Sécurité

Concevoir un programme de Cyber Threat Intelligence (CTI) véritablement efficace

Thu, 05 Feb 2026 16:00:00 +0000

Les cybermenaces évoluent en permanence et mettent les organisations sous pression constante. La Cyber Threat Intelligence (CTI) peut les aider à anticiper les attaques et à renforcer leur défense, mais beaucoup peinent encore à en faire un levier réellement opérationnel et à en tirer des mesures de sécurité directement actionnables.

La CTI convertit des données brutes en informations utiles à la décision. Elle permet de passer d’une posture de défense essentiellement réactive à une approche proactive : anticiper les modes d’attaque, comprendre les intentions des adversaires et ajuster les mécanismes de protection en fonction des menaces qui visent spécifiquement son entreprise.

Une large majorité des responsables sécurité et IT redoutent que des attaques passent entre les mailles du filet : selon une étude Forrester pour le compte de Google Cloud, publiée en juillet, 82 % estiment que leur organisation pourrait rater des cyberattaques. De la même manière, 72 % déclarent rester sur une posture encore largement réactive face aux menaces cyber.

Un programme de CTI bien structuré permet de valoriser les informations collectées et de produire une lecture vraiment exploitable du contexte de cybersécurité. Les organisations peuvent ainsi repérer plus tôt les signaux faibles, comprendre la nature des risques et intervenir avant qu’ils ne causent des dommages significatifs.

La CTI contribue à renforcer les opérations de sécurité de manière proactive : détection avancée, amélioration des contrôles de sécurité, threat hunting. Elle permet aussi d’optimiser la réaction aux incidents en accélérant la prise de décision, en limitant l’impact financier des attaques et en renforçant la résilience opérationnelle.

Si l’IA et l’automatisation jouent désormais un rôle essentiel pour renforcer les capacités de détection et d’analyse, elles ne constituent qu’une partie de la réponse. Leur efficacité dépend étroitement des équipes qui les utilisent et des processus qui les encadrent.

Comme pour toute initiative stratégique, la réussite d’un programme de CTI repose sur l’articulation cohérente de trois piliers fondamentaux : les personnes, les processus et la technologie.

Les trois piliers d’un programme CTI efficace

Le facteur humain

Des équipes compétentes et dédiées sont essentielles à la réussite d’un programme de CTI. Les analystes, chercheurs et spécialistes de la communication maîtrisent les modes opératoires des attaquants, leurs motivations, ainsi que les risques propres à leur organisation. Ils disposent aussi des compétences métier nécessaires pour transformer la CTI en actions concrètes et l’adapter au contexte de l’organisation.

Expertise : la CTI mobilise un ensemble de compétences variées à commencer par le sens de l’analyse et de l’investigation, la compréhension des enjeux métier, la maîtrise des fondamentaux techniques et la connaissance approfondie des menaces.
Collaboration : les équipes CTI efficaces s’appuient sur une collaboration étroite interne avec les autres fonctions de sécurité (réponse à incident, opérations de sécurité, gestion des risques) mais aussi extérieure avec leurs homologues du secteur et les communautés de partage d’informations.
Communication : facteur clé de la CTI, la capacité à rendre l’information complexe intelligible permet de transformer des éléments techniques en analyses claires et utiles, adaptées aussi bien aux équipes sécurité qu’aux dirigeants.

Sans professionnels expérimentés pour analyser les besoins, interpréter les données et ajuster les automatisations, même les technologies les plus avancées ou les processus les plus élaborés restent largement inefficaces.

Le cadre opérationnel

Pour fonctionner de manière efficace et cohérente, le programme CTI a besoin de processus robustes qui définissent comment l’information est collectée, analysée, enrichie, diffusée et utilisée.

Définition de la mission CTI : la direction générale doit sponsoriser et énoncer sans ambiguité la mission assignée au projet CTI en cadrant son rôle, ses pouvoirs d’action et les directions métiers qu’elle doit servir en priorité.
Cycle de la CTI : définir un cycle de renseignement clair - planification, collecte, traitement, analyse, diffusion - est indispensable pour structurer la CTI et en faire une activité répétable, maîtrisée et utile aux décisions.
Automatisation des workflows : les processus doivent intégrer l’automatisation chaque fois que c’est possible, afin d’éviter les tâches manuelles répétitives et permettre aux analystes CTI de se consacrer à l’analyse approfondie et la production d’information à forte valeur ajoutée.
Boucles de rétroaction : des retours d’expérience réguliers sont essentiels pour affiner les priorités CTI, optimiser la collecte d’information et renforcer la qualité des analyses produites.
Intégration : les processus CTI doivent s’articuler sans couture avec les autres fonctions de sécurité, pour nourrir directement les playbooks de réponse aux incidents, orienter la gestion des vulnérabilités et renforcer les programmes de sensibilisation à la sécurité.

De la même manière qu’une usine a besoin d’une chaîne de production bien définie, un programme CTI doit s’appuyer sur des processus structurés pour produire de la valeur de façon constante.

Les outils au service de la CTI

La technologie joue un rôle déterminant : elle soutient les équipes et les processus qui font vivre un programme CTI. De nombreuses solutions existent pour collecter, stocker, analyser et diffuser les informations liées aux menaces.

Threat Intelligence Platforms (TIP) : ces plateformes agrègent, normalisent et enrichissent les données de menace provenant de multiples sources, offrant ainsi un référentiel centralisé pour la CTI.
Intelligence artificielle (IA) : l’IA peut renforcer la détection des menaces, automatiser l’analyse de volumes importants de données, identifier des anomalies et anticiper de possibles vecteurs d’attaque. Elle complète ainsi les capacités humaines à chaque étape du cycle CTI, tout en réduisant la charge opérationnelle et en améliorant l’efficacité des analystes.
SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation, and Response) : les équipes CTI doivent pouvoir exploiter ces outils internes pour disposer d’un contexte précis et temps réel sur les menaces qui pèsent sur l’organisation.
Outils OSINT (Open-source Intelligence) : ces outils permettent de collecter des données publiques (sites web, réseaux sociaux, bases de données publiques, etc.) pour les transformer en données exploitables afin de détecter des menaces émergentes et suivre l’évolution des techniques utilisées par les attaquants.
Outils d’analyse de malware : les experts CTI doivent disposer de solutions permettant l’analyse en sandbox de code malveillant.

La technologie n’est évidemment qu’un moyen, pas une fin en soi. Même les meilleurs outils ne servent à rien sans les bons profils et les bons processus pour en tirer parti. Sans ces derniers, les équipes CTI peineront à tirer un réel retour sur investissement de leurs outils et, par voie de conséquences, les dirigeants percevront un faible ROI de leurs équipes CTI.

L’équation gagnante d’une CTI efficace

Les programmes CTI efficaces s’appuient sur ces trois piliers fondamentaux. Les équipes utilisent la technologie au sein de processus clairement définis, ces derniers ayant été conçus et améliorés par les équipes, souvent avec l’appui d’outils technologiques adéquats et bien maîtrisés. La technologie permet d’exécuter ces processus plus rapidement et plus efficacement. Aucun de ces piliers ne prévaut sur les autres : la moindre faiblesse sur l’un des trois affecte la performance globale du programme.

« En investissant de manière cohérente dans leurs équipes, leurs processus et leurs technologies, les organisations peuvent bâtir un programme de CTI capable non seulement d’identifier les menaces, mais aussi de formuler des recommandations de sécurité réellement exploitables et d’ancrer une culture de sécurité proactive où les décisions sont prises sur la base d’informations fiables et contextualisées »

Ce principe va bien au-delà de la CTI : qu’il s’agisse de constituer une équipe commerciale, de développer un nouveau produit ou d’optimiser le service client, la combinaison de compétences adaptées, de processus structurés et d’outils pertinents demeure un facteur essentiel de réussite.

En investissant de manière cohérente dans leurs équipes, leurs processus et leurs technologies, les entreprises peuvent bâtir un programme CTI capable non seulement d’identifier les menaces, mais aussi de formuler des recommandations de sécurité exploitables tout en ancrant une culture de sécurité proactive, fondée sur des décisions éclairées. Un tel investissement, et le changement culturel qu’il implique, peut aider les organisations encore trop réactives à adopter une approche plus proactive.

Par où commencer ?

La mise en place d’une fonction de sécurité est toujours un travail de longue haleine. Pour amorcer la mise en œuvre de votre CTI, vous pouvez suivre les quelques étapes suivantes :

Parlez à ceux que vous protégez : échangez régulièrement avec toutes les parties prenantes (à commencer par le SOC, les équipes de réponses aux incidents, les équipes de gestion des vulnérabilités, etc.) afin de comprendre leurs difficultés et leurs priorités.
Comprendre votre paysage de menaces : effectuez des recherches en ligne pour identifier les cyberattaques et les menaces auxquelles sont confrontées des organisations similaires à la vôtre.
Se former à la CTI : il existe de nombreuses ressources pour développer vos compétences en analyse CTI, notamment celles proposées par MITRE. Aux États-Unis, vous pouvez aussi vous former gratuitement sur la plateforme CISA Learning.
Constituer un groupe de travail : identifiez, au sein de votre organisation des personnes intéressées par la CTI. Partagez des ressources, échangez sur les menaces émergentes et créez une dynamique autour du sujet.

Comment Mandiant peut vous aider

Notre service de conseil Mandiant avec son Intelligence Program Development (IPD) aide les organisations à développer des fonctionnalités CTI avancées. Nous analysons vos cas d’usage spécifiques et appliquons le cadre de référence éprouvé de Mandiant pour identifier les ressources humaines, les processus et les technologies nécessaires à une mise en œuvre opérationnelle et efficace de la CTI.

Mandiant Academy propose des formations pour les professionnels de la sécurité, dont plusieurs centrées sur l’exploitation et l’application efficaces de la CTI sur les menaces afin de renforcer les défenses tactiques et la posture de sécurité globale. Ces formations vous aident à construire un programme CTI cohérent, dans lequel des équipes compétentes s’appuient sur les bonnes technologies et sur des processus clairement définis, afin d’aligner votre fonction CTI sur les risques et les objectifs propres à votre organisation.

Google Threat Intelligence s’appuie sur une IA avancée : notre solution peut ainsi offrir une visibilité exceptionnelle sur les menaces émergentes ou en cours, ce qui nous permet de fournir des renseignements détaillés et actualisés aux équipes de sécurité du monde entier. Elle combine l’expertise opérationnelle de Mandiant, la portée mondiale de la communauté VirusTotal et une visibilité en profondeur que seule l’infrastructure de Google peut offrir.

Cette visibilité étendue sur les menaces les plus récentes permet aux équipes CTI d’adopter une approche plus proactive en comprenant les modes opératoires des attaquants, leurs tactiques, leurs techniques et leurs procédures mais aussi les indicateurs de compromission (IOC).

Pour en savoir plus sur la manière dont nous pouvons vous aider à atteindre vos objectifs CTI, planifiez dès aujourd’hui une consultation gratuite avec Mandiant.

Renforcer toujours plus les capacités de souveraineté, la liberté de choix et la sécurité de nos clients dans le Cloud

Wed, 21 May 2025 10:00:00 +0000

Comme la plupart des organisations, Google Cloud échange en permanence avec ses clients, ses partenaires, les régulateurs et décideurs publics afin de proposer des technologies qui épousent chacun de leurs besoins. En matière de solutions adressant les exigences de “souveraineté” numérique, et plus généralement de confiance numérique, Google Cloud accompagne ses clients depuis bientôt dix ans dans le respect de la doctrine gouvernementale.

Nous avons le plaisir d’annoncer aujourd’hui d’importantes nouveautés techniques et commerciales concernant nos solutions « Sovereign Cloud » déjà disponibles mondialement. Objectif : offrir toujours plus de contrôle, de liberté de choix et de sécurité à nos clients – sans rien sacrifier sur les fonctionnalités.

Depuis nos premières offres « Sovereign Cloud », lancées il y a quelques années, notre infrastructure mondiale s’est considérablement étendue : plus de 42 régions cloud, 127 zones de disponibilité, 202 points d’accès en périphérie réseau et 33 investissements dans des câbles sous-marins.

Parallèlement, nous avons aussi noué des alliances stratégiques en Europe, en Asie, au Moyen-Orient et aux États-Unis pour renforcer nos solutions de confiance numérique, notamment avec nos partenaires S3NS (en France), Schwarz Group et T-Systems (en Allemagne), Minsait (en Espagne), Telecom Italia (en Italie), Clarence (en Belgique et au Luxembourg), CNTXT (en Arabie Saoudite), KDDI (au Japon), et World Wide Technology (aux États-Unis).

Un engagement en faveur de la liberté de choix

La souveraineté numérique ne se résume pas à la seule maîtrise des clés de chiffrement. Elle repose avant tout sur la capacité à offrir aux clients la flexibilité dont ils ont besoin dans le cadre de leurs activités à l’international. Il ne peut y avoir de confiance dans le cloud sans offrir aux organisations la possibilité d’opérer en mode multicloud, tout en s’assurant que leurs données restent protégées par les technologies les plus avancées.

La vision de Google Cloud repose depuis toujours sur un principe fort : le client doit avoir la liberté de choisir le fournisseur de cloud et les solutions qui répondent le mieux à ses besoins, sans subir de verrouillage technologique. C’est pourquoi nous proposons un portefeuille de solutions adapté aux exigences métier, aux contraintes réglementaires et aux niveaux d’exposition au risque propres à chaque entreprise.

Nos engagements – fermes et contractuels – envers nos clients s’appuient sur des contrôles et des solutions de confiance déjà pleinement opérationnelles. Notre portefeuille actualisé de solutions de cloud comprend notamment :

Google Cloud Data Boundary , qui permet aux clients de déployer une frontière « souveraine » autour de leurs données et de contrôler l’endroit où leur contenu est stocké et traité. Cette frontière offre également la possibilité de stocker et de gérer les clés de chiffrement en dehors de l’infrastructure de Google Cloud. Les organisations peuvent ainsi satisfaire leurs exigences spécifiques en matière d’accès et de contrôle des données, quel que soit le marché concerné.
Les clients de Google Cloud Data Boundary bénéficient d’un large éventail de services Google Cloud, y compris des services d’IA. Ils peuvent aussi activer des fonctionnalités telles que « Confidential Computing » et « External Key Management (EKM) » avec « Key Access Justifications » afin de contrôler précisément l’accès à leurs données, y compris pour refuser tout accès, quel qu’en soit le motif.
Parallèlement, les clients de Google Workspace peuvent tirer parti des contrôles locaux de Google Cloud Data Boundary pour limiter le traitement de leur contenu aux États-Unis ou à l’Union européenne, choisir le pays de stockage européen de leurs données, et recourir au chiffrement de bout en bout côté client afin d’empêcher tout accès non autorisé — y compris par les gouvernements ou Google lui-même — à leurs contenus les plus sensibles.
Pour aller plus loin, nous renforçons ces dispositifs avec l’annonce de « User Data Shield » (Bouclier des données utilisateur) : cette nouvelle solution, reposant sur les services de Mandiant, valide en continu la sécurité des applications hébergées sur Google Cloud Data Boundary. Cette évaluation en continu réalisée par User Data Shield garantit que les applications respectent bien les postures de contrôle et sécurité définies par les organisations.

