Qu'est-ce que la défense en profondeur ? | La sécurité en couches

La défense en profondeur désigne une stratégie de cybersécurité dans laquelle plusieurs produits et pratiques sont utilisés pour protéger un réseau.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la "défense en profondeur".
  • Expliquer les produits et les pratiques utilisés dans une approche de sécurité à plusieurs niveaux.
  • Comparez la défense en profondeur à la sécurité intégrée

Copier le lien de l'article

Qu'est-ce que la "défense en profondeur" ?

"La défense en profondeur" (DiD) est une stratégie de cybersécurité qui utilise plusieurs produits et pratiques de sécurité pour protéger le réseau, les propriétés web et les ressources d'une organisation. Elle est parfois utilisée de manière interchangeable avec le terme "sécurité en couches" car elle dépend de solutions de sécurité à plusieurs niveaux de contrôle - physique, technique et administratif - pour empêcher les attaquants d'atteindre un réseau protégé ou une ressource sur site.

À l'origine, la défense en profondeur décrivait une stratégie militaire dans laquelle une ligne de défense était sacrifiée afin de bloquer les forces adverses. Malgré la similitude du nom, cette approche ne correspond pas à cette stratégie de sécurité, dans laquelle plusieurs produits travaillent ensemble pour tenir les attaquants et autres menaces à distance.

Pourquoi la défense en profondeur est-elle nécessaire ?

Le principe directeur d'une stratégie de défense en profondeur est l'idée qu'un seul produit de sécurité ne peut pas protéger entièrement un réseau contre toutes les attaques auxquelles il peut être confronté. Cependant, la mise en œuvre de plusieurs produits et pratiques de sécurité peut aider à détecter et à prévenir les attaques au fur et à mesure qu'elles se produisent, permettant ainsi aux organisations d'atténuer efficacement un large éventail de menaces. Cette approche devient de plus en plus importante à mesure que les organisations étendent leurs réseaux, leurs systèmes et leurs utilisateurs.

Un autre avantage de la sécurité en couches est la redondance. Si un attaquant externe met à mal une ligne de défense ou si une menace interne compromet une partie du réseau d'une organisation, d'autres mesures de sécurité peuvent contribuer à limiter et à atténuer les dommages causés à l'ensemble du réseau. En revanche, l'utilisation d'un seul produit de sécurité crée un point de défaillance unique ; s'il est compromis, l'ensemble du réseau ou du système peut être violé ou endommagé.

Quels produits de sécurité sont utilisés dans le cadre de la défense en profondeur ?

Si les stratégies de défense en profondeur varient en fonction des besoins et des ressources disponibles d'une organisation, elles comprennent généralement un ou plusieurs produits des catégories suivantes :

Les contrôles de sécurité physique défendent les systèmes informatiques, les bâtiments d'entreprise, les centres de données et d'autres actifs physiques contre des menaces telles que la falsification, le vol ou l'accès non autorisé. Il peut s'agir de différents types de contrôle d'accès et de méthodes de surveillance, comme les caméras de sécurité, les systèmes d'alarme, les scanners de cartes d'identité et la sécurité biométrique (par exemple, les lecteurs d'empreintes digitales, les systèmes de reconnaissance faciale, etc.)

Les contrôles de sécurité techniques englobent le matériel et les logiciels nécessaires pour empêcher les violations de données, les attaques DDoS, et d'autres menaces qui visent les réseaux et les applications. Les produits de sécurité courants à ce niveau comprennent notamment les pare-feu , , les passerelles web sécurisées (SWG), les systèmes de détection ou de prévention des intrusions (IDS/IPS), , les technologies d'isolation des navigateurs , les logiciels de détection et de réponse aux points de terminaison (EDR), , les logiciels de prévention des pertes de données (DLP), , les pare-feu d'applications web (WAF), et les logiciels anti-malware, entre autres.

Contrôles de sécurité administratifs désigne les politiques définies par les administrateurs système et les équipes de sécurité qui contrôlent l'accès aux systèmes internes, aux ressources de l'entreprise et à d'autres données et applications sensibles. Il peut également s'agir de formations de sensibilisation à la sécurité visant à garantir que les utilisateurs pratiquent une bonne hygiène de sécurité, préservent la confidentialité des données et évitent d'exposer les systèmes, les dispositifs et les applications à des risques inutiles.

Quelles sont les pratiques de sécurité utilisées dans la défense en profondeur ?

Outre les produits et les politiques de sécurité, les organisations doivent mettre en œuvre des pratiques de sécurité solides afin de limiter les risques pour leurs réseaux et leurs ressources. Ces pratiques peuvent inclure un ou plusieurs des éléments suivants :

L'accès au moindre privilège est le principe qui consiste à accorder aux utilisateurs la permission d'accéder uniquement aux systèmes et aux ressources dont ils ont besoin pour leur rôle . Cela permet de minimiser les risques pour le reste du réseau si les informations d'identification d'un utilisateur sont compromises et qu'un utilisateur non autorisé tente de mener une attaque ou d'accéder à des données sensibles.

