Google tente une nouvelle approche à la sécurité de l'entreprise

Avec son initiative BeyondCorp

Google tente une nouvelle approche dans la sécurité des données de l’entreprise en optant pour déplacer ses applications dédiées à l’entreprise vers internet. Ce faisant, Mountain View va au-dessus des pratiques basiques et communes de sécurité de l’entreprise, se rendant loin de l’idée d’un réseau interne de confiance de l’entreprise sécurisé par certains dispositifs comme des pare-feu, en faveur d’un modèle où les données relatives aux entreprises peuvent être accessibles de n’importe où dès lors que l’utilisateur possède les bons identifiants ainsi que le bon dispositif.

Le nouveau modèle – baptisé initiative BeyondCorp - suppose que le réseau interne est aussi dangereux que l'Internet. Dans un papier blanc publié en décembre 2014 avec pour titre « BeyondCorp : une nouvelle approche de la sécurité de l’entreprise », Google a expliqué que « virtuellement, toutes les entreprises utilisent des pare-feu pour renforcer leur périmètre de sécurité. Cependant, ce modèle de sécurité est problématique étant donné qu’une fois que ce périmètre est traversé, un attaquant a relativement facilement accès aux privilèges intranet de l’entreprise. Tandis que les entreprises adoptent les technologies mobiles et Cloud, il devient de plus en plus difficile de renforcer ce périmètre ». Google propose un accès tributaire de l'appareil du collaborateur ainsi que de ses identifiants. En faisant usage de l'authentification, l'autorisation et le chiffrement, le modèle accorde aux employés un accès filtré à différentes ressources de l'entreprise.

Plus l’entreprise est dans une configuration où les employés font usage des applications mobiles et du Cloud et plus ce type de modèle est nécessaire, estiment les analystes de Google derrière cette initiative. Pour Jon oltsik, analyste principal chez Entreprise Strategy Group qui est spécialisée dans la recherche, « un grand nombre d’entreprises peut apprendre de l’agressivité de Google » parce qu’il n’y a « pas une entreprise où que ce soit qui n’aurait pas à développer quelque chose comme ça ».

Pour montrer l’exemple, Google est progressivement en train d’adopter cette nouvelle approche et espère sans doute voir toutes ses branches l’utiliser à terme. D’ailleurs, un porte-parole de Moutain View a avancé qu’environ 90% de ses applications entreprises a migré vers internet. Avec ce nouveau modèle, l’accès à l’information ne dépend que de l’appareil de l’utilisateur et de ses identifiants ; le collaborateur pourra alors avoir accès aux informations qu’il utilise son appareil dans le lieu de service, dans un restaurant ou même à la maison. Cette configuration supprime la connexion de réseau privé virtuel classique dans le réseau de l'entreprise. Elle chiffre également les connexions des employés aux applications d'entreprise, même quand un employé se connecte à partir d'un bâtiment Google.

Avec cette approche, les employés ne peuvent accéder aux applications d'entreprise qu’avec un dispositif qui est fourni, autorisé ou géré activement par l’entreprise. Une configuration qui nécessite donc que Google ait une base de données d'inventaire des appareils qui permet de suivre les ordinateurs et les appareils mobiles fournis aux employés ainsi que les modifications apportées à ces dispositifs.

Après que le dispositif soit authentifié, l'étape suivante consiste à identifier en toute sécurité l'utilisateur. Google suit et gère tous les employés dans une base de données utilisateurs et une base de données groupe qui est liée aux processus de ressources humaines de l'entreprise. Ces bases de données sont mises à jour au fur et à mesure que des employés rejoignent les rangs de l’entreprise, évoluent dans leurs responsabilités ou alors quittent l’entreprise. Il y a également un système d’authentification unique, un portail d'authentification d'utilisateur qui valide l'accès des employés dans la base de données de l'utilisateur ainsi que la base de données du groupe, générant une autorisation de courte durée pour l'accès à des ressources spécifiques.

Le niveau d'accès donné à un utilisateur ou un dispositif particulier peut changer au fil du temps. Par exemple, si un employé possède un dispositif dont le système d'exploitation n'a pas été mis à jour avec un patch récent, le papier blanc indique que le niveau de confiance qui est accordé à son dispositif pourrait être réduit. Des modèles spécifiques de téléphones peuvent également être affectés de différents niveaux de confiance sur la base de la sécurité inhérente à ces dispositifs. Si un employé décide tout d’un coup d'accéder à des applications d'entreprise dans un nouvel emplacement physique (un peu comme quand quelqu'un utilise tout d’un coup une carte de crédit dans un pays étranger), par mesure de prudence, il ou elle peut se voir refuser l'accès à certaines ressources.

Google n’est pas la seule entreprise a tenté ce genre d’approche. Des entreprises comme Coca-Cola, Verizon Communications Inc. ou encore Mazda Motor Corp expérimentent de nouveaux modèles de réseau adoptant une approche similaire puisqu’ils identifient d’abord l’appareil de l’utilisateur puis confirme l’identité de l’utilisateur avant de lui donner un accès filtré aux applications de l’entreprise.

Source : Research Google, TMCNET

Et vous ?

Que pensez-vous de cette approche ?