Google Cloud Dedicated répond aux impératifs de confiance numérique grâce à un réseau de partenaires indépendants, ancrés localement. À titre d’exemple, Google s’est associé à Thales dès 2021 pour développer une offre de cloud de confiance inédite : Trusted Cloud by S3NS.
Cette offre, conçue avec Thales, propose un large éventail de services Google Cloud sur des infrastructures équipées de GPU pour prendre en charge les workloads liés à l’IA. Elle est entièrement opérée et exploitée par S3NS, une entité française indépendante. Actuellement en préversion, la solution S3NS a été pensée pour répondre aux exigences strictes de sécurité et de résilience opérationnelle fixées par les normes de la qualification française SecNumCloud. “Pour que la France adopte véritablement la souveraineté numérique, il est essentiel d'avoir une solution cloud qui allie l'immense puissance de la technologie d’un hyperscaler aux contrôles de sécurité et opérationnels locaux les plus stricts. S3NS s'engage à fournir aux organisations françaises un accès à des services cloud de pointe, y compris des capacités d'IA critiques, tous exploités en France par un opérateur européen pour respecter et dépasser les normes rigoureuses SecNumCloud,” a déclaré Christophe Salomon, EVP, Systèmes d'Information et Communications Sécurisées, chez Thales. Nous poursuivons par ailleurs le déploiement international de Google Distributed Cloud.

Google Cloud Air-Gapped propose une solution entièrement autonome, déconnectée et physiquement isolée (“air-gapped”) qui ne nécessite aucune connexion à un réseau externe. Cet « îlot numérique » totalement déconnecté a été spécifiquement conçu pour les secteurs de la défense, du renseignement ou tout autre secteur d’activité soumis à des exigences très strictes en matière de sécurité et de résidence des données, comme les services financiers. Cette solution peut être déployée et exploitée, au choix, par Google, par le client ou par un partenaire de Google Cloud.
Elle repose sur des composants open source et offre déjà un portefeuille de services d’IA, de bases de données et d’infrastructure. Son approche ouverte garantit une exceptionnelle résilience, assurant la pérennité opérationnelle des activités critiques, même en cas de perturbations majeures.
En 2024, Google Cloud Air-Gapped a notamment reçu l’agrément pour héberger les données classifiées de niveau “Top Secret” et “Secret” du gouvernement américain.

Contrôle local. Sécurité mondiale.

Sécurité et confiance sont les deux faces d’une même pièce. Quand données et opérations restent sous contrôle local, la confiance se renforce. Mais cette dernière peut disparaître dès qu’une infrastructure datée ou préexistante laisse la porte ouverte à la perte ou au vol des données.

Selon notre équipe Google Threat Intelligence et notre CISO dédié à Google Cloud, le paysage mondial des cybermenaces ne fait que se complexifier, les acteurs malveillants exploitent désormais des outils et des techniques fondés sur l’IA pour s’attaquer aux applications, plateformes et infrastructures obsolètes.

Google Cloud conjugue donc confiance et sécurité de pointe en s’appuyant à la fois sur une rigoureuse approche « secure by design » et sur le savoir-faire des équipes Google Threat Intelligence Group et Mandiant Consulting, présentes sur tous les fronts de la cyber et liées par des partenariats de confiance avec plus de 80 gouvernements dans le monde.

De plus, Google Cloud CyberShield procure une cyberdéfense assistée par l’IA et fondée sur les meilleurs renseignements, afin d’aider les gouvernements à se protéger plus efficacement contre les menaces. Parallèlement, les services Mandiant Managed Defense permettent aux organisations du monde entier de renforcer leurs équipes internes en s’appuyant simplement sur les experts sécurité de Google.

En définitive, les solutions mondiales Google Sovereign Cloud permettent aux organisations de bénéficier des fondations sécurisées de Google Cloud, tout en profitant de fonctionnalités de sécurité avancées telles que le Confidential Computing, le Zero Trust, la cryptographie post-quantique et les défenses IA intégrées, plus rapidement et à moindre coût qu’en les développant en interne.

La confiance numérique pour tous

Nous restons pleinement engagés à offrir à nos clients un environnement fondé sur la confiance et le contrôle, afin d’aider les organisations du monde entier à aborder avec sérénité les enjeux complexes de la confiance numérique. Nous poursuivons notre collaboration avec nos clients, nos partenaires et les décideurs publics pour faire évoluer nos offres « Sovereign Cloud » et proposer des technologies toujours mieux adaptées à leurs besoins.

Pour en savoir plus sur nos initiatives de confiance dans le cloud, consultez notre page web ou contactez votre gestionnaire de compte.

Comment les clients européens bénéficient de la liberté de choix de Google Sovereign Cloud

Fri, 11 Oct 2024 06:00:00 +0000

La liberté de choix est au cœur de l'ADN de Google. Cette philosophie guide notre approche de la création et de la mise à disposition de nos technologies. Dans le contexte actuel, cette liberté de choix est d’autant plus essentielle que les entreprises doivent sans cesse s’adapter aux évolutions des exigences de souveraineté numérique et de conformité tout en accélérant et en optimisant leur transition vers le cloud.

C'est là qu’entre en jeu Google Sovereign Cloud. Notre large éventail de solutions de confiance permet aux organisations d'adopter les contrôles locaux adaptés à chaque workload et ainsi de répondre à leurs besoins de conformité et aux exigences réglementaires. Et ce, tout en prenant en compte des facteurs spécifiques, tels que les réglementations régionales et sectorielles, le choix de l'infrastructure (cloud public ou distribué), les fonctionnalités, les coûts, la cohérence de l'infrastructure et l'expérience des développeurs.

Google investit massivement dans l'amélioration de la sécurité : nos solutions sont sécurisées « by design » et par défaut. Pour en savoir plus et découvrir des exemples concrets, n’hésitez pas à consulter l'analyse approfondie réalisée par notre experte en cloud réglementé et de confiance, Archana Ramamoorthy.

Tara Brady, President, Google Cloud EMEA

Depuis le lancement de notre initiative « Le Cloud. Aux critères de l'Europe » il y a près de trois ans, notre collaboration avec nos clients, avec nos partenaires locaux spécialisés dans la souveraineté et le cloud de confiance, avec les gouvernements et les autorités de régulation, n'a cessé de s'intensifier. Nous avons noué des partenariats stratégiques en Allemagne, en France, en Espagne, en Italie et au Luxembourg. Nous sommes également présents dans de nombreuses entités locales au sein de l'Union Européenne, notamment dans le cadre de Google Cloud EMEA, afin de servir une grande partie de l'Union européenne, sans oublier notre toute dernière division, « Google Cloud Public Sector Deutschland ».

Toutes ces initiatives ont été conçues pour offrir aux organisations européennes les outils, contrôles et ressources spécifiques dont elles ont besoin pour accélérer leur transformation numérique, répondre aux exigences du secteur public et disposer de solutions robustes pour leurs workloads critiques et leurs données sensibles.

Bien sûr, nous continuons aussi à développer de nouvelles fonctionnalités de confiance afin de permettre aux entreprises de gérer de nouveaux cas d’usages sensibles - tels que l’application des contrôles locaux aux workloads IA - tout en respectant leurs contraintes en termes de risques et d’obligations réglementaires.

Collaborations récentes et cas d’usages

Le centre médical universitaire de Schleswig-Holstein (UKSH) est le deuxième plus grand hôpital universitaire d'Allemagne, desservant plus d'un demi-million de patients par an. L'UKSH se réjouit de pouvoir utiliser les « Sovereign Controls » gérés par notre partenaire T-Systems pour l'aider à répondre aux strictes exigences allemandes en matière de sécurité, de protection et de localisation des données. Grâce à notre solution innovante de gestion des clés externes (EKM), les clés utilisées pour chiffrer les données des patients seront conservées dans les datacenters allemands de T-Systems, en dehors de l'infrastructure de Google Cloud. Outre la gestion des clés de chiffrement, T-Systems assure également la formation du personnel, la mise en œuvre des services et la structuration des données transférées à partir de nombreux systèmes de la clinique.

MeinAuto, leader de la vente automobile en ligne, propose à ses clients un parcours entièrement digitalisé. L'entreprise a opté pour un hébergement de sa plateforme sur Google Sovereign Cloud afin d'accélérer sa transformation numérique tout en renforçant la protection des données personnelles de ses clients. En exploitant les « Sovereign Controls by T-Systems », MeinAuto révolutionne l'expérience client dans l'automobile, sans faire de compromis sur le respect des exigences en matière de protection des données.

Disponibilité de nouveaux contrôles souverains fournis par des partenaires

Face à la demande croissante d’organisations qui, comme UKSH et MeinAuto, cherchent des partenaires locaux de confiance, capables d'offrir une supervision et des garanties supplémentaires pour leurs opérations dans le cloud, nous sommes ravis d’annoncer le lancement officiel des Sovereign Controls fournis par SIA/Minsait en Espagne.
« Grâce à ses fonctionnalités, les organisations disposeront à la fois d’un contrôle final sur le chiffrement des données et d’une plus grande autonomie » explique Roberto Espina, CEO de SIA. « Cette collaboration entre Minsait et Google Cloud permettra aux clients de tirer pleinement parti des avantages inhérents au cloud public. Ils pourront ainsi renforcer leur compétitivité grâce aux mesures de protection des données les plus avancées, en parfaite adéquation avec leurs besoins organisationnels et réglementaires ».

Avec l’offre de SIA/Minsait, Google Cloud enrichit ainsi son offre « Sovereign Controls » gérés par des partenaires, laquelle compte déjà les « Sovereign Controls by T-Systems » en Allemagne ainsi que les Contrôles locaux de S3NS en France sans oublier l’offre « Sovereign Controls by PSN » en Italie encore en preview.

Contrôles régionaux étendus sans frais supplémentaires

Les contrôles logiciels avancés sur l'infrastructure du cloud public sont au cœur des solutions Google Sovereign Cloud. Nos « Contrôles Régionaux » donnent ainsi aux entreprises les moyens de gérer efficacement la localisation de leurs données client, de renforcer la transparence et l’approbation des accès administrateur, d’interdire l'usage de services non conformes et de détecter toute violation de conformité sur les environnements contrôlés. Ils permettent aussi, si les entreprises le souhaitent, de mettre en œuvre un chiffrement géré par le client.

Le nouveau pack de « Contrôles Régionaux », disponible sans coût additionnel, est actuellement en mode « preview » dans 32 régions cloud, réparties sur 14 pays dont la Belgique, la Finlande, la France, l'Allemagne, l'Italie, les Pays-Bas, la Pologne, l'Espagne, la Suisse et le Royaume-Uni.

L'application de tels contrôles sur l’offre Google Cloud permet à nos clients de répondre à un certain nombre d’ exigences en matière de maîtrise et de contrôle de leurs données, tout en bénéficiant de la force d’innovation qui nous caractérise ainsi que de l’élasticité et de la flexibilité de nos services. C’est d’autant plus important à l’heure de l’IA générative, ces nouvelles applications nécessitant du matériel spécialisé : les clients peuvent exploiter sans entrave notre infrastructure IA, intégrée à notre cloud public mondial.

Répondre aux exigences actuelles et futures en France

Google Cloud a inauguré sa région cloud française en 2022. Notre collaboration avec S3NS, filiale de Thales, a pour objectif de créer une offre de cloud de confiance en France. Depuis janvier 2023, S3NS propose les Contrôles locaux, une offre garantissant la localisation des données en France, la gestion des clés de chiffrement hors de l'infrastructure Google, ainsi qu'une supervision opérationnelle renforcée. Ces solutions ont déjà permis à de nombreuses organisations françaises d'accélérer leur transition vers le cloud.

L'ambition de S3NS a toujours été d'obtenir le label SecNumCloud, certification exigée par le gouvernement français pour pouvoir accueillir les « Opérateurs d'Importance Vitale » conformément à la stratégie de la France en matière de cloud. S3NS a d’ailleurs récemment annoncé son intention d'entamer la procédure de certification SecNumCloud à l’été 2024, avec pour objectif d'accueillir les premiers utilisateurs de son offre cloud de confiance d'ici la fin de l'année.

Favoriser l’utilisation de l’IA partout avec Google Distributed Cloud

Google Distributed Cloud (GDC) offre aux clients des solutions Google Sovereign Cloud une solution matérielle et logicielle entièrement managée. Elle peut fonctionner soit connectée aux systèmes de Google Cloud, soit en mode "air gap" totalement déconnecté). Ainsi, les organisations peuvent exploiter la puissance des services IA de Google directement dans leur propre datacenter ou délocalisé en périphérie.

Orange, opérateur de services numériques et de communication dans 26 pays, cherchait à déployer ses solutions IA dans toutes ses zones d'activité. L'entreprise avait besoin d'une solution sécurisée pour améliorer ses services cloud au niveau local, tout en respectant les réglementations spécifiques en matière de sécurité et de localisation des données. Google Cloud a collaboré étroitement avec Orange, dès la phase de conception, afin de co-designer son déploiement GDC. Cette collaboration a permis à Orange de créer un cloud local offrant une résilience optimale, y compris en environnements complexes, tout en optimisant les performances et en réduisant la latence pour les workloads critiques.

Lors de la dernière édition de Google Cloud Next, nous avons annoncé de nombreuses améliorations pour GDC, dont l’avènement de fournisseurs GDC managés. Ces partenaires commercialisent GDC comme un service managé, accompagné de prestations d'exploitation, de conception, de migration et de déploiement. Des acteurs tels que Clarence, T-Systems et WWT proposent déjà des solutions de confiance basées sur du GDC managé.

Franchissez le cap!

Security-by-design, innovation technologique rapide, vaste choix de contrôles permettant d'équilibrer sécurité, maîtrise et risque… nos clients ne cessent de profiter des atouts des solutions Google Sovereign Cloud.

Pour découvrir comment ce dernier peut aussi vous aider à répondre aux exigences de confiance numérique et de conformité, rejoignez-nous lors d'un prochain événement EMEA Cloud Summit Series près de chez vous. Vous pouvez également utiliser gratuitement notre outil en ligne Digital Sovereignty Explorer afin d’obtenir un rapport personnalisé des solutions cloud de confiance adaptées à votre situation, accompagné de ressources complémentaires et de recommandations.

IA générative : 10 conseils pour stimuler la gouvernance de vos projets IA

Tue, 10 Sep 2024 06:00:00 +0000

Vous avez certainement déjà entendu cette histoire : une multinationale, qui pourrait tout aussi bien être une simple organisation soumise à une réglementation complexe, voulait enrichir son portefeuille d’outils technologiques avec l’IA. Elle lance un projet pilote pour vérifier la faisabilité, sans trop savoir par où commencer. Mais, par nature, l’IA suppose une étude sur mesure qui - couplée à l’incertitude réglementaire qu’elle engendre - ralentit considérablement le processus jusqu’à la rendre inefficace. Résultat, l’organisation finit par reporter l’utilisation de l’IA à… une date ultérieure.

Le problème, c'est que le futur, c'est maintenant. Et la concurrence n’attendra pas. Dès lors, il est essentiel que les organisations s’approprient l’IA pour atteindre leurs objectifs - au lieu de remettre le problème à plus tard.