L'authentification multifactorielle (AMF), comme son nom l'indique, requiert plusieurs formes d'authentification afin de vérifier l'identité d'un utilisateur ou d'un dispositif avant d'autoriser l'accès à un réseau ou à une application. L'authentification multifactorielle comprend généralement la pratique d'une hygiène de mot de passe forte (c'est-à-dire des mots de passe complexes, difficiles à deviner et changés souvent), l'établissement de contrôles stricts pour les dispositifs et la vérification de l'identité par des dispositifs et des outils externes (par exemple, la saisie d'un code de vérification à partir d'un dispositif mobile).

Chiffrement protège les données sensibles contre toute exposition à des parties non autorisées ou malveillantes. Les informations sont dissimulées en convertissant le texte en clair (informations lisibles par l'homme) en texte chiffré (combinaisons de lettres, de chiffres et de symboles générées de manière aléatoire).

Segmentation du réseau permet de limiter l'exposition des systèmes et des données internes aux vendeurs, aux entrepreneurs et aux autres utilisateurs extérieurs. Par exemple, la mise en place de réseaux sans fil distincts pour les utilisateurs internes et les utilisateurs externes permet aux organisations de mieux protéger les informations sensibles des parties non autorisées. La segmentation du réseau peut également aider les équipes de sécurité à contenir les menaces internes, à limiter la propagation des logiciels malveillants , et à respecter les réglementations en matière de données.

Analyse comportementale peut aider à détecter les modèles de trafic anormaux et les attaques au moment où ils se produisent. Pour ce faire, elle compare le comportement de l'utilisateur à une ligne de base de comportement normal qui a été observée dans le passé. Toute anomalie peut inciter les systèmes de sécurité à rediriger le trafic malveillant et à empêcher les attaques de se produire.

La sécurité de la confiance zéro est une philosophie de sécurité qui regroupe plusieurs des concepts ci-dessus, en partant du principe que les menaces sont déjà présentes à l'intérieur d'un réseau et qu'aucun utilisateur, dispositif ou connexion ne doit être digne de confiance par défaut.

Ce ne sont là que quelques-unes des pratiques qui devraient être employées dans le cadre d'une approche de sécurité en couches. Comme les types d'attaques continuent d'évoluer pour exploiter les vulnérabilités des produits de sécurité existants, de nouveaux produits et stratégies doivent être développés pour les contourner.

En quoi la sécurité en couches diffère-t-elle de la sécurité intégrée ?

Une stratégie efficace de défense en profondeur nécessite non seulement des contrôles de sécurité par couches, mais aussi des pratiques de sécurité intégrées. Bien que ces termes semblent similaires, ils ont des significations légèrement différentes :

  • La sécurité en couches, telle que décrite ci-dessus, fait référence à l'utilisation de plusieurs produits et pratiques de sécurité pour protéger une organisation contre un vaste éventail de menaces physiques et cybernétiques.
  • Sécurité intégrée garantit que plusieurs produits de sécurité fonctionnent les uns avec les autres pour améliorer leur capacité à détecter et à atténuer les menaces. Une stratégie de sécurité peut être stratifiée, mais non intégrée, alors qu'une stratégie de sécurité intégrée est stratifiée par nature.

Considérez la sécurité par couches comme une armure provenant de plusieurs vendeurs. Certaines pièces de l'armure peuvent être plus récentes ou de meilleure qualité que d'autres ; bien que le porteur soit protégé contre de nombreux types de dommages physiques, il peut y avoir des lacunes entre les différentes pièces de l'armure ou des points faibles où le porteur est plus vulnérable aux attaques.

En revanche, la sécurité intégrée est comme une armure personnalisée. Elle peut être constituée de différentes pièces (contrôles de sécurité), mais elles sont toutes conçues de manière à fonctionner ensemble pour protéger le porteur, sans laisser de failles ou de points faibles.

Toutefois, lors de la configuration de solutions de cybersécurité, l'achat de plusieurs produits de sécurité auprès d'un seul fournisseur ne garantit pas toujours que l'organisation bénéficie des avantages d'une approche intégrée. Pour en savoir plus sur ce sujet, voir " L'avenir de la sécurité des applications web."

Comment Cloudflare aide-t-il les organisations à pratiquer la défense en profondeur ?

La suite de sécurité intégrée de Cloudflare est conçue pour apprendre d'autres produits de sécurité et de performance et pour fonctionner de manière transparente avec eux. Par exemple, Cloudflare Bot Management bloque efficacement l'activité des robots malveillants par lui-même, mais acquiert des capacités supplémentaires lorsqu'il est associé à Cloudflare WAF, qui permet aux clients de bloquer dynamiquement les demandes qui semblent automatisées et qui déclenchent d'autres identifiants.

Le partage des renseignements sur les menaces est également un élément crucial de l'approche de Cloudflare en matière de défense en profondeur. Avec des millions de propriétés Internet sur son vaste réseau mondial - couvrant plus de 270 emplacements - Cloudflare peut glaner des informations à partir des modèles de trafic et améliorer les défenses contre les menaces nouvelles et en développement.

Service commercial