Pourquoi le meilleur type de cybersécurité est la sécurité ouverte (Open Security)

blog-open-security-720x420-A.png

Depuis trop longtemps, le concept de sécurité des systèmes numériques est associé à une autre idée : le secret. 

Pour bénéficier d’une sécurité réelle, certains soutiennent que la technologie qui l’assure doit être gardée secrète, même pour les clients qui l'utilisent. Faites-nous confiance, disent-ils : notre logiciel est constamment mis à jour par les meilleurs développeurs. Nous surveillons les menaces avant que qui que ce soit ne sache qu'elles existent. Et nous créons les correctifs avant même qu'elles ne créent un problème pour vos systèmes. Il vous suffit d'installer notre logiciel et de nous laisser gérer son fonctionnement interne.

Malheureusement, alors que les pirates sont aujourd’hui bien armés et cherchent à faire des dégâts importants, cette approche de la sécurité de type boîte noire est en soi une vulnérabilité majeure. En fermant leur code à la communauté, ces entreprises de sécurité deviennent elles-mêmes cibles des pirates. Une seule attaque non détectée sur un logiciel de sécurité peut finir par exposer des milliers de clients à des vulnérabilités et à des intrusions, offrant ainsi à des acteurs malveillants l’accès à des quantités incalculables de données sensibles. Qu'ils recherchent des informations financières, des secrets commerciaux, des instruments de chantage ou de scandale diplomatique, les pirates qui ouvrent une boîte noire accèdent aux clés du royaume.

Le nouveau paradigme de la sécurité

Ces dernières années, nous avons découvert toutes sortes de vols de données sur les pages d'accueil des sites d'information. Chaque fois, c'est une faille dans la sécurité qui a permis aux cybercriminels d'accéder aux données. Et dans chaque cas, les victimes de ces vulnérabilités se trouvaient dans l'obscurité d’une boîte noire. Inconscientes de la forme de la menace, elles ignoraient même si leur logiciel de sécurité pouvait y faire face et comment.

Le moment est venu d'adopter un nouveau paradigme dans le monde de la cybersécurité. Aucune approche ou équipe de développeurs unique ne disposera jamais de toutes les réponses ou ne sera en mesure de stopper toutes les intrusions. Mais en continuant à cacher leurs efforts au fond d’une boîte noire, ces entreprises font essentiellement deux choses. D’une part, elles tiennent leurs clients en otage, sans leur offrir le type de vérification et d'audit existant partout ailleurs dans leurs systèmes. D’autre part, elles contribuent à une escalade de ces mêmes pirates qu’elles tentent d'arrêter, en les incitant à briser le dernier correctif, la dernière version, dans l'espoir de trouver une vulnérabilité qu'ils pourront exploiter ou vendre au plus offrant.

Il existe une meilleure façon de sécuriser les systèmes. 

Au lieu de systèmes fermés sans le moindre signe de réduction du cycle toujours croissant de vulnérabilité, d’intrusion, de correctif et de répétition, nous proposons un modèle de sécurité ouverte ; un modèle dans lequel le logiciel de sécurité est développé de manière ouverte, chacun pouvant voir quelles fonctionnalités assurent la sécurité des utilisateurs et quel code est améliorable pour se protéger contre les menaces émergentes.

Notre société, Elastic, s’enorgueillit de son héritage de collaboration ouverte et communautaire. C'est pour cette raison que nos solutions sont aujourd'hui utilisées par les plus grandes organisations du monde, sur leurs systèmes les plus stratégiques. Il est temps d'apporter cet esprit à Elastic Security. Dans un monde où les hostilités semblent ne faire que s’accroître, la sécurité est trop essentielle pour être confiée à des boîtes noires.

La sécurité ouverte en action

Qu’est-ce donc que la sécurité ouverte et à quoi ressemble-elle ? Bien évidemment, même si c’est à ceux qui collaborent à cette initiative de proposer les définitions, la sécurité ouverte peut se résumer en un mot : collaboration. Ce caractère ouvert signifie que les fournisseurs de sécurité font leur travail au grand jour, partagent le code, les règles de détection et les artefacts pour mieux comprendre comment protéger réellement les systèmes contre les intrusions et les exploits. La sécurité ouverte est un effort commun pour améliorer les logiciels de sécurité afin que tous puissent en bénéficier, quel que soit le produit ou la solution de leur pile.

Les cyberattaques et la cyberguerre font de plus en plus partie du paysage mondial, du conflit en Ukraine à l'espionnage d'entreprise qui recouvre de plus en plus souvent plusieurs fuseaux horaires et continents. Elles ne sont pas appelées à disparaître. En revanche, il est possible de les atténuer et de s’en défendre bien plus efficacement.

Certains diront que cette forme d'ouverture est incompatible avec une véritable sécurité et que les informations publiques sur le fonctionnement d'un système ne feront que le rendre plus fragile. Mais rien n'est moins vrai. Grâce à la sécurité ouverte, les clients sont protégés par la matière grise collective de toutes les personnes pour qui la sécurité est un problème, autrement dit, tous ceux qui sont concernés. Et ceux qui cherchent à protéger sont toujours largement plus nombreux que ceux qui cherchent à exploiter et à perturber.

La sécurité par l'obscurité ne fonctionne pas. Cette obscurité n'est jamais qu'une autre vulnérabilité, un point faible de plus pour les tentatives de piratage ou d’ingénierie sociale. La véritable sécurité est comme un bouclier dans une bataille, renforcé et non affaibli par la compréhension et la prise en compte de toutes les manières dont les assaillants ont tenté de le détruire sans succès.

Bien sûr, il existera toujours des informations propriétaires sur les besoins et les configurations de sécurité des clients qui seront uniques et non publiques. Il n’est pas question d'inciter les pirates à s'introduire dans le système, mais plutôt de partager le code et les techniques communes qui assurent la sécurité des systèmes. En plus de fournir les outils et les connaissances nécessaires pour aider les clients à configurer la sécurité pour leurs cas d'utilisation et leurs profils de menace spécifiques.

La sécurité par la transparence et la communauté

La culture du secret dans laquelle s'enracinent les pratiques actuelles de sécurité ne profite qu’à ceux qui veulent préserver leur contrôle sur les autres. De la science à la technologie en passant par la démocratie, l'ouverture et la transparence sont des valeurs fondamentales qui nous permettent de continuer à nous appuyer sur le travail de ceux qui nous ont précédés, et ce au bénéfice de tous. La sécurité est trop importante pour être laissée entre les mains de ceux qui disent « faites-nous confiance » alors même que leurs approches se sont atrophiées et ont échoué, encore et encore.

Le passage à la sécurité ouverte ne se fera pas du jour au lendemain. Les moteurs de changement sont la pression des clients sur leurs fournisseurs, mais aussi une solide communauté de chercheurs en sécurité, notamment ceux qui travaillent sur des systèmes de type boîte noire et sont convaincus qu'il existe une meilleure solution. 

Notre effort de sécurité ouverte chez Elastic ne fait que commencer, mais le développement open source fait partie de notre héritage et est inscrit dans notre ADN. Nous sommes impatients de collaborer avec nos clients et avec nos concurrents pour être vecteurs du changement que nous voulons voir, et assurer une sécurité meilleure et plus ouverte pour tous ceux qui en ont besoin.