Un article sur le bon équilibre entre gouvernance des données et développement technologique soulignait que la question est désormais « cruciale » et « urgente ».

« Les dirigeants d'aujourd'hui ont très envie d'adopter les technologies d'IA générative. Reste à savoir quoi faire avec et comment assurer la gestion des risques et la gouvernance des modèles IA », explique-t-il. « D’autant plus que l’utilisation de l’IA dans le cadre d’une entreprise engendre potentiellement des risques en matière de précision, de confidentialité, de sécurité, de conformité réglementaire et de violation de la propriété intellectuelle ».

Comme pour d’autres innovations dans le domaine du numérique, la création d’une structure « programmatique » et reproductible peut apporter de la cohérence dans la démarche d’évaluation des cas d’usage de l’IA. Elle permet également d’opérer une supervision complète du processus qui prend en compte les différentes facettes d’une mise en œuvre sûre et conforme.

L'IA peut aider à relever de nombreux défis : pénibilité du travail, déferlement de menaces ou encore pénurie des talents. L'alignement sur les objectifs, la définition des rôles et des responsabilités, ainsi que l’élaboration de procédures pour résoudre les problèmes de manière hiérarchisée sont essentiels pour assurer la viabilité du projet et sa réussite. Dès lors, il convient de commencer tout projet par la mise en place d’une structure de gouvernance dont le rôle doit être clairement défini et aligné sur la stratégie globale de l’entreprise en matière d’IA.

Afin d’aider les organisations à relever ces différents défis, nous avons défini 10 meilleures pratiques pour fluidifier et simplifier la mise en œuvre de l'IA à grande échelle.

Identifier les principales parties prenantes dans diverses disciplines, de sorte qu’elles puissent apporter leurs expertises respectives dans l'évaluation des initiatives d'IA. D’une entreprise à l’autre, les titres peuvent varier mais globalement, les représentants des fonctions suivantes doivent être représentés : infrastructure informatique, sécurité de l'information, sécurité des applications, risque, conformité, confidentialité, juridique, data science, gouvernance des données et équipes chargées de la gestion des risques tiers.
Définir les principes directeurs de votre organisation en matière d'IA afin de formuler les exigences et les attentes fondamentales et de déterminer les cas d’usage qui sont clairement hors cadre. Les principes directeurs doivent être souples et ne pas être trop prescriptifs ; ils doivent refléter les engagements auxquels l'organisation ne dérogera pas, comme la protection de la vie privée des clients ou le contrôle par un humain des décisions générées par l'IA dans certains cas. À titre d’exemple, vous pouvez consulter les principes de Google en matière d’IA responsable.
Utilisez un framework tel que le Secure AI Framework (SAIF) de Google pour une approche sûre et cohérente de l’IA. Il convient toutefois d’éviter les pièges des frameworks de sécurité : un framework n’est qu’un outil et le fait de l’utiliser ne signifie pas forcément que l’objectif est atteint. Envisagez plutôt un framework, tel que SAIF, comme un moyen pratique pour aborder la mise en œuvre de l'IA et s'assurer que les multiples facettes du projet sont bien toutes prises en compte. Typiquement, il convient d’intégrer l’inventaire des outils IA dans les processus de gestion des changements technologiques pour garantir que les déploiements d’IA sont à jour. De la même façon, les déploiements d’IA doivent être inclus dans les exercices de gestion des menaces, en considérant les nouveaux types d’attaques auxquels les outils d’IA peuvent être exposés.
Documenter et mettre en œuvre des politiques et des procédures pertinentes pour la conception, le développement, le déploiement et l'exploitation de l'IA. La propriété de ces ressources varie généralement d'une équipe à l'autre. Une surveillance efficace de la gouvernance de l'IA nécessite un effort concerté pour maintenir l'exactitude, l'exhaustivité et l'alignement.
Formuler les cas d’usage en fonction de la stratégie de l'organisation et de son appétence pour le risque. Classez-les par ordre de priorité business et par niveau de risque, en adaptant les contrôles de sécurité et de protection des données en conséquence.
Intéressez-vous au programme de gouvernance des données de votre organisation, car les modèles IA supposent généralement des données de haute qualité, correctement sourcées, nettoyées et normalisées. Une sélection minutieuse du jeu de données et l’optimisation du modèle IA à vos besoins spécifiques peuvent également contribuer à minimiser le potentiel d'hallucinations et les risques d’injection d’éléments indésirables dans les prompts.
Travaillez en collaboration étroite avec les équipes Conformité, Risque et Juridique. La réglementation en matière d’IA évolue rapidement. Pour préserver la conformité de son organisation et enrichir le processus de gouvernance global, il est impératif de s’aligner en permanence sur les exigences réglementaires.
Définir des niveaux d’escalade, de sorte à disposer d’un processus de résolution clair et évident lorsqu’un problème surgit. Si certaines organisations préfèrent adresser leurs questions internes au service juridique, conformité ou sécurité des informations, d'autres préféreront confier la prise de décision à un comité désigné à cet effet.
Prévoir des mécanismes pour assurer la visibilité de l'état d'avancement de chaque initiative IA, tant pour les parties prenantes internes (direction générale, conseil d'administration) qu'externes, dont notamment les organismes de réglementation concernés.
Mettre en place un programme de formation dédié à l'IA afin d'aider l'ensemble de l'organisation à appréhender les concepts clés et les défis potentiels liés à l'IA. Une approche modulaire et ciblée, avec un contenu adapté au personnel en fonction de son rôle, peut également être utile pour favoriser le développement des compétences et sensibiliser aux pratiques à risque, telle que la Shadow IA.

Bien commencer avec l’IA générative

Commencez par identifier votre champion IA. Chargé de lancer le sujet au sein de l’entreprise, il doit occuper un poste de manager et avoir suffisamment de visibilité sur la stratégie de l'organisation en matière d'IA. Il devra développer une approche collaborative, indispensable pour rassembler toutes les parties prenantes de différentes disciplines, et communiquer sur les cas d’usage ainsi que sur la façon dont son organisation devra se mettre en ordre de marche pour atteindre les objectifs qu’elle se fixe. Notre série de cours en ligne Google Cloud Generative AI Skills Boost peut vous aider dans votre démarche, car elle propose une approche par la pratique avec des cas concrets.

Pour plus d'informations sur la sécurisation de l'IA, consultez nos documents « Securing AI: Similar or Different » et « Google Cloud’s Approach to Trust in AI ».

Retour sur les attaques DDoS record de type HTTP/2 « Rapid Reset »

Fri, 09 Feb 2024 07:00:00 +0000

Comme nous l’évoquions dans un récent post Blog, un certain nombre de services et de clients Google Cloud ont été ciblés par de nouvelles attaques DDoS massives basées sur le protocole HTTP/2. Des attaques qui ont atteint leur paroxysme en août en surpassant les 398 millions de requêtes par seconde, un nouveau record. Ces attaques sont très significativement plus massives que toutes les précédentes attaques impactant la couche 7 du modèle OSI.

Ces attaques ont, pour l’essentiel, été directement bloquées à la périphérie même par notre infrastructure mondiale d'équilibrage de charge et n'ont pas entraîné de pannes.
Bien que l'impact sur nos services et clients ait été minime, la DDoS Response Team (l'équipe de réponse DDoS) de Google a été mobilisée, examinant les attaques et ajoutant des protections supplémentaires afin d'atténuer davantage encore les attaques similaires. Outre cette réponse interne de Google, nous avons également activement contribué à mener un processus de divulgation coordonné avec les partenaires de l'industrie pour traiter le nouveau vecteur HTTP/2 – utilisé par ces attaques – dans l'ensemble de l'écosystème cloud et IT.

Ces nouvelles vagues DDoS sont une opportunité de revenir dans cet article sur les méthodologies des « attaques sur la couche 7 », employées par les cyberattaquants ces dernières années. Nous allons ici expliquer ce qui différencie cette nouvelle vague et la rend bien plus importante. Nous allons aussi revenir sur les stratégies d’atténuation que nous croyons les plus efficaces pour lutter contre ce type de menaces.

Pour cela, nous adopterons ici essentiellement le point de vue d’une architecture de proxy inverse, où la requête est bloquée par un proxy inverse qui transmet en temps normal les requêtes vers d’autres services. Les mêmes concepts s’appliquent cependant aux serveurs HTTP intégrés aux serveurs d’applications avec des considérations un peu différentes qui peuvent conduire à des stratégies d’atténuation différentes.

Des attaques DDoS sur HTTP/2

Depuis fin 2021, la majorité des attaques DDoS sur la couche 7 - menées contre les services Google et projets Google Cloud protégés par Cloud Armor - s’appuient sur HTTP/2. C’est vrai à la fois en termes de nombre d'attaques que de pics atteints par le volume de requêtes !

L'un des principaux objectifs du protocole HTTP/2 était l'efficacité. Malheureusement, les fonctionnalités qui rendent HTTP/2 plus efficaces pour les usages légitimes peuvent également être utilisées pour rendre les attaques DDoS plus dangereuses.

Le multiplexage de flux

HTTP/2 utilise des « streams » (des « flux » en bon Français). Ce sont des abstractions bidirectionnelles utilisées pour transmettre divers messages, ou « frames » (des « trames » en Français), entre les points d'extrémité.
Le « multiplexage des flux » est la principale caractéristique de HTTP/2. C’est essentiellement elle qui procure une bien meilleure utilisation de la bande passante de chaque connexion TCP. Les flux sont multiplexés de manière à pouvoir être simultanément suivis par les deux côtés de la liaison tout en n'utilisant qu'une seule connexion « Layer 4 » (couche 4 du modèle OSI). Le multiplexage des flux permet aux clients d'avoir plusieurs requêtes « en vol » (en cours de transfert) sans avoir à gérer plusieurs connexions HTTP individuelles.

Dans le protocole HTTP/1.1, chaque demande est traitée en série (l’une après l’autre). Le serveur lit une demande, la traite, écrit une réponse, puis lit et traite la demande suivante. En pratique, cela signifie que le taux de requêtes pouvant être envoyées sur une seule connexion est d'une requête par aller-retour. Le temps de cet aller-retour dépend notamment de la latence du réseau, du temps de traitement du proxy et du temps de traitement de la requête par le backend. Bien que le pipelining HTTP/1.1 soit disponible dans certains clients et serveurs pour augmenter le débit d'une connexion, il est peu répandu.

À l’inverse, en HTTP/2, chaque client peut ouvrir plusieurs flux simultanément, chaque flux représentant une requête HTTP. Le nombre maximal de flux ouverts simultanément est, en théorie, contrôlable par le serveur, mais dans la pratique, les clients peuvent ouvrir 100 flux par demande et les serveurs traitent ces demandes en parallèle. Il est important de noter que les limites du serveur ne peuvent pas être ajustées unilatéralement, ce qui explique cette pratique généralisée de 100 flux max par demande.

En pratique, un client peut donc ouvrir 100 flux simultanément et envoyer une requête sur chacun d’eux d’un seul coup (plus exactement en un seul « aller-retour). Chaque requête n’est pas directement reçue par le serveur mais par un Proxy (un intermédiaire qui traite les demandes et les redirige vers un serveur disponible). Ce dernier lit et traite chaque flux en série mais les requêtes ensuite redirigées vers les serveurs dorsaux sont à nouveau parallélisées. Au fur et à mesure qu’il reçoit des réponses à ses demandes, le client peut alors ouvrir de nouveaux flux. Cela donne un débit effectif pour une seule connexion de 100 demandes par tour (par aller-retour), avec des temps d’échange similaires à ceux des demandes HTTP/1.1. Dit autrement, chaque connexion TCP est presque 100 fois plus dense (100 fois mieux utilisée).

L'une des principales contraintes lors de l'organisation d'une attaque DDoS sur la couche 7 est le nombre de connexions de transport simultanées. Chaque connexion a un coût, notamment en matière de mémoire allouée au système d'exploitation pour les enregistrements et les tampons des sockets mais aussi de temps CPU pour la « poignée de main TLS » (ou handshake TLS, processus de démarrage de toute session de communication chiffrée TLS). De plus, chaque connexion nécessite un « quatre tuples » unique, c’est-à-dire une paire d’adresses IP et de ports pour chaque côté de la connexion, ce qui limite le nombre de connexions simultanées possibles entre deux adresses IP.

L’attaque « HTTP/2 Rapid Reset »

Ces bases acquises, entrons maintenant un peu plus dans le vif du sujet et le fonctionnement des nouvelles attaques DDoS s’appuyant sur le protocole HTTP/2. Ce dernier permet aux clients d'indiquer au serveur qu'un flux précédent doit être annulé en envoyant une trame RST_STREAM. Le protocole n'exige pas que le client et le serveur coordonnent l'annulation de quelque manière que ce soit, le client peut le faire unilatéralement. Le client peut également supposer que l'annulation prendra effet immédiatement lorsque le serveur recevra la trame RST_STREAM, avant que toute autre donnée de cette connexion TCP ne soit traitée.

La nouvelle attaque en vogue est appelée « Rapid Reset » (réinitialisation rapide) parce qu'elle repose sur la capacité d'un point d'extrémité (un client) à envoyer une trame RST_STREAM immédiatement après avoir envoyé une trame de demande. L'autre point d'extrémité (le serveur) commence dès lors à travailler avant d’être contraint de réinitialiser rapidement la demande. Bien que la requête soit effectivement annulée, la connexion HTTP/2 reste néanmoins ouverte. Dès lors, en envoyant un tel signal, une telle trame, le client récupère immédiatement la possibilité d’ouvrir un nouveau flux sur la même connexion.

Comparaison visuelle des flux de requêtes et réponses entre HTTP/1.1 et HTTP/2

L'attaque HTTP/2 Rapid Reset qui exploite ce potentiel est simple : Le client ouvre un grand nombre de flux en même temps comme dans une attaque HTTP/2 standard, mais au lieu d'attendre une réponse du serveur ou du proxy à chaque flux de demande, il annule immédiatement chaque demande.

Cette possibilité de réinitialiser immédiatement les flux permet au final à chaque connexion d'avoir un nombre indéfini de demandes en cours. En annulant explicitement les demandes, l'attaquant ne dépasse jamais la limite des 100 flux ouverts simultanés. Le nombre de requêtes « en vol » (en cours de transfert) ne dépend donc plus du temps d'aller-retour (RTT) puisque le client n’attend aucun retour, mais uniquement de la largeur de bande passante disponible sur le réseau.

Le problème, c’est que dans une implémentation classique de HTTP/2 côté serveur, le serveur demeure contraint de réaliser un travail significatif pour chaque requête bien qu’elles aient été annulées côté client : allouer de nouvelles structures de données pour chaque flux, analyser la requête de départ, décompresser l’entête, mapper l’URL à une ressource, etc. Dans bien des implémentations de Proxy inversé (Reverse Proxy), la demande se retrouve transmise au serveur final avant que la trame RST_STREAM ne soit traitée.
Comme du côté client, l’envoi de demandes ne coûte presque rien (en termes de ressources), il en résulte une asymétrie des « coûts de ressources » qui peut être exploitée pour mener une attaque DDoS.

