LMI MAG 3 Juin 2020 - Flipbook - Page 57
La micro-segmentation renforce la sécurité sur chaque
système individuel en appliquant une politique unique et
centralisée. « Cette avancée permet d’appliquer une politique de façon granulaire sur l’ensemble du réseau d’une
entreprise, et pas seulement au niveau du périmètre »,
précise Tom Cross, CTO du fournisseur de sécurité réseau OPAQ. « Cette approche est nécessaire parce que la
sécurité périmétrique est parfois défaillante, mais aussi
parce que l’adoption du cloud rend les périmètres des
réseaux plus poreux », annonce-t-il. La micro-segmentation repose toujours sur les techniques traditionnelles
de cybersécurité, notamment les réseaux de contrôle
d’accès. « Ce qui distingue la micro-segmentation des
autres solutions, c’est que ces approches de sécurité
sont appliquées à des charges de travail individuelles
au sein du réseau », déclare quant à lui Brad Willman,
directeur informatique et expert en sécurité réseau chez
le fournisseur de services IT Entrust Solutions.
La structure compartimentée de la micro-segmentation
séduit de nombreuses entreprises. « La micro-segmentation est une stratégie qui peut non seulement prévenir
la violation des données, mais elle peut aussi considérablement réduire les dommages en cas d’attaque en
les limitant à un tout petit segment du réseau », assure
Andrew Tyler, ingénieur-conseil senior chez le consultant IT Kelser.
de micro-segmentation doit permettre d’appliquer les
politiques au datacenter, aux charges de travail dans le
cloud et aux postes de travail des utilisateurs finaux à
partir d’une console unique. Elle doit également savoir
empêcher les attaques de se propager dans n’importe
lequel de ces environnements », stipule-t-il.
Comme dans le cas de nombreuses technologies émergentes, les fournisseurs adoptent différentes mises en
œuvre de la micro-segmentation. De façon générale,
trois approches dominent : la segmentation au niveau
de l’hôte, la segmentation au niveau de l’hyperviseur et
la segmentation au niveau du réseau.
- Segmentation au niveau de l’hôte. Ce type de micro-segmentation consiste à positionner des agents au
niveau des points terminaux. Tous les flux de données
sont visibles et relayés à un gestionnaire central, ce qui
facilite la découverte de protocoles difficiles à détecter ou
d’un trafic crypté. En général, la segmentation au niveau
de l’hôte est considérée comme très efficace. « Parce que
les appareils infectés sont des hôtes, une bonne stratégie
au niveau de l’hôte peut même empêcher les problèmes
d’atteindre le réseau », explique David Johnson, CTO de
Mulytic Labs, une start-up de développement de logiciels et de services IT. [Lire l’intégralité de l’article sur
lemondeinformatique.fr]
Protection des datacenters et des terminaux
Pour compromettre les ressources d’une entreprise, un
acte malveillant sophistiqué se passe généralement en
plusieurs phases. « Pour défendre les infrastructures, il
faut donc aussi mettre en place des contrôles à chaque
étape », conseille Tom Cross, CTO d’OPAQ. « La latéralisation interne entre systèmes a joué un rôle clé dans
les incidents récents, et des outils comme Mimikatz et
Bloodhound fournissent de solides capacités aux pirates
en la matière. La micro-segmentation peut permettre
aux défenseurs de perturber ces techniques en bloquant
les chemins inutiles exploités pas les attaques pour se
propager au sein des réseaux internes », admet-il.
Il est important de garder à l’esprit que la micro-segmentation n’est pas une technologie orientée uniquement
vers les datacenters. « De nombreux incidents de sécurité commencent sur les postes de travail des utilisateurs
finaux, quand les employés cliquent sur des liens de phishing ou que leurs systèmes sont compromis par d’autres
moyens », indique encore M. Cross. À partir d’un unique
point d’infection initial, les hackers peuvent se propager
dans tout le réseau d’une entreprise. « Une plateforme
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/Micro-seg-Podcast
LIRE EN LIGNE
Article
cutt.ly/Micro-seg
SÉCURITÉ RÉSEAU IT :
FILTRAGE, PRÉVENTION…
Cahier des charges
cutt.ly/Securite-Reseau-IT
57