Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google tente une nouvelle approche à la sécurité de l'entreprise
Avec son initiative BeyondCorp

Le , par Stéphane le calme

82PARTAGES

4  1 
Google tente une nouvelle approche dans la sécurité des données de l’entreprise en optant pour déplacer ses applications dédiées à l’entreprise vers internet. Ce faisant, Mountain View va au-dessus des pratiques basiques et communes de sécurité de l’entreprise, se rendant loin de l’idée d’un réseau interne de confiance de l’entreprise sécurisé par certains dispositifs comme des pare-feu, en faveur d’un modèle où les données relatives aux entreprises peuvent être accessibles de n’importe où dès lors que l’utilisateur possède les bons identifiants ainsi que le bon dispositif.

Le nouveau modèle – baptisé initiative BeyondCorp - suppose que le réseau interne est aussi dangereux que l'Internet. Dans un papier blanc publié en décembre 2014 avec pour titre « BeyondCorp : une nouvelle approche de la sécurité de l’entreprise », Google a expliqué que « virtuellement, toutes les entreprises utilisent des pare-feu pour renforcer leur périmètre de sécurité. Cependant, ce modèle de sécurité est problématique étant donné qu’une fois que ce périmètre est traversé, un attaquant a relativement facilement accès aux privilèges intranet de l’entreprise. Tandis que les entreprises adoptent les technologies mobiles et Cloud, il devient de plus en plus difficile de renforcer ce périmètre ». Google propose un accès tributaire de l'appareil du collaborateur ainsi que de ses identifiants. En faisant usage de l'authentification, l'autorisation et le chiffrement, le modèle accorde aux employés un accès filtré à différentes ressources de l'entreprise.

Plus l’entreprise est dans une configuration où les employés font usage des applications mobiles et du Cloud et plus ce type de modèle est nécessaire, estiment les analystes de Google derrière cette initiative. Pour Jon oltsik, analyste principal chez Entreprise Strategy Group qui est spécialisée dans la recherche, « un grand nombre d’entreprises peut apprendre de l’agressivité de Google » parce qu’il n’y a « pas une entreprise où que ce soit qui n’aurait pas à développer quelque chose comme ça ».

Pour montrer l’exemple, Google est progressivement en train d’adopter cette nouvelle approche et espère sans doute voir toutes ses branches l’utiliser à terme. D’ailleurs, un porte-parole de Moutain View a avancé qu’environ 90% de ses applications entreprises a migré vers internet. Avec ce nouveau modèle, l’accès à l’information ne dépend que de l’appareil de l’utilisateur et de ses identifiants ; le collaborateur pourra alors avoir accès aux informations qu’il utilise son appareil dans le lieu de service, dans un restaurant ou même à la maison. Cette configuration supprime la connexion de réseau privé virtuel classique dans le réseau de l'entreprise. Elle chiffre également les connexions des employés aux applications d'entreprise, même quand un employé se connecte à partir d'un bâtiment Google.

Avec cette approche, les employés ne peuvent accéder aux applications d'entreprise qu’avec un dispositif qui est fourni, autorisé ou géré activement par l’entreprise. Une configuration qui nécessite donc que Google ait une base de données d'inventaire des appareils qui permet de suivre les ordinateurs et les appareils mobiles fournis aux employés ainsi que les modifications apportées à ces dispositifs.

Après que le dispositif soit authentifié, l'étape suivante consiste à identifier en toute sécurité l'utilisateur. Google suit et gère tous les employés dans une base de données utilisateurs et une base de données groupe qui est liée aux processus de ressources humaines de l'entreprise. Ces bases de données sont mises à jour au fur et à mesure que des employés rejoignent les rangs de l’entreprise, évoluent dans leurs responsabilités ou alors quittent l’entreprise. Il y a également un système d’authentification unique, un portail d'authentification d'utilisateur qui valide l'accès des employés dans la base de données de l'utilisateur ainsi que la base de données du groupe, générant une autorisation de courte durée pour l'accès à des ressources spécifiques.

Le niveau d'accès donné à un utilisateur ou un dispositif particulier peut changer au fil du temps. Par exemple, si un employé possède un dispositif dont le système d'exploitation n'a pas été mis à jour avec un patch récent, le papier blanc indique que le niveau de confiance qui est accordé à son dispositif pourrait être réduit. Des modèles spécifiques de téléphones peuvent également être affectés de différents niveaux de confiance sur la base de la sécurité inhérente à ces dispositifs. Si un employé décide tout d’un coup d'accéder à des applications d'entreprise dans un nouvel emplacement physique (un peu comme quand quelqu'un utilise tout d’un coup une carte de crédit dans un pays étranger), par mesure de prudence, il ou elle peut se voir refuser l'accès à certaines ressources.

Google n’est pas la seule entreprise a tenté ce genre d’approche. Des entreprises comme Coca-Cola, Verizon Communications Inc. ou encore Mazda Motor Corp expérimentent de nouveaux modèles de réseau adoptant une approche similaire puisqu’ils identifient d’abord l’appareil de l’utilisateur puis confirme l’identité de l’utilisateur avant de lui donner un accès filtré aux applications de l’entreprise.