D’autant que le client dispose d’un autre avantage sur l’infrastructure serveur : l'annulation explicite des demandes immédiatement après leur création implique que le Reverse Proxy n'enverra aucune réponse à ses demandes. L'annulation des demandes avant qu'une réponse ne soit écrite réduit la bande passante de la liaison descendante (du serveur/proxy à l'attaquant). Les attaques peuvent donc être menées aisément depuis une multitude de clients disposant d’une faible bande passante.

Variantes de l'attaque HTTP/2 Rapid Reset

Dans les semaines qui ont suivi les premières vagues DDoS cet été, nous avons vu apparaître quelques variantes d'attaques Rapid Reset. Ces variantes ne sont généralement pas aussi efficaces que la version initiale, mais peuvent néanmoins être plus efficaces que les attaques DDoS HTTP/2 standard.

La première variante n'annule pas immédiatement les flux, mais ouvre un lot de flux à la fois, attend un certain temps, puis annule ces flux et ouvre immédiatement un autre lot important de nouveaux flux. Cette attaque permet de contourner les mesures d'atténuation uniquement basées sur le taux de trames RST_STREAM entrantes (comme autoriser un maximum de 100 RST_STREAM par seconde sur une connexion avant de la fermer). Une défense souvent rapidement mise en place après les premières attaques.

Parce qu’elles ne maximisent pas l’utilisation de la connexion, cette variante de l’attaque Rapid Reset perd le principal atout des attaques par annulation rapide mais se révèle néanmoins plus efficace que les attaques HTTP/2 classiques. Cette variante signifie toutefois que toute mesure d'atténuation basée sur la limitation du débit des annulations de flux doit fixer des limites assez strictes pour être efficace.

La seconde variante se passe complètement du mécanisme d'annulation des flux, et tente plutôt de manière optimiste d'ouvrir plus de flux simultanés que ce que le serveur a signalé pouvoir gérer. L'avantage de cette approche par rapport à l'attaque DDoS HTTP/2 standard est que le client peut garder le pipeline de requêtes plein à tout moment. Dit autrement, il y a toujours un grand nombre de requêtes en attente d’être traitées par le serveur. Cela permet d’éliminer le délai d’aller-retour RTT entre le client et le proxy et d’éviter qu’il ne devienne un goulot d'étranglement à même de limiter la portée de l’attaque. Si la requête concerne une ressource à laquelle le serveur HTTP/2 peut répondre immédiatement, cette variante permet également d’éliminer le RTT entre le proxy et le serveur et donc d’éviter que ce lien ne devienne lui-même un goulot d’étranglement qui ralentirait l’attaque.

La spécification RFC 9113, qui standardise l’implémentation actuelle de HTTP/2, suggère qu'une tentative d'ouverture d'un trop grand nombre de flux n'invalide que les flux qui ont dépassé la limite, et non l'ensemble de la connexion. Nous pensons que la plupart des serveurs HTTP/2 suivent cette spécification à la lettre en se contentant de ne pas traiter les flux supplémentaires et de garder la connexion active. L’attaquant peut alors continuer à ouvrir de nouveaux streams à mesure que les anciens sont traités et fermés par le serveur. Ce qui permet à cette attaque variante de rester active en vue de surcharger le serveur.

Une approche multidimensionnelle des mesures d'atténuation

Selon nous, le simple blocage des requêtes individuelles n’est pas une mesure d'atténuation viable sur le long terme contre cette catégorie d'attaques. A contrario, nous pensons que toute la connexion TCP dans son ensemble doit être clôturée lorsqu'un abus est détecté.
HTTP/2 fournit un support intégré pour la fermeture des connexions, en utilisant le type de trame GOAWAY. Le RFC définit un processus de fermeture d'une connexion élégant qui implique d'abord l'envoi d'un GOAWAY informatif qui ne fixe pas de limite à l'ouverture de nouveaux flux, et un aller-retour plus tard, l'envoi d'un autre GOAWAY qui, cette fois, interdit l'ouverture de flux supplémentaires.

Malheureusement, cette fermeture en douceur des connexions par GOAWAY n’a pas été pensée pour contrer des attaques et n’est pas mise en œuvre de sorte à résister à des clients malveillants. Cette forme d'atténuation par GOAWAY laisse la connexion vulnérable aux attaques « Rapid Reset » pendant trop longtemps. Elle ne devrait donc pas être utilisée pour construire des mesures d'atténuation car elle n'arrête pas les demandes entrantes. Au lieu de cela, le GOAWAY doit être configuré pour limiter immédiatement la création de nouveaux flux.

Reste la vraie grande question : comment déterminer quelles sont les connexions abusives ? L'annulation des requêtes par le client n'est pas intrinsèquement abusive. La fonctionnalité existe dans le protocole HTTP/2 pour de bonnes raisons et notamment pour aider à mieux gérer le traitement des requêtes. Les situations « légitimes » sont typiquement celles où un navigateur n'a plus besoin d'une ressource qu'il a demandée parce que l'utilisateur a quitté la page, ou les applications utilisant une approche « long polling » (technique qui permet de simuler un mécanisme de Push utilisée lorsqu’un client envoie une requête au serveur mais n’attend pas de réponse immédiate) avec un timeout côté client.

Les mesures d'atténuation pour ce vecteur d'attaque peuvent prendre plusieurs formes, mais elles sont principalement axées sur le suivi des statistiques de connexion et l'utilisation de divers signaux pour déterminer l'utilité de chaque connexion. Par exemple, si une connexion compte plus de 100 demandes dont plus de 50 % sont annulées, elle peut faire l'objet d'une réponse d'atténuation. L'ampleur et le type de réponse dépendent du risque encouru par chaque plateforme, mais les réponses peuvent aller des trames GOAWAY forcées, comme nous l'avons vu précédemment, à la fermeture immédiate de toute la connexion TCP.

Pour atténuer les variantes « sans annulation » de ces attaques HTTP/2, nous recommandons de faire en sorte que les serveurs HTTP/2 ferment systématiquement (ou après un petit nombre de récidives) toute connexion TCP qui cherche à dépasser la limite de flux simultanés.

Et pour les autres protocoles ?

Nous ne pensons pas que ces méthodes d'attaque puissent s'appliquer directement à HTTP/3 (QUIC) en raison des différences de protocole. Par ailleurs, Google ne voit actuellement pas HTTP/3 être utilisé comme vecteur d'attaque DDoS à grande échelle. Malgré cela, nous recommandons aux implémentations de serveurs HTTP/3 de mettre en œuvre de manière proactive des mécanismes visant à limiter la quantité de travail effectuée par une seule connexion de transport, à l'instar des mesures d'atténuation de HTTP/2 évoquées plus haut.

Coordination des efforts

Dès le début de l'enquête de notre DDoS Response Team, en coordination avec les partenaires du secteur de la cybersécurité, il est apparu que ce nouveau type d'attaque pourrait avoir un large impact sur toute entité offrant le protocole HTTP/2 pour ses services. Google a contribué à la mise en place d'un processus coordonné en tirant parti d'un groupe préexistant de divulgation coordonnée des vulnérabilités, qui a été utilisé dans le cadre d'un certain nombre d'autres initiatives par le passé.

Au cours du processus de divulgation, l'équipe s'est attachée à prévenir les grands utilisateurs du protocole HTTP/2, notamment les fournisseurs d’infrastructures et de logiciels de serveur. L'objectif de ces notifications préalables était de développer et de préparer des mesures d'atténuation en vue d'une publication coordonnée. Dans le passé, cette approche a permis de déployer à grande échelle des protections chez tous les fournisseurs de services et d’accélérer la mise à disposition de patchs logiciels pour de nombreuses applications et solutions.

Au cours du processus de divulgation coordonnée, nous avons réservé l’identifiant « CVE-2023-44487 » afin d’agréger et suivre les correctifs apportés aux différentes implémentations du protocole HTTP/2.

Prochaines étapes

Les nouvelles attaques présentées dans cet article peuvent avoir un impact significatif sur les services de toute taille. Tous les fournisseurs de services HTTP/2 devraient donc sans tarder évaluer leur exposition à ce problème. Des correctifs et des mises à jour de logiciels pour les serveurs XEB et les langages de programmation les plus courants sont disponibles dès maintenant ou le seront dans un avenir proche. Nous recommandons d'appliquer ces correctifs dès que possible.

Pour nos clients Google Cloud, nous recommandons d'appliquer les correctifs logiciels dans leurs propres VMs, containers et services et d'activer à la fois les protections « Application Load Balancer » et « Google Cloud Armor », qui protègent depuis longtemps Google et nos utilisateurs existants de Google Cloud Application Load Balancing.

Google a contré l’attaque DDoS la plus importante à ce jour : 398 millions de rps

Mon, 22 Jan 2024 07:00:00 +0000

Cette attaque DDoS gigantesque s’appuyait sur une nouvelle technique : la réinitialisation rapide HTTP/2 en appui sur le multiplexage des flux

Ces dernières années, les attaques par déni de service, aussi appelées attaques DDoS, ont augmenté de façon exponentielle comme l’a constaté l’équipe DDoS Response Team de Google. L’an dernier, cette équipe a déjà dû affronter la plus vaste attaque jamais enregistrée à l’époque. En août, elle a paré une nouvelle attaque record, 7,5 fois plus importante que celle de l’an dernier ! Celle-ci utilisait par ailleurs de nouvelles techniques pour tenter de perturber la disponibilité des sites Web et services internet.

Cette nouvelle série d’attaques DDoS a ainsi atteint un pic record : plus de 398 millions de requêtes par seconde ! Elle s’appuyait sur une nouvelle méthode d’attaque dénommée « HTTP/2 Rapid Reset » reposant sur le multiplexage des flux. Par comparaison, l’attaque record enregistrée l’an dernier culminait à « seulement » 46 millions de requêtes par seconde. Signalons que cette technique a également été exploitée pour attaquer d’autres fournisseurs de services Internet ces dernières semaines.

À titre comparatif, en deux minutes, cette attaque a engendré plus de requêtes que toutes les consultations d'articles effectuées sur Wikipédia durant tout le mois de septembre 2023.

La dernière vague d'attaques a débuté fin août et se poursuit encore aujourd'hui, ciblant les principaux fournisseurs d'infrastructures, et notamment les services Google, l'infrastructure Google Cloud et les infrastructures de nos clients. Bien que ces attaques soient parmi les plus importantes que Google ait connues, notre infrastructure mondiale d'équilibrage de charge et d'atténuation des attaques DDoS a permis à nos services de continuer à fonctionner. Afin de protéger Google, nos clients et le reste de l'internet, nous avons parallèlement activement contribué à mener un effort coordonné avec différents partenaires pour analyser et disséquer les mécanismes de ces attaques et imaginer des mesures d'atténuation adaptées.

D’une manière générale, les attaques DDoS visent essentiellement à perturber le bon fonctionnement des sites Web et services exposés sur Internet en dirigeant des quantités écrasantes de trafic Internet vers les serveurs ciblés afin de les saturer.

De telles attaques peuvent bien évidemment avoir des répercussions considérables sur les organisations qui en sont victimes : pertes d’activité et de revenus, indisponibilité d’applications essentielles, etc. D’autant que le temps nécessaire pour se remettre d’une attaque DDoS peut s’étendre bien au-delà de la fin de l’attaque à proprement dit.

Notre enquête et nos réponses

Nos investigations ont révélé que cette attaque record exploitait une nouvelle technique basée à la fois sur « la réinitialisation rapide » et sur le multiplexage des flux, des fonctionnalités du protocole HTTP/2 largement employé chez les fournisseurs de service internet. Le protocole HTTP/2 permet en effet de multiplexer plusieurs requêtes HTTP sur une seule connexion TCP, ce qui améliore les performances et l’efficacité du Web. Des attaquants ont trouvé un moyen d’exploiter une vulnérabilité de ce protocole en envoyant des requêtes HTTP/2 suivies immédiatement de trames RST_STREAM, qui indiquent au serveur de fermer le flux correspondant. En répétant ce processus sur de nombreux flux et connexions, les attaquants peuvent saturer le serveur, le traitement de chaque requête et réinitialisation consommant des ressources. Il en résulte un déni de service. Ceux intéressés par les détails techniques de telles attaques et l’évolution des attaques sur la couche « Layer 7 » peuvent découvrir notre analyse approfondie sur notre blog Sécurité.

Selon nos observations, la campagne d’attaques s’est poursuivie jusqu’à la fin septembre 2023.

Nous avons pu limiter l'attaque en périphérie même du réseau de Google. Nous avons ainsi pu tirer profit de nos investissements importants dans nos capacités Edge pour garantir que nos services et ceux de nos clients ne soient pas affectés. En outre, au fur et à mesure de nos investigations et de notre compréhension des mécanismes mis en œuvre, nous avons développé un ensemble de mesures d’atténuation et mis à jour nos proxies et systèmes défensifs afin d’optimiser leur efficacité à contrer une telle menace à l’avenir.
Parce que les solutions Application Load Balancer et Cloud Armor de Google Cloud utilisent la même infrastructure matérielle et logicielle que celle sur laquelle Google s’appuie pour ses propres services Internet, les clients de Google Cloud utilisant ces services bénéficient de la même protection pour leurs applications et services Web connectés à Internet.

Coordination et réponse de l'industrie pour CVE-2023-44487

Peu après avoir détecté la première de ces vagues d’attaques en août, Google a appliqué des stratégies d'atténuation supplémentaires et a coordonné une réponse intersectorielle avec d'autres fournisseurs Cloud et éditeurs exploitant la pile HTTP/2. Ensemble, nous avons partagé en temps réel nos informations sur les méthodes utilisées par les cyberattaquants ainsi que sur les techniques d'atténuation alors même que les vagues de cyber-attaques se succédaient.

Cette collaboration cross-industries a débouché sur des correctifs et des techniques d'atténuation utilisées par de nombreux grands fournisseurs d'infrastructures. Cette collaboration a aussi ouvert la voie à la divulgation responsable et coordonnée de cette nouvelle méthode d'attaque et de la vulnérabilité potentielle d'une multitude de proxys, de serveurs d'application et d'équilibreurs de charge commerciaux et open source. Une vulnérabilité collective aujourd’hui répertoriée sous le nom de CVE-2023-44487 et désignée comme une vulnérabilité de gravité élevée avec un score CVSS de 7,5 (sur 10).

Google remercie chaleureusement tous les acteurs du secteur qui ont uni leurs efforts, partagé leurs informations, accéléré le déploiement de correctifs au sein de leurs infrastructures et rapidement fourni ces correctifs à leurs clients.

Qui est susceptible d'être touché et comment réagir ?

Toute entreprise ou personne qui diffuse sur Internet une charge de travail basée sur le protocole HTTP peut être menacée par cette attaque. Les applications Web, les services et les API sur un serveur ou un proxy capable de communiquer à l'aide du protocole HTTP/2 sont potentiellement vulnérables.
Dès lors, les organisations doivent vérifier que les serveurs qu'elles utilisent et qui prennent en charge le protocole HTTP/2 ne sont pas vulnérables. Dans le cas contraire, elles doivent appliquer au plus vite les correctifs de leurs fournisseurs pour la faille CVE-2023-44487 afin de limiter l'impact de ce vecteur d'attaque.
Dit autrement, si vous gérez ou exploitez votre propre serveur compatible HTTP/2 (open source ou commercial), vous devez immédiatement appliquer le correctif de votre fournisseur dès qu’il est disponible.

