche répond à un besoin né de la généralisation du télétravail, de l’essor des appareils connectés (IoT) et de la dépendance grandissante à Internet pour les entreprises. De nos jours, les terminaux, services cloud et applications web détiennent les données qui profitent tant aux pirates. À l’époque où les données étaient protégées dans des bâtiments fermés, une ou deux couches suffisaient.
Aujourd’hui, la surface d’attaque des PME s’élargit à toute vitesse avec l’introduction de nouveaux appareils aux réseaux pour gagner en productivité. Les données sont collectées et stockées dans des applications tierces ou dans le cloud. Les possibilités d’attaques sont presque infinies. Disposer d’un pare-feu ne suffit plus.
La sécurité multi-couches fait partie intégrante des contrôles techniques de la défense en profondeur : elle est centrée sur la cybersécurité et sur la protection complète des terminaux et des réseaux. Cependant, la défense en profondeur part du principe que la sécurité ne peut jamais être vraiment complète : ralentir une menace jusqu’à la neutraliser reste la façon la plus efficace de sécuriser une entreprise. La défense en profondeur offre un niveau de protection plus élevé puisqu’elle se concentre également sur les contrôles administratifs et physiques qu’une entreprise doit mettre en place pour préserver sa sécurité, en plus de sa cybersécurité.
De quelles couches de sécurité une PME a-t-elle besoin ?
Pour déterminer les couches de sécurité dont vous avez besoin, le mieux est de déterminer quelles sont vos données sensibles et qui y a accès. Pour évaluer vos risques de sécurité, identifiez les appareils, données et personnes concernées. Une fois les données ou appareils à risques identifiés, vous serez plus à même de déterminer le nombre de couches de sécurité dont vous avez besoin et comment les intégrer à votre système de sécurité existant.
Certains des services et produits de sécurité mentionnés ci-dessous peuvent sembler répétitifs ou sont déjà inclus dans les fonctionnalités d’une autre couche de sécurité. Ils sont énumérés séparément soit parce qu’ils exécutent une fonction importante de manière autonome, soit parce qu’ils permettent une répétition ayant pour but de renforcer le niveau de protection.
Quelles couches de cybersécurité sont recommandées aux PME ?
Pour les PME, les produits et services de cybersécurité constituent la couche « principale » : ils protègent contre les principales menaces, celles qui peuvent engendrer rapidement des ralentissements et des frais inutiles ou nuire à leur réputation.
- Antivirus
- Passerelle web sécurisée
- Passerelle Internet sécurisée
- Pare-feu
- Gestion des correctifs
- Sauvegarde et récupération
Alors que les employés continuent d’accéder à distance aux réseaux d’entreprise, que les entreprises se développent et adoptent plus de services cloud et élargissent leurs offres, les couches de sécurité suivantes sont tout aussi importantes :
- Authentification à 2 facteurs
- Systèmes de détection et de prévention d’intrusion
- Chiffrement*
- Prévention des pertes de données*
- Réseau privé virtuel (VPN)
* En fonction de votre secteur d’activité et des exigences de conformité auxquelles vous êtes soumis