Source : Research Google, TMCNET

Et vous ?

Que pensez-vous de cette approche ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 14/05/2015 à 23:05
Ceux pour qui je consulte, et qui redistribuent, sont en cours d'adoption de cette méthode donc je ne peux qu'être en accord. Ce modèle de sécurité bien que plus sûr, demande une vigilance de tous les instants.

- vérification d'un réseau sain ( sur )
- "vaccination" ( remplissage des différentes bases )
- automatisation de cette tâche à des horaires aléatoires
- tâche à exécuter manuellement par la RSSI

Sans donner de résultat "contre-de-250.000-attaques-à la-minute", cela permet une défense dynamique donc plus réactive plutôt que de se leurrer derrière un firewall dont la configuration peut se traverser.

Edit : je voulais préciser aussi que cela s'adresse à des entreprises disposant d'un minimum de budget pour entretenir une équipe de veille technologique d'une part mais aussi de surveillance de l'activité réseau
** Livre blanc à implémenter avec les solutions de sécurité existantes. **
0  0 
Avatar de Cafeinoman
Membre éprouvé https://www.developpez.com
Le 15/05/2015 à 12:45
Citation Envoyé par marsupial Voir le message

Edit : je voulais préciser aussi que cela s'adresse à des entreprises disposant d'un minimum de budget pour entretenir une équipe de veille technologique d'une part mais aussi de surveillance de l'activité réseau
** Livre blanc à implémenter avec les solutions de sécurité existantes. **
En même temps, en sous-traitance avec une solution "clef-en-main" (location de matériel, maintenance, sécu), beaucoup de PME seraient intéressées... Avec du volume, ca peut être vite bénéficiaire je pense...
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 16/05/2015 à 20:13
no comment
0  0 
Avatar de Cafeinoman
Membre éprouvé https://www.developpez.com
Le 16/05/2015 à 22:22
Si c'est stupide, tu peux le dire, je ne me vexerai, mais faut l'expliquer... Je suis loin d'être un spécialiste sécurité, encore moins un "entrepreneur", je ne faisais que lancer une idée. Je trouve le "no comment" non constructif, surtout ici...
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 17/05/2015 à 21:01
Citation Envoyé par Cafeinoman Voir le message
Si c'est stupide, tu peux le dire, je ne me vexerai, mais faut l'expliquer... Je suis loin d'être un spécialiste sécurité, encore moins un "entrepreneur", je ne faisais que lancer une idée. Je trouve le "no comment" non constructif, surtout ici...
Du tout : c'est constructif ta remarque. Le lien du 'sans commentaire' veut dire que par le modèle actuel et l'internet des objets qui arrive à toute vapeur, je pense bien que cela peut-être intéressant dans le sens où la sécurité deviendra prépondérante.

Un simple exemple : l'Etat de Californie porte plainte pour coupure intégrale de réseau abusive suite à une attaque chinoise sur les centrales nucléaires. Il faut bien comprendre que les 3 centrales du sud de la Californie sont passées proches de la catastrophe en se mettant à "fuir", dont une dangereusement. D'où la décision de couper intégralement internet en Californie le temps de purger l'attaque. (source Ars Technica)
D'ailleurs, aux Etats-Unis, ils ont cette inquiétude qu'une attaque d'envergure puisse "plier" intégralement leur réseau-grille énergétique. Ou militaire.

En France, nous sommes dans le même cas. Pour cette raison, EDF reste le client prioritaire et privilégié avant même quiconque. Même militaire.

Désolé, fallait pas le prendre mal, le lien était là pour dire que cela n'appelait aucun commentaire tellement il illustre les incessantes attaques bloquées à travers le globe
0  0 
Avatar de tatayoyo83
Nouveau Candidat au Club https://www.developpez.com
Le 18/05/2015 à 12:41
Pour information la Californie ne dispose que d'une seule centrale nucléaire...
0  0 
Avatar de Cafeinoman
Membre éprouvé https://www.developpez.com
Le 19/05/2015 à 6:52
Marsupial, tu viens de trouver un défaut de la version mobile: les liens ne sont pas indiqué comme tel, je n'ai donc pas pensé à cliquer sur ton texte!

Et oui, le sécurité va devenir ( deviens, même) un enjeu majeur. Et pour reprendre ta remarque sur l'Internet des objets, je dirai que la multiplication des périphériques connectes rends indispensable des modèles de sécurité de ce type, puisqu'il va devenir de plus en plus difficile de tout maintenir derrière des pare-feu..
0  0 
Avatar de Kropernic
Expert confirmé https://www.developpez.com
Le 19/05/2015 à 16:07
Sorry pour ce mini HS mais comment le site donné par marsupial fait pour savoir ce genre de chose ???

Ca me dépasse totalement... (j'suis une buse en réseau)

Ils ont accès au flux de la NSA ?
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web