Prochaines étapes

Il est difficile de se défendre contre des attaques DDoS massives telles que celles décrites ici. Avec ou sans correctifs, les entreprises doivent réaliser des investissements considérables dans l'infrastructure pour maintenir leurs services en activité face à des attaques même d’ampleur plus modeste.
Au lieu d'assumer elles-mêmes ces dépenses, celles qui utilisent les services Google Cloud profitent immédiatement de nos investissements dans la capacité de notre réseau mondial Cross-Cloud pour délivrer et protéger leurs applications.

Les clients de Google Cloud qui exposent leurs services à l'aide de notre Application Load Balancer (mondial ou régional) bénéficient de la protection DDoS permanente de Cloud Armor, qui permet notamment de contrer les attaques exploitant des vulnérabilités telles que CVE-2023-44487.

Même si la protection DDoS permanente de Cloud Armor nous permet d'absorber efficacement la plupart des centaines de millions de requêtes malveillantes par seconde en périphérie du réseau de Google, des millions de requêtes indésirables peuvent encore passer au travers. Pour se protéger contre cette attaque et d'autres attaques sur le Layer 7 (la couche 7 du modèle OSI), nous recommandons en parallèle le déploiement de politiques de sécurité personnalisées Cloud Armor avec des règles de limitation de débit proactives et une protection adaptative alimentée par l'IA afin de détecter, analyser et atténuer le trafic d'attaque de manière plus complète.

Vous pourrez trouver des informations techniques supplémentaires sur cette vague d'attaques DDoS ici, et en savoir plus sur la protection DDoS de Google Cloud Armor ici.

Google Workspace : l’avenir du travail, en toute sécurité

Wed, 20 Sep 2023 08:00:00 +0000

Note de l'éditeur : cet article a été initialement publié sur notre blog Google Workspace.

L’augmentation des cyberattaques au cours de ces derniers mois rend la mise en place de mesures de sécurité adéquates plus critique que jamais. Ces attaques sont de plus en plus sophistiquées et ciblent les organisations de toutes tailles.

Aujourd’hui, les collaborateurs travaillent de n’importe où, à n’importe quel moment, à partir de n'importe quel équipement. Ils se connectent aux données et aux applications de l'entreprise de différents endroits, y compris du domicile ou depuis un Wi-Fi public non sécurisé. Cette évolution vers un travail hybride et distanciel engendre de nouvelles exigences. Résultat, le service informatique doit sécuriser de nombreux appareils et points d’accès sans perturber la productivité des collaborateurs.

Essentielle à la réussite de l’entreprise, la cybersécurité est souvent perçue comme un fardeau par les collaborateurs et l’IT. 37% des responsables informatiques et des utilisateurs estiment que les politiques de sécurité et de conformité constituent le principal obstacle à une expérience collaborateur fluide et efficace. Elles sont également très chronophages : près de la moitié des professionnels de l'informatique déclarent consacrer cinq à huit heures par jour à la sécurité, contre 35 % en 2019.

L’une des principales sources du problème provient du fait que les entreprises continuent à utiliser des solutions traditionnelles sur site, avec des données et des documents partagés qui sont conservés sur les équipements locaux. Cette approche rend les employés et les entreprises plus vulnérables à la sophistication des attaques modernes.

Chez Google Workspace, nous sommes convaincus que les entreprises qui adoptent des outils basés dans le cloud, avec leurs contrôles de sécurité intégrés, peuvent fournir une protection fiable et efficace, à la hauteur des besoins des collaborateurs et de l’IT. Bien gérée, cette sécurité peut même s’opérer de manière invisible pour les collaborateurs et être facile à administrer côté IT, permettant ainsi à chacun de consacrer plus de temps aux tâches apportant de la réelle valeur ajoutée à l’entreprise.

Contrôles de sécurité embarqués pour une collaboration plus fluide

Trouver le bon équilibre entre flexibilité et sécurité n’est pas toujours facile avec des solutions traditionnelles sur site. Prenons l’exemple d’un scénario classique de collaboration sur site :

Le collaborateur crée un document sur le disque dur de son équipement
Il l’ajoute ensuite sous forme de pièce jointe à un courriel et l’envoie à trois collègues
Les trois collègues ouvrent le courriel et téléchargent le document sur leur appareil
Chaque collaborateur apporte des modifications au document original en local
Les trois collaborateurs répondent ensuite par courriel au créateur du document en joignant leur version révisée
Le créateur du document réceptionne ces trois versions révisées et les télécharge sur le disque dur de son appareil.

Dans ce modèle, de nombreuses versions du document sont stockées en local sur quatre appareils distincts, ce qui démultiplie les risques de sécurité. Afin de protéger les données distribuées et stockées sur différents disques durs, le service informatique doit non seulement configurer les protections et les contrôles installés sur les nombreux équipements utilisés par les collaborateurs mais également s’assurer que les logiciels de sécurité de chaque poste sont régulièrement mis à jour et correctement configurés.

Fort heureusement, il existe de bien meilleures approches que ce modèle traditionnel sur site.

Exclusivement conçu pour le cloud, Google Workplace a été pensé pour le travail hybride et en distanciel. Il embarque nativement des fonctionnalités permettant de détecter les menaces et de protéger les contenus. Et les données sensibles ne voguent plus allègrement dans les pièces jointes ou entre différentes solutions de stockage.
Lorsque les données sont consolidées et stockées dans le cloud, plutôt que dispersées sur des appareils individuels, les collaborateurs peuvent facilement y accéder, où qu'ils se trouvent.
Côté IT, un unique ensemble de règles permet de sécuriser l’ensemble des données… Tout le monde peut ainsi travailler plus efficacement et en toute sécurité.

Contrairement au scénario sur site décrit ci-dessus, l’employé qui crée un document Google Doc, Sheet ou Slides se contente d’accorder un droit d’accès et de modification à ses collègues. Il envoie un lien vers le document, sans avoir à transférer le fichier lui-même. Lorsque les personnes collaborent sur ce document partagé, celui-ci reste sécurisé dans le cloud grâce aux protections intégrées qui interdisent l’accès aux utilisateurs non autorisés et qui alertent le collaborateur sur les contenus sensibles avant même le partage.
Afin d’anticiper les activités suspectes et les risques cyber, l’IT dispose d’un contrôle granulaire et centralisé des partages internes et externes, donnant aux administrateurs plus de visibilité et de flexibilité pour établir les limites de la collaboration sans avoir à intervenir sur les appareils de chaque employé.

Google Workspace est une solution de collaboration basée dans le cloud avec une approche sécurisée dès sa conception (secure by design). Notre objectif est de proposer une solution gagnant-gagnant pour l’IT et les collaborateurs.
D’un côté, la centralisation du contrôle aide l’IT à simplifier et à rationaliser les flux de travail tout en réduisant les besoins d’intervention manuelle.
De l’autre, les collaborateurs peuvent travailler et collaborer en toute sécurité, sans être surchargés dans leur quotidien par des tâches annexes (comme la mise à jour de logiciels) ou des décisions à prendre sur le caractère malveillant (ou non) d’une pièce jointe.

Adopter un modèle de confiance zéro : s'assurer que les bonnes personnes ont accès aux bonnes informations

Les utilisateurs constituent la principale source de vulnérabilités et la première cible visée par les acteurs malveillants pour franchir les barrières de l’entreprise. En effet, dans 82% des brèches de sécurité, l’élément humain (attaques sociales comprises, comme le phishing et autres escroqueries dues à des malwares) entre en ligne de compte. Les menaces étant de plus en plus sophistiquées, les entreprises ont besoin de solutions de sécurité capables de détecter les attaques les plus récentes et de protéger leurs collaborateurs sans les ralentir. Et comme il faut moins de temps (et d'argent) pour prévenir une menace que pour la traiter, l’IT a besoin de ces solutions avant que les acteurs malveillants fassent un premier pas dans l’entreprise.

Les systèmes de sécurité sur site peuvent être mis à jour mais ils ne peuvent pas suivre le rythme d’évolution rapide des menaces, telles que les arnaques et autres attaques de phishing qui ont souvent une durée de vie de quelques minutes. De plus, ces solutions fonctionnent sur la base d’utilisateurs "de confiance", à qui on accorde automatiquement l'accès au réseau. Une fois dans le réseau, ces utilisateurs peuvent généralement accéder aux applications et aux données, qu'ils en aient besoin ou non. Un acteur malveillant se faisant passer pour un utilisateur de confiance met non seulement l’organisation en danger mais également l’IT en état d’alerte, monopolisant ainsi son temps au détriment d’autres priorités.

À l’inverse, Google Workspace propose des contrôles de sécurité Zero Trust (confiance Zéro) pour aider l’IT à gérer efficacement et de manière proactive les risques liés aux utilisateurs. Concrètement, cette approche permet de vérifier constamment l’identité des utilisateurs et de valider en permanence leurs actions. Elle permet également à l’IT de contrôler l'accès aux données et aux applications, en fonction de la posture de sécurité de l’utilisateur et de l’appareil qu’il utilise, ainsi que d'autres informations contextuelles.

Le modèle Zero Trust est comparable à une banque physique dont les actifs sont protégés par plusieurs niveaux de sécurité. Les murs du bâtiment et les gardes de sécurité séparent la banque du monde extérieur, mais les clients peuvent entrer pour y faire des affaires. Les guichets permettent aux clients d'effectuer des transactions spécifiques. Enfin, la chambre forte, située au centre de la banque, abrite son contenu le plus précieux, et seules des personnes hautement autorisées peuvent y pénétrer.

Les responsables de la sécurité peuvent personnaliser Google Workspace pour parvenir à un fonctionnement similaire, avec différentes couches de sécurité régulant l'accès aux données. Grâce aux contrôles granulaires assurés par Context-Aware Access, aux politiques de sécurité telles que la prévention des pertes de données (DLP pour Data Loss Prevention) pour Google Chat et aux règles de confiance appliquées dans Google Drive, ils peuvent configurer différents niveaux d'accès aux applications, aux contenus et aux données. Ils peuvent aussi accorder des droits aux utilisateurs qui soient adaptés à leurs besoins tout en interdisant l’accès à tous ceux qui n’ont pas de raison d’accéder à ces contenus. Le chiffrement côté client donne aux entreprises encore plus de contrôle pour renforcer la confidentialité des contenus particulièrement importants, comme les données hautement sensibles ou réglementées.
Cette approche de la sécurité permet à chaque employé d'accéder en toute transparence aux informations dont il a besoin pour travailler, sans exposer le reste des données de l'entreprise aux attaques.

Aider les collaborateurs à faire des choix plus éclairés et sécurisés

Les solutions de sécurité les plus efficaces sont celles capables de fonctionner en tâche de fond et en impliquant le moins possible les collaborateurs dans le processus.

Par ailleurs, elles doivent éviter aux IT d’intervenir de manière rétroactive sur des alertes de sécurité survenues après un partage de données sensibles et éviter de monopoliser inutilement leur temps et leur attention. Elles doivent privilégier des alertes proactives et contextuelles permettant aux collaborateurs de prendre les bonnes décisions avec un minimum d’impact sur leur charge de travail. Ces derniers peuvent ainsi résoudre eux-mêmes les problèmes avant qu’ils ne se transforment en incidents de sécurité, et ce, sans impliquer systématiquement l’IT.

Google Workspace s’appuie sur la longue expérience de Google en matière de protection des organisations et des utilisateurs à grande échelle pour inculquer aux collaborateurs les bons réflexes de sécurité. Boostées par l’IA, les capacités de détection des menaces de Google sont enrichies par les milliards de signaux provenant des terminaux et des utilisateurs afin de stopper automatiquement la grande majorité des attaques et les empêcher de perturber le fonctionnement de votre entreprise.

À titre d’exemple, la protection DLP personnalisable aide les collaborateurs à ne pas partager, sur Google Chat, de données sensibles, comme les données d’une carte bancaire. Une fois les règles concernant les données sensibles créées par les responsables IT, les contrôles sont effectués en temps réel lors de l’envoi de messages ou de pièces attachées. Contrairement à la plupart des solutions qui agissent a posteriori, Google Workspace applique instantanément une mesure corrective lorsque quelqu'un tente de partager des informations sensibles. Le collaborateur reçoit ensuite une alerte l'informant que le message est contraire à la politique de sécurité de l'entreprise. Il est alors invité à le modifier ou à contacter un administrateur pour obtenir des explications. Les protections automatisées protègent vos collaborateurs des menaces émergentes, afin qu'ils puissent se connecter en toute sécurité pour créer, construire et se développer ensemble.

Gmail signale aussi automatiquement les messages suspects afin d'éviter les attaques par hameçonnage. Les employés sont également alertés lorsqu'ils envoient des messages en dehors de l'entreprise afin d'éviter que des informations sensibles ne soient communiquées à des personnes mal intentionnées. En pratique, nous protégeons les utilisateurs de Gmail contre près de 15 milliards de messages indésirables par jour, bloquant plus de 99,9 % des spams, phishing et codes malveillants.

L’intégration de ces sécurités au cœur des applications utilisées au quotidien facilite et accélère la résolution des problèmes par les collaborateurs eux-mêmes, sans rompre leur flux de travail. Résultat, ils gagnent en efficacité tout en travaillant dans un environnement sécurisé.

Une sécurité adaptée à nos nouvelles façons de travailler

Toutes les organisations, quelle que soit leur taille, ont besoin d’une sécurité qui soit non seulement suffisamment robuste pour les protéger contre des menaces toujours plus nombreuses et sophistiquées, mais qui soit aussi suffisamment flexible pour s’adapter à un modèle de travail hybride permettant aux collaborateurs de travailler de n’importe où.
Les solutions Cloud, dotées de protections proactives intégrées et d’une architecture Zero Trust, contribuent à améliorer et simplifier la cybersécurité tant pour les employés que pour le service informatique, de sorte que chacun dispose de plus de temps pour se concentrer sur des contributions significatives à même de soutenir la croissance de l’entreprise et de favoriser l’innovation. Pour en apprendre plus sur l'approche de Google en matière de sécurité et de conformité autour de Google Workspace, consultez notre livre blanc sur la sécurité.

Comment Anthos contribue à l’amélioration de la sécurité et de la gouvernance de vos plateformes et applications

Tue, 25 Apr 2023 08:00:00 +0000

Quelle que soit la plateforme ou l’application, la sécurité est aujourd’hui essentielle. Lorsque des administrateurs tentent de mettre en œuvre des politiques de sécurité nécessaires pour protéger les applications sur les plateformes distribuées, ils se heurtent souvent à des problèmes tels que l'absence de politiques efficaces ou encore le manque de visibilité sur les violations des politiques existantes. De plus, à chaque changement de politique de sécurité, les opérationnels IT ont du mal à trouver la cause du problème, faute de supervision efficace des politiques des déploiements en production.

Anthos est une plateforme sécurisée d’applications conteneurisées, qui fonctionne aussi bien sur site que dans les clouds publics. Intégrées et centralisées dans la console proposée par Google Cloud, ses fonctionnalités de sécurité sont faciles à exploiter. Anthos automatise les politiques et sécurités des clusters Kubernetes. Anthos Config Sync réconcilie l'état des clusters avec un ou plusieurs référentiels Git. De son côté, Policy Controller permet d’appliquer des règles entièrement programmables à vos clusters. Combinées à Anthos Service Mesh (ASM) et à Anthos Security dashboard (en preview), ces fonctionnalités permettent de résoudre les problèmes de sécurité et de gouvernance tout en aidant les administrateurs et les développeurs à renforcer la sécurité des plateformes et des applications.

Pour illustrer notre propos, nous vous proposons ci-après un exemple d'utilisation d'Anthos avec le déploiement sécurisé d’une application de boutique en ligne et la mise en place simultanément de politiques de sécurité centralisées. L’application est composée d’un certain nombre de services tels que le frontend, cartservice (le service de panier), checkout service (le service de paiement), etc.

Enfilez votre casquette d’opérationnel IT responsable des applications et imaginez que vous devez établir un dialogue sécurisé entre des services, superviser leur fonctionnement, créer une alerte de type SLO (Service Level Objective ou objectif de niveau de service) pour votre service frontend et aussi pouvoir investiguer jusqu’au niveau du service « cartservice » pour résoudre un éventuel problème rencontré par un client. ASM peut vous aider à faire tout cela. Il peut simplifier la livraison de services dans tous les domaines, de la gestion du trafic à la télémétrie du maillage compressif (une technique utilisée pour surveiller et optimiser les performances des applications distribuées). ASM peut également vous aider à adopter le modèle de sécurité Zero Trust. Vous pouvez gérer l'authentification, l'autorisation, le chiffrement et la communication entre les services, avec un minimum, voire pas du tout, de modifications du code de l’application.

De nombreux responsables de la sécurité souhaitent non seulement appliquer une politique de sécurité cohérente sur l’ensemble de la plateforme mais aussi auditer et interdire toutes violations de ces politiques. Ils souhaitent aussi disposer d’une gouvernance centralisée et évolutive, plutôt que d’avoir à configurer manuellement chaque cluster de leur plateforme, qu’il soit exécuté en local ou dans le cloud.

Pour y parvenir, nous vous recommandons de créer d'abord des politiques avec Anthos Policy Controller. Ce dernier est basé sur le projet open source Open Policy Agent Gatekeeper et il est livré avec une bibliothèque complète de politiques préconstruites, pensée pour les contrôles de sécurité et de conformité les plus courants. Policy Controller propose également des « Policy Bundles » (ou groupes Policy Controller) prêts à l’emploi pour auditer les clusters selon les standards établis de Kubernetes, les standards de l’industrie et les meilleures pratiques recommandées par Google Cloud.

Policy Controller peut également faire respecter la conformité des clusters à l'aide d'objets appelés « contraintes » (constraints). Vous pouvez, par exemple, créer une contrainte pour que tous les services de l'application disposent de l'injection de proxy sidecar (technique qui consiste à ajouter un proxy dans les ressources Kubernetes pour intercepter et gérer le trafic réseau des workloads) afin de pouvoir superviser l’état de l’application facilement. Autre exemple : imposer le chiffrement du trafic en respectant rigoureusement mTLS, de sorte que toutes les communications entre les services de votre application soient sécurisées.

Une fois les contraintes créées, vous pouvez les synchroniser sur les clusters avec Config Sync. Config Sync aide les équipes à collaborer selon le modèle GitOps afin d’accélérer le cycle global de développement. Il peut également aider les utilisateurs à appliquer plusieurs couches de politiques. Par exemple, certaines politiques peuvent être appliquées au niveau de l'organisation tandis que d'autres peuvent être appliquées à un espace de nommage.

La figure 1 ci-dessous propose une vue du tableau de bord des politiques d’Anthos, avec sept contraintes appliquées au cluster Anthos, dont le chiffrement mTLS strict ou encore l'injection de proxy sidecar pour tous les services de l’application de boutique en ligne.

Figure 1 : Le tableau de bord d’Anthos Policy Controller

Vous pouvez également vous contenter d'auditer une politique sans l'appliquer. Le tableau de bord de Policy Controller propose alors une vue centralisée de toutes les violations qui se sont produites dans votre ferme de clusters et vous aide à prendre les mesures nécessaires. Par exemple, vous pouvez imposer un contrôle d'accès granulaire pour les services afin que seules certaines ressources désignées puissent accéder à chaque service. Les figures 2 et 3 montrent une violation de politique au sein d’une application – le système istio (sur lequel est fondé ASM) n'a pas de politique d'autorisation de refus par défaut. Vous pouvez octroyer un contrôle d'accès granulaire à certains services spécifiques afin de faire disparaître l’alerte (en rouge) dans le tableau de bord des violations.

Figure 2 : Exemple de violation de politique affichée dans le tableau de bord des politiques d'Anthos.

Figure 3 : Un exemple de détails de la violation de la politique via la requête de la commande kubectl

Au-delà du contrôle continu, Anthos Policy Controller peut aussi analyser les configurations des ressources pendant le cycle CI/CD. Vous disposez ainsi d’informations précieuses sur le processus de changement de configuration tout en ayant la garantie que tout changement non conforme est aussitôt détecté dans le pipeline. Autre fonction très utile d’Anthos, l’autorisation des binaires (ou Binary Authorization) propose un contrôle de sécurité au moment du déploiement qui garantit que seules les images de conteneurs fiables sont déployées sur les clusters de production. Vous pouvez exiger que les images soient signées par des autorités de confiance pendant le processus de développement, puis appliquer la validation de la signature lors du déploiement.

Enfin, Anthos Security Dashboard fournit une vue complète de la sécurité de votre réseau Kubernetes, des contrôles d’autorisation des binaires et des politiques ASM telles que mTLS. La figure 5 présente une vue plus détaillée des configurations de sécurité des différents Workloads. Une telle vue globale peut activement contribuer à améliorer votre posture de sécurité.

Figure 4 : Aperçu du résumé des politiques depuis le tableau de bord d'Anthos Security

Figure 5 : Page d'audit des politiques (sur le tableau de bord de sécurité d'Anthos) pour l'application de boutique en ligne

Google Cloud propose de puissantes fonctions de sécurité intégrées à chaque niveau qui fonctionnent individuellement mais ensemble, de façon à protéger les plateformes des clients contre les exploitations dangereuses. Pour en savoir plus sur les avantages d’Anthos dans la modernisation des applications et des infrastructures existantes et pour découvrir comment mettre en place une gouvernance et une sécurité cohérentes, consultez le site Web dédié.

Ressources complémentaires

Découvrez le didacticiel pour apprendre à renforcer la sécurité de votre application avec Anthos
Pour en savoir plus sur Google Kubernetes Engine et Anthos

Consulter les annonces et les sessions passionnantes de Google Cloud NEXT 2022.

Toute transformation réussie vers le cloud débute par un changement culturel

Thu, 16 Mar 2023 09:00:00 +0000

Il y a vingt ans, les entreprises découvraient les pouvoirs magiques de la virtualisation. Cette dernière annonçait la fin de la règle en usage « un serveur physique par application » et les prémisses d’une gestion des infrastructures par le logiciel. Elle a contribué à démocratiser les concepts d'automatisation dans la construction et l'installation des systèmes. Elle a aussi rendu possible la mise en place des pratiques DevOps et des mécanismes actuels d'intégration continue et de livraison continue. Cependant, l'adoption de la virtualisation ne s'est pas toujours faite sans heurts et plusieurs obstacles se sont dressés sur son chemin.

Aujourd’hui, les organisations sont de nouveau confrontées à des obstacles similaires alors qu’elles entament leur voyage vers le cloud.

Il y a vingt ans, les entreprises qui souhaitaient virtualiser leur environnement de serveurs étaient confrontées à un défi de taille qui n'était ni technique ni budgétaire, mais organisationnel, s'étendant à toutes les équipes informatiques et au-delà.

La première équipe affectée par la virtualisation était celle jusque-là en charge d'installer les serveurs physiques dans les racks du centre de données, de gérer les connexions réseau physiques et de faire fonctionner les contrôles environnementaux, tels que les systèmes d’alimentation ou de climatisation. Avec la virtualisation, ces tâches ont été considérablement réduites, et parfois même éliminées.

La deuxième équipe touchée par ce changement technologique fut celle en charge d'installer les systèmes d'exploitation et d'exécuter les procédures post-installation. Son travail a presque complètement disparu puisque la plupart des machines virtuelles étaient automatiquement instanciées à partir de modèles.

Dit autrement, la réussite de l’adaptation à la virtualisation dépendait de la capacité de l’organisation à faciliter les changements organisationnels qu’elle induisait. Chemin faisant, il était essentiel de former le personnel et de veiller à ce qu'il acquière les nouvelles compétences nécessaires pour exploiter l'infrastructure de virtualisation. Et généralement, les équipes concernées ont fini par trouver que leurs nouvelles responsabilités étaient différentes mais toujours essentielles à l'organisation, et peut-être même plus attrayantes.

Les leçons de la virtualisation pour les régulateurs de la transformation cloud

Dans les secteurs fortement réglementés, les discussions autour de la virtualisation ne se sont pas arrêtées aux changements internes que l’on vient d’évoquer. Elles se sont accompagnées de nombreux débats avec les régulateurs. En effet, les organismes réglementés considéraient souvent l’hyperviseur comme une simple couche logicielle supplémentaire, potentiellement porteuse de nouvelles vulnérabilités. Ainsi, de nouveaux risques (comme l’évasion de la machine virtuelle) étaient pointés du doigt. S’il fallait bien sûr les prendre en compte et chercher à les mitiger, il aurait aussi fallu les mettre en balance avec les avantages de la virtualisation en matière de sécurité (identification des actifs, harmonisation, gestion fluidifiée des patchs) plutôt que de se focaliser sur les risques.

Aujourd’hui, la pertinence et les avantages de la virtualisation sont désormais largement reconnus. L’histoire se répète pourtant alors que les migrations vers le cloud soulèvent des problèmes similaires.

Lorsque les grands hyperscalers ont commencé à prendre en charge les workloads critiques de leurs clients, les organismes de réglementation ont renforcé leur surveillance des fournisseurs de cloud et publié des directives précises concernant l'adoption du cloud. C'est ce qui s'est notamment passé dans le secteur financier européen, avec les directives des différentes autorités européennes de surveillance (l’Autorité Bancaire Européenne, l’Autorité européenne des marchés financiers ESMA et l’Autorité européenne des assurances et des pensions professionnelles EIOPA) et avec le futur règlement Digital Operational Resilience Act.

L'adoption de telles réglementations doit contribuer à instaurer la confiance entre les fournisseurs de services cloud (CSP) et leurs clients. Cruciales pour les organisations de ces secteurs réglementés, ces réglementations leur permettent de mettre en balance les risques et les avantages d’une migration cloud tout en tenant compte des leviers proposés par les CSP pour les aider à renforcer leur sécurité générale et leur conformité.

Quand la transformation culturelle favorise la transformation vers le cloud

Il existe toutefois une autre similitude entre la transformation cloud et la migration vers la virtualisation : toutes deux requièrent une transformation interne.

Lorsqu'une entreprise décide d'entamer son voyage vers le cloud, la formation de son personnel à ces nouvelles technologies et aux nouveaux outils est une étape importante et nécessaire, mais probablement pas la première ni la plus ardue à réaliser. Un changement d'état d'esprit est primordial pour intégrer pleinement tous les avantages du cloud, en particulier en matière de sécurité.

Le Cloud impose une nouvelle approche qui doit débuter par une transformation organisationnelle. En effet, il est impératif de ne pas considérer le cloud comme un autre datacenter, un simple datacenter externe. Le potentiel du Cloud va bien au-delà.
D’autant que cette nouvelle approche et la transformation organisationnelle qui en découle sont motivées par deux facteurs : les lourdes charges d’administration que le fournisseur de services cloud prend en charge pour le client et la flexibilité nouvelle apportée par l'infrastructure définie par logiciel.

En effet, le fournisseur de Cloud gère directement plusieurs tâches et services, ainsi que leur sécurité, qui ne sont plus dès lors une préoccupation directe pour le client. Ces responsabilités comprennent notamment la gestion du datacenter, les équipements à la sécurité renforcée, le chiffrement par défaut des données au repos comme en transit, ainsi que la gestion de réseaux résilients.

Par ailleurs, toute l’infrastructure utilisée par l’organisation pour gérer ses Workloads Cloud étant définie par logiciel, il en résulte une grande flexibilité. Outre l’agilité qui en découle, celle-ci permet aussi de mettre en place facilement des mesures de sécurité et de conformité continue autrefois complexes à instaurer.

Bien sûr, il peut être très tentant d’aborder la transformation cloud comme une simple opération de « Lift & Shift » (soulever et déplacer) de l’infrastructure existante sur site. Mais une telle approche réduit singulièrement les gains potentiels d’une vraie transformation cloud. Car le simple transfert vers le cloud des systèmes « sur site » n’est qu’une infime partie de l’impact potentiel du Cloud.
Un changement d’état d’esprit peut se révéler bien plus transformateur. Embrasser tout le potentiel du cloud impose de repenser les processus de développement, d’architecture et de sécurité, ce qui impose inévitablement une transformation profonde de l’organisation.

Une fois cette transformation lancée, l'étape suivante consiste à adapter les opérations, à les aligner sur l'organisation globale et sur les nouveaux processus définis, à rendre opérationnelles les chaînes CI/CD et à mettre en place des pratiques DevOps. Ensuite, il faudra combler le fossé technologique, en mettant en place les nouveaux outils et en apprenant aux équipes à les utiliser au mieux.

Le point important, ici, est l'ordre de la transformation à gérer : organisation, opérations et technologies (O-O-T) et non l'inverse (T-O-O).
Bien entendu, ces trois étapes ne doivent pas être considérées comme totalement séquentielles, car la technologie joue un rôle important dans l'organisation et les opérations. Cependant, il est essentiel de se focaliser sur le développement des équipes et des frameworks pour tirer pleinement parti de l'opportunité de transformation, plutôt que de se concentrer principalement sur l'outillage.

De plus, chez Google Cloud, nous croyons en un « destin partagé » qui va bien au-delà du modèle habituel de responsabilité partagée du Cloud. Ainsi, nous pensons qu’il est de notre devoir d’aider nos clients à atteindre leurs objectifs dans leur domaine de responsabilité. C’est pourquoi nous préparons des « landing zones » pour guider nos clients, nous apportons plus de transparence aux contrôles de sécurité et nous les aidons en matière de cyber-assurance.

Constamment améliorer la sécurité est un objectif commun à Google Cloud et à nos clients. Notre initiative Google Cybersecurity Action Team nous permet ainsi de nous engager auprès d’eux, de leur fournir les conseils nécessaires, de les soutenir dans leurs stratégies de sécurité et de conformité, et – au final – de les aider à réussir leur transformation organisationnelle et opérationnelle vers le cloud.

Pour en savoir plus :

Écoutez notre podcast connexe : « Comment appliquer les leçons de la transition vers la virtualisation pour améliorer sa transformation cloud »
Écoutez « Préparer les migrations vers le cloud du point de vue du RSSI, 1ère partie »
Découvrez « Le voyage vers le cloud atténue les risques de l'entreprise ».
Consultez également « Les grandes tendances favorisent l'adoption du cloud et améliorent la sécurité pour tous ».
Visitez le site Web de la Google Cybersecurity Action Team

Google + Mandiant : comment transformer les opérations de sécurité et la réponse aux incidents

Tue, 14 Feb 2023 09:00:00 +0000

Au cours des deux dernières décennies, Google n’a cessé d’innover, construisant au fil de l’eau des infrastructures informatiques qui sont aujourd’hui parmi les plus colossales et les plus sécurisées dans le monde. Bâtir des systèmes d’une telle ampleur suppose des approches innovantes en matière de cybersécurité. Approches que nous transmettons ensuite à nos clients. Fer de lance de l’innovation et dépositaire d’une excellente connaissance sur les menaces, Google s’engage auprès de ses clients et les aide à résoudre leurs problèmes de sécurité, y compris les plus complexes.

La finalisation de notre acquisition de Mandiant marque une nouvelle étape importante pour la sécurité du cloud. Leader de la cyberdéfense dynamique, sur les renseignements, les menaces ainsi que sur les services pour répondre aux incidents, Mandiant partage notre vision de la cybersécurité. En rejoignant Google Cloud, ses experts vont non seulement pouvoir aider les entreprises à améliorer leur gestion des risques et des incidents mais aussi les accompagner dans la réduction de leur surface d’exposition.

Plus concrètement, nous allons combiner le portfolio des services cybersécurité de Google Cloud à l’expertise exceptionnelle de Mandiant en matière de renseignement sur les menaces. Une union qui va donner naissance à une suite de cybersécurité opérationnelle permettant aux entreprises du monde entier de rester protégées à chaque étape du cycle de vie de la sécurité.
En combinant les capacités étendues de traitement des données de Google avec des approches analytiques inédites s’appuyant sur l'IA et le ML, et une farouche volonté d'éliminer des classes entières de menaces, Google Cloud et Mandiant vont réinventer la sécurité afin d’aider les entreprises à répondre aux exigences d’un monde en rapide évolution.

La marque Mandiant sera conservée et nous souhaitons que ses experts poursuivent leur mission, à savoir faire en sorte que chaque organisation soit protégée des cybermenaces et rassurée sur sa cyber-résilience.

Importance fondamentale de l’intelligence de l’information pour lutter contre les menaces

Notre objectif est de démocratiser les opérations de sécurité en proposant la meilleure « Threat Intelligence » (ou expertise sur les menaces) ainsi que les meilleurs mécanismes de détection et réponse. Nous espérons ainsi faire évoluer le secteur de la cybersécurité vers une approche plus proactive, basée sur une modernisation des équipes, des workflows et des technologies associées aux opérations de sécurité. Et ce, afin de parvenir à un équilibre dans lequel les fonctions de gestion des menaces peuvent évoluer et monter en charge de façon autonome, en fonction des besoins des clients et de l’évolution des menaces.

Aujourd'hui, les clients des offres cybersécurité de Google Cloud utilisent notre infrastructure cloud pour ingérer, analyser et conserver les télémétries de sécurité de tous leurs environnements, qu’ils soient multicloud et/ou hébergés en interne.

En s’appuyant sur notre capacité à dénicher en moins d’une seconde l’information utile dans des pétaoctets de données ainsi que sur nos fonctionnalités d'orchestration, d'automatisation et de réponse en matière de sécurité, nos clients peuvent consacrer plus de temps utile à la défense de leur entreprise.

Compilée par une équipe de spécialistes de la sécurité et de l’intelligence des l’information répartis dans 22 pays, la base de connaissance Mandiant Threat Intelligence est au service de clients situés dans 80 pays. Elle offre aux acteurs de la cybersécurité une meilleure visibilité sur les menaces et les comportements des cyberattaquants. L'expérience de Mandiant en matière de détection et de réponse aux cybermenaces les plus sophistiquées va permettre aux clients de Google Cloud de bénéficier d'informations pratiques et directement exploitables pour se protéger des menaces qui pèsent actuellement sur leurs activités. Bien entendu, nous continuerons à partager les recherches innovantes de Mandiant sur les menaces afin d'aider toutes les entreprises, y compris celles qui n'utilisent pas Google Cloud.

Un « destin partagé » renforcé pour les opérations de sécurité

Google Cloud fonctionne selon un modèle dit de « destin partagé », en s’investissant activement sur la posture de sécurité de ses clients. Du point de vue de la sécurité opérationnelle, cela signifie que nous aidons les organisations à détecter et à vérifier les menaces avant qu’elles ne se transforment en incident.

La détection, l'investigation et la réponse aux menaces ne constituent toutefois qu'un volet des bonnes pratiques à appliquer dans le domaine de la gestion des cyber-risques. Comprendre comment un attaquant perçoit une entreprise et vérifier si les contrôles de cybersécurité sont aussi efficaces que prévu est tout aussi important.

Nous allons ajouter les fonctionnalités de gestion de la surface d'attaque de Mandiant au portfolio des solutions Google Cloud. Les entreprises pourront ainsi surveiller en permanence leurs actifs et détecter les éventuelles failles. Fortes de cette surveillance qui leur permet de mieux comprendre ce qui est vulnérable, mal configuré ou encore exposé, les équipes de renseignement et « red teams » des organisations pourront faire évoluer leur approche de la sécurité d’un mode réactif vers un mode proactif.

Une fois la surface d'attaque maîtrisée, il convient également de valider les contrôles de sécurité existants. Avec Mandiant Security Validation, les entreprises pourront valider et mesurer en permanence l'efficacité de leurs contrôles dans leurs environnements cloud et sur site.

Moderniser les opérations de sécurité et la réponse aux incidents

Les RSSI et leurs équipes manquent souvent des ressources et de l'expertise nécessaires pour faire face aux menaces actuelles d’autant qu’elles évoluent constamment. Les entreprises exploitent déjà les outils de sécurité, les conseils d'experts et le riche écosystème de partenaires de Google pour faire évoluer leur politique de sécurité. Avec Autonomic Security Operations de Google, elles peuvent aussi s’appuyer sur un ensemble d’outils, de bonnes pratiques et de méthodologies pour moderniser leur approche de la sécurité.

L’arrivée de Mandiant dans la famille Google Cloud nous permet aujourd’hui d’offrir une expertise mondiale éprouvée en matière de réponse complète aux incidents, de préparation stratégique et d'assurance technique. Au-delà de la protection contre les menaces, nous avons aussi les moyens désormais de les aider dans la réduction de l’impact sur leurs activités, avant, pendant et après incident.

En outre, la suite Google Cloud Operations continuera à fournir un point central pour le renseignement, l'analyse et les opérations pour tous les environnements, qu’ils soient hébergés sur site, sur Google Cloud ou chez d'autres fournisseurs de cloud.

Enfin, Google Cloud a toujours fait preuve d’un engagement très fort envers ses partenaires technologiques et fournisseurs de solutions. Cette acquisition devrait leur permettre d’enrichir leurs offres, qu’ils soient intégrateurs de systèmes, revendeurs ou fournisseurs de services de sécurité managée.

Quelques réactions à l’acquisition de Mandiant par Google

« Dans l'écosystème de la cybersécurité, les partenariats solides et puissants sont essentiels pour créer de la valeur pour les clients et protéger les industries du monde entier. L'association de Google Cloud et de Mandiant, ainsi que leur engagement commun en faveur du multicloud, permettront de renforcer la collaboration, de stimuler l'innovation dans le secteur de la cybersécurité et d'accroître les capacités de recherche sur les menaces. Nous sommes impatients de travailler avec eux sur cette mission. » - Paolo Dal Cin, responsable mondial, Accenture Security

« L'acquisition de Mandiant, leader dans les services de conseil en sécurité, de consulting et de réponse aux incidents, va permettre à Google Cloud de proposer une suite d'opérations de sécurité de bout en bout, avec des capacités et des services encore plus significatifs pour accompagner les clients dans leur transformation de la sécurité dans les environnements cloud et sur site. » - Craig Robinson, vice-président de recherche, Services de sécurité, IDC

« Le rapprochement de Mandiant et de Google Cloud, deux leaders de longue date en matière de cybersécurité, va forcément faire progresser la manière dont les entreprises identifient les menaces et s’en prémunissent. Nous attendons avec impatience l'impact de cette acquisition sur le marché de la sécurité et sur la protection de nos clients. » - Andy Schworer, directeur, ingénierie de la cyberdéfense, Uber

Bienvenue à Mandiant dans la famille Google Cloud ! Nous sommes impatients à l’idée de travailler ensemble pour aider les équipes de sécurité à faire beaucoup plus pour la défense de leurs organisations. Pour en savoir plus, reportez-vous à notre communiqué et au blog de Kevin Mandia.

Comment transformer votre Security Operations Center

Tue, 31 Jan 2023 08:00:00 +0000

La transformation cloud a permis aux entreprises de mettre de nouvelles capacités sur le marché ainsi que d’entrer sur de nouveaux marchés plus rapidement, d’innover plus facilement et d’évoluer plus efficacement. Pour protéger les entreprises et les employés dans un monde numérique, les équipes SOC (Security Operations Center) doivent s’adapter à un nouveau modèle d’opération pour prévenir, détecter et répondre dûment aux menaces dans un monde technocentrique en évolution rapide.

Un SOC est conçu pour protéger une organisation contre les menaces de sécurité en détectant et en répondant rapidement aux attaques, de la façon la plus efficace possible pour réduire au maximum les dommages. Notre approche de modernisation et de transformation du SOC afin de suivre le rythme de l’évolution constante de la technologie dépend grandement de la capacité humaine à résoudre les problèmes de sécurité de manière créative et en fonction des besoins. Cette perspective centrée sur l’ingénierie nous permet de nous concentrer sur le développement de solutions aux problèmes de sécurité plutôt que de maintenir le statu quo par des opérations quotidiennes de gestion des menaces.

Dans notre livre blanc Autonomic Security Operations – 10X Transformation of the Security Operations Center, nous aborderons :

Pourquoi le SOC nécessite-t-il une transformation ?

Qu’est-ce que l’Autonomic Security Operations ?

Comment atteindre l’Autonomic Security Operations ?-

Pourquoi le SOC nécessite-t-il une transformation ?

Étant donné que presque toutes les entreprises transforment leurs produits, leurs services et leurs opérations pour les rendre numériques, pour un pirate, l’opportunité d’exploiter une organisation est beaucoup plus intéressante qu’avant.

Pour anticiper l’afflux exponentiel de données, le nombre croissant d’adversaires très persistants, la pénurie constante de talents et la criticité des cyberattaques, un nouveau modèle est nécessaire, un modèle qui permette au SOC de sortir de son silo rigide et centralisé ainsi que de son « centre d’opérations » pour se centrer sur les résultats. Atteindre l’Autonomic Security Operations est la réponse au SOC de demain.

Qu’est-ce que l’Autonomic Security Operations ?

L’Autonomic Security Operations est une combinaison de philosophies, de pratiques et d’outils visant à améliorer la capacité d’une organisation à résister aux attaques de sécurité grâce à une approche adaptative, agile et hautement automatisée de la gestion des menaces. Elle repose sur quatre piliers d’amélioration exponentielle :

10X personnel

10X processus

10X technologies

10X influence

Il convient d’améliorer de manière exponentielle les capacités et l’efficacité de votre personnel, de distribuer et d’automatiser vos flux de travail et processus de sécurité, d’exploiter les technologies cloud capables d’opérer à l’échelle mondiale avec une charge opérationnelle minimale pour vous concentrer sur la résolution des problèmes de sécurité et, enfin, d’avoir une intégration profonde et une influence significative au sein de votre organisation pour améliorer l’efficacité de vos défenses préventives et ainsi minimiser le nombre de menaces que votre équipe doit détecter et traiter.

Comment atteindre l’Autonomic Security Operations ?

Transformer votre SOC d’une salle d’opérations réactives à un statut d’Autonomic Security Operations est un parcours de plusieurs années nécessitant de grands investissements de la part de votre direction, une mobilisation à l’échelle de l’organisation et l’aide de partenaires capables de vous soutenir tout au long du parcours. Que vous soyez une petite organisation centrée sur le DevOps qui doit profiter des offres des MSSP ou une grande entreprise en quête de DIY, nous aborderons plusieurs thèmes pour vous aider à transformer votre SOC selon ces quatre piliers.

Transformation du personnel

L’un des principes fondamentaux des équipes de détection et de réponse de sécurité avancée, comme celle de Google, c’est que les personnes qui recherchent les menaces, les personnes qui développent la logique de détection et les personnes qui répondent aux alertes et autres signaux sont les mêmes.

Transformation des processus

Une excellente équipe SOC dispose non seulement d’un ensemble de processus cohérents et prévisibles, mais exploite aussi la créativité humaine nécessaire pour lutter contre les menaces de haut niveau. Il est généralement plus facile de se défendre contre les attaques automatisées, car les signatures et les modèles sont identifiés et l’échelle du cloud peut gérer certains aspects comme les attaques par déni de service ; mais combattre les menaces hautement persistantes, qui prennent leur temps – des semaines ou des mois – pour se frayer un chemin dans votre environnement, est un enjeu dont la résolution nécessite une réflexion humaine groupée.

Transformation des technologies

Pour de nombreuses organisations, la transformation des technologies de sécurité est difficile. Cela peut être dû à des intérêts enracinés, à des produits coûteux et à de longs contrats d’assistance. Nombre de ces technologies actuellement utilisées, telles que le SIEM, ont en réalité une utilité dans un SOC transformé. Une grande partie des améliorations de l’efficacité de ces technologies consiste à tirer parti de vos talentueuses équipes pour améliorer la façon d’employer la technologie et optimiser les processus avec lesquels elles interagissent. Il ne s’agit pas vraiment de remplacer les technologies en bloc.

Transformation de l’influence

Constituer une équipe hautement influente d’experts en opérations de sécurité est l’un des éléments les plus gratifiants d’un SOC transformateur. Les meilleures équipes SOC ont une grande compréhension contextuelle de la façon dont les choses fonctionnent en matière de conception. Établissez des relations étroites avec vos pairs, mettez en place des interlocks solides et apprenez à votre SOC à comprendre les modèles de menace dès le départ. Cela vous permettra vraiment d’obtenir les résultats escomptés.

Créer un futur plus sécurisé

L’intention que vous avancez pour transformer votre SOC portera ses fruits à l’avenir, lorsque vous commencerez à voir que vous résolvez des problèmes plus uniques dans le monde et que plus de personnes veulent travailler pour vous.

Lisez l’intégralité du livre blanc dès maintenant et découvrez d’autres informations précieuses sur l’Autonomic Security Operations et la façon de mener cette transformation pour votre organisation.

Favoriser la souveraineté numérique sur Google Workspace

Tue, 17 May 2022 12:00:00 +0000

Favoriser la souveraineté numérique des organisations de l'UE

Les organisations européennes sont chaque jour plus nombreuses à transférer leurs opérations et données dans le cloud afin d’optimiser la collaboration, générer de la valeur métier et évoluer vers un mode de travail hybride. Mais pour opérer ces transformations, elles ont besoin de solutions cloud répondant à leurs contraintes, qu’il s’agisse de sécurité, de confidentialité ou de souveraineté numérique. C’est pourquoi décideurs politiques et chefs d’entreprise de l’Union européenne ne cessent de nous interpeller et de nous expliquer que, pour garantir la souveraineté de leurs données dans le cloud, ils ont besoin de régionalisation mais aussi de contrôles supplémentaires sur les accès d’administration.

Afin de répondre à leurs attentes, nous annonçons le lancement de Sovereign Controls for Google Workspace. Cette solution de souveraineté numérique pour entreprises privées et publiques leur permettra de contrôler, limiter et surveiller les transferts de données vers et depuis l'UE.

Disponible dès la fin de l’année 2022, Sovereign Controls for Google Workspace sera régulièrement enrichi avec de nouvelles fonctionnalités pendant toute l’année 2023. D’ores et déjà, cette solution s’appuie sur nos solutions existantes dont le chiffrement côté client, la régionalisation des données et des fonctionnalités de contrôle d’accès.

Optimisation des contrôles avancés et chiffrement côté client

Fondamental, le chiffrement est un contrôle technique qui limite l'accès d'un prestataire de services cloud aux données des clients. Il fait partie des mesures supplémentaires de protection des données recommandées par le Comité européen de la Protection des Données (EDPB).

Google Workspace utilise déjà les dernières normes de chiffrement permettant de protéger toutes les données au repos et en transit entre nos installations. En pointe sur les recommandations de l’EDPB, Google Workspace implémente aussi une fonction de chiffrement côté client qui permet aux entreprises de bénéficier des puissantes innovations de Google Cloud tout en conservant une confidentialité totale et un contrôle complet sur leurs données.

Unique, l’approche de Google Workspace sur le chiffrement côté client permet aux entreprises d’exercer un contrôle éprouvé sur la confidentialité de leurs données grâce à des clés de chiffrement qu’elles peuvent stocker en local, à l'intérieur des frontières d'un pays ou dans toute autre limite géographique qu'elles définissent. Google n'a jamais accès aux clés ou aux détenteurs des clés, ce qui signifie que nous ne pouvons pas déchiffrer ces données et que nous n’avons aucun moyen technique pour y accéder. Notez que ce niveau de chiffrement est proposé sans qu’il soit nécessaire de déployer un client sur le poste de travail et sans que cela n’affecte l’expérience de collaboration ou le bon fonctionnement de fonctionnalités avancées telles que la co-création en ligne.

Les entreprises, privées ou publiques, ont la possibilité d’appliquer le chiffrement côté client à tous leurs collaborateurs ou de créer des règles spécifiques pour l’appliquer à des utilisateurs, unités organisationnelles ou disques partagés spécifiques. Le chiffrement côté client est désormais disponible pour Google Drive, Docs, Sheets et Slides. Il sera étendu à Gmail, Google Agenda et Meet d'ici la fin 2022.

Davantage de contrôle sur la localisation des données

La régionalisation des données permet déjà à nos clients de contrôler l'emplacement de stockage de leurs données au repos. D’ici la fin 2023, nous allons améliorer cette fonctionnalité avec la restriction de l’exécution des traitements à une région donnée et des copies « dans le pays ».

L’hybridation du travail a entraîné de nouveaux modèles de fonctionnements et les collaborateurs ainsi que les organisations ont besoin d'un accès sécurisé aux données pour générer de la valeur métier. Mais cet essor du travail hybride, combiné à des architectures techniques complexes, rend le contrôle sur l’emplacement des données difficile.

Notre architecture « cloud-native » signifie que Google Workspace fonctionne entièrement dans un navigateur, sans nécessiter de caches ou de logiciels installés sur les postes des collaborateurs.

Notre approche « zero-trust » embarque des fonctionnalités de sécurité qui permettent d’exercer un contrôle géographique des accès des postes et des utilisateurs grâce à la fonction « Context Aware Access » (accès en fonction des contextes). De plus, les administrateurs peuvent fixer des limites de partage et définir des règles qui régissent la communication entre les utilisateurs.

En d’autres termes, nous fournissons aux administrateurs toutes les fonctionnalités indispensables pour exercer un contrôle granulaire sur les flux de données, et ce, sans entraver les pratiques collaboratives modernes qui constituent le fondement même de Google Workspace. Nous permettons ainsi aux entreprises de trouver le meilleur équilibre entre localisation des données et collaboration transparente entre les équipes, les partenaires et les clients.

Contrôle et transparence des accès d’administration

Lorsqu’elles optent pour un service cloud, les organisations ont besoin de plus de visibilité et de contrôle sur toutes les formes d’accès aux systèmes nécessitant des droits d'administration. Elles doivent pouvoir contrôler le profil du collaborateur, la nature ou encore le contexte de l’accès avec la possibilité de spécifier que seul un certain type de profil(s) – dans des pays ou régions spécifiés – peuvent accéder à un service ou à des données. Ces fonctionnalités sont au cœur de notre approche pour répondre aux normes évolutives de souveraineté numérique.

Dans cette perspective, nous allons mettre en œuvre une série de nouveaux contrôles d'accès d'ici 2023 qui permettront aux clients de :

Restreindre et/ou approuver l'accès au support Google par le biais d'approbations d'accès.
Limiter l'assistance aux clients à du personnel support basé dans l'UE via la gestion des accès.
Garantir une assistance 24 heures sur 24 du personnel d'ingénierie de Google, en cas de besoin, grâce à l'infrastructure de bureau virtuel à distance.
Générer des rapports de journalisation complets sur l'accès aux données et les actions menées grâce à la transparence de l'accès, une fonctionnalité déjà disponible en GA (General Availability).

Grâce aux fonctionnalités très complètes de « Contrôles Souverains pour Google Workspace » (Sovereign Controls for Google Workspace), les organisations travaillant dans et à travers les régions de l’UE pourront assurer leur souveraineté numérique. En parallèle, Google Cloud continuera à fournir à ses clients des mécanismes légaux pour contrôler le transfert international de données, ce qui inclura la mise à disposition de protections offertes par le nouveau cadre de transfert de données de l'UE.

Nous sommes déterminés à fournir à nos clients en Europe et dans le monde entier des solutions techniques puissantes pour les aider à s'adapter et à maîtriser les évolutions rapides de leurs obligations réglementaires. Nous avons conçu Google Workspace sur des bases très sécurisées, en offrant des fonctionnalités permettant d'assurer la sécurité de nos utilisateurs, la protection de leurs données et la confidentialité de leurs informations. La souveraineté numérique est au cœur de notre mission en Europe et ailleurs. Elle constitue à nos yeux un principe directeur sur lequel nos clients peuvent compter aujourd'hui et à l'avenir.

Bâtir un avenir numérique conforme aux exigences de l'Europe

Tue, 16 Nov 2021 10:00:00 +0000

Partout dans le monde, le cloud est désormais considéré comme la solution la plus efficace, la plus flexible et la plus évolutive pour générer de la valeur à l’aide des technologies du numérique. Moteur essentiel de la croissance, il permet aux organismes privés et gouvernementaux de répondre aux besoins des consommateurs et des citoyens sans dépenses d’investissement prohibitives. Toutefois, les organisations européennes des secteurs public et privé attendent de leur fournisseur une solution qui réponde à leurs exigences en termes de sécurité, de protection de la vie privée et de souveraineté numérique, sans compromis sur les fonctionnalités et sur l'innovation.

L'an dernier, nous avons dévoilé notre ambitieuse vision sur la souveraineté. Elle est articulée autour de trois piliers distincts : la souveraineté des données (notion qui comprend notamment le contrôle du chiffrement et l’accès aux données), la souveraineté opérationnelle (visibilité et contrôle sur les opérations du fournisseur) et la souveraineté logicielle (pour être en mesure d’exécuter et déplacer ses workloads cloud sans adhérence à un fournisseur particulier, même en cas de situations exceptionnelles imposant un rapatriement en urgence des traitements sur sa propre infrastructure ou celle d’un autre hébergeur).

Après avoir longuement échangé avec nos clients et les décideurs politiques, nous sommes ravis de vous présenter aujourd'hui notre nouvelle initiative : « Cloud. On Europe's Terms » (Le cloud, aux conditions de l'Europe).

Preuve de notre engagement en faveur de services cloud conformes aux plus hautes exigences en matière de souveraineté numérique, cette initiative atteste également de notre détermination à accompagner la transformation et la croissance des entreprises et organisations européennes.

Les mesures de sécurité et les fonctionnalités de contrôle proposées en standard par Google Cloud offrent une protection renforcée. Elles répondent à l’attente de la majorité de nos clients en garantissant un respect rigoureux des exigences en termes de sécurité et de protection de la vie privée.

Cependant, chaque pays d’Europe possède ses propres caractéristiques et les attentes dans ce domaine varient d’un état à l’autre. Certains clients européens peuvent notamment avoir besoin d’une plus grande flexibilité que celle offerte actuellement par les fournisseurs de cloud public et privé. Avec « Cloud. On Europe's Terms », notre objectif est de proposer une plateforme qui permet à chaque client de déployer des workloads avec un niveau de contrôle adapté aux exigences de son pays et sans passer à côté des avantages du cloud public en termes de transformation.

Dans cette perspective, nous allons collaborer avec des fournisseurs de technologies européens ayant acquis une solide réputation, dont T-Systems en Allemagne. Avec ce premier partenariat que nous venons d’annoncer, nous allons conjointement développer une solution de cloud souverain pour les organisations allemandes des secteurs public et privé. La solution sera disponible dans le courant de l’année prochaine (2022) et elle sera régulièrement enrichie de nouvelles fonctionnalités.

Dans cette offre conjointe, T-Systems assurera le contrôle et la gestion des fonctionnalités liées à la souveraineté, au chiffrement et à la gestion des identités sur Google Cloud Platform compris. T-Systems exploitera et contrôlera aussi en totale autonomie des éléments clefs de l'infrastructure Google Cloud pour les clients allemands de la solution Sovereign Cloud.

Nous sommes déterminés à instaurer un climat de confiance avec les entreprises et les gouvernements européens en proposant une solution de cloud qui répond à leurs attentes en termes de souveraineté numérique, de développement durable et d’objectifs économiques. Cette collaboration avec T-Systems sera bientôt suivie d'autres partenariats avec des fournisseurs de confiance dans d’autres pays d'Europe.

Dans ces pays, les clients auront ainsi la possibilité soit de s’appuyer sur ces offres mises en place avec des partenaires de confiance, soit d’utiliser les services Google Cloud en contrôlant eux-mêmes l’accès et l’exploitation de leurs données. De la même façon, ils pourront choisir l’infrastructure sur laquelle ils souhaitent traiter ces données et éviter toute dépendance vis-à-vis d'un fournisseur.

Par ailleurs, avec Google Cloud, les clients bénéficient automatiquement d'un environnement durable pour exercer leur activité en optant pour le cloud le plus vert du marché. Nous sommes en effet le plus grand acheteur annuel d'énergie renouvelable au monde, et, d’ici 2030, nous nous sommes engagés à fonctionner entièrement avec de l'énergie sans carbone 24h/24, 7j/7 et dans toutes nos régions cloud dans le monde.

Enfin, nous restons bien entendu à l’écoute de nos clients et des décideurs européens qui fixent les règles et définissent les exigences sur le contrôle des données par les entreprises et les organisations. Notre objectif est de faire de Google Cloud la meilleure plate-forme pour une transformation numérique durable des organisations européennes, tout en respectant leurs conditions. Et nous ne comptons pas nous arrêter là.

Renforcer la sécurité des emails Gmail avec BIMI

Wed, 27 Oct 2021 10:00:00 +0000

Procurer une expérience sécurisée par défaut, basée sur des défenses robustes, a toujours guidé la conception de Gmail. C’est pourquoi nous avons intégré de solides barrières défensives dans Gmail en intégrant notamment des protections qui filtrent automatiquement les messages potentiellement malveillants. Ces boucliers constituent bien entendu une aide précieuse pour garder les utilisateurs de Gmail à l’abri des cyber-attaquants. Mais la messagerie fait partie d’un écosystème toujours plus vaste, complexe et interconnecté qui suppose une amélioration constante de la sécurité.

L’an dernier, nous vous annoncions l’expérimentation d’une nouvelle technologie sur Gmail dénommée BIMI, acronyme de Brand Indicators for Message Identification. Nous sommes ravis de vous informer que cette technologie sera généralisée à tous les utilisateurs de Gmail dans les semaines à venir. Standard industriel visant à favoriser l’adoption d’une authentification forte de l’expéditeur à tout l’écosystème du courrier électronique, BIMI insuffle davantage de confiance dans les systèmes de sécurité des messageries. Il permet d’informer les destinataires sur la provenance des messages tout en offrant la possibilité aux expéditeurs de proposer une expérience plus immersive à leurs interlocuteurs.

« Bank of America a mis en place un large éventail de mesures de sécurité pour protéger ses clients, et nous améliorons constamment nos initiatives pour offrir la meilleure protection possible. Une partie de cet effort se traduit au travers de notre partenariat avec Google autour de BIMI, solution qui fournit un moyen facile de certifier qu’une correspondance provient réellement de notre part. » — Bank Of America.

BIMI est un standard qui permet aux entreprises d’afficher leur logo à côté du nom de l’expéditeur tout en garantissant l’authenticité de ce dernier et la provenance du message. Pour ce faire, BIMI s’appuie sur DMARC (Domain-based Message Authentication, Reporting and Conformance), protocole qui permet aux systèmes de sécurité de pratiquer un filtrage des messages plus performant en isolant les courriers potentiellement falsifiés. Il fournit aussi une authentification forte de l’expéditeur.

BIMI, une solution simple pour authentifier des messages : Fonctionnant en appui sur DMARC, BIMI permet à Gmail d’afficher le logo d’une entreprise sur ses messages pour mieux en certifier la provenance. Les entreprises ayant déjà implémenté DMARC verront ainsi leur logo s’afficher automatiquement sur les courriers émis de leurs domaines et sous-domaines, garantissant ainsi aux utilisateurs la provenance du message.

Techniquement, comment cela fonctionne-t-il ? Les organisations qui authentifient leurs emails en utilisant les frameworks SPF (Sender Policy Framework) ou DKIM (Domain Keys Identified Mail) et en implémentant DMARC doivent fournir leurs logos validés à Google par le biais d’un certificat VMC (Verified Mark Certificate). BIMI s’appuie sur les autorités MVA (Mark Verifying Autorities, autorités de vérification des marques) pour contrôler la propriété du logo et fournir une preuve de vérification (VMC). Une fois les emails approuvés par les multiples défenses anti-abus de Google, Gmail affichera désormais le logo de l’organisation émettrice en lieu et place de l’avatar traditionnellement affiché par notre messagerie.

« Le support de BIMI dans Gmail est une victoire pour l’authentification des emails, pour la confiance dans la marque et pour les consommateurs. BIMI offre aux organisations la possibilité de fournir à leur client une expérience email plus immersive tout en renforçant l’authentification de l’expéditeur de messages au sein de tout l’écosystème email » — Seth Blank, Chair of the AuthIndicators Working Group

Ce n’est qu’un début. BIMI prévoit d’étendre le support des types de logos et des autorités de validation. En matière de validation du logo, BIMI a commencé par soutenir les logos de marques, car ils sont une cible usuelle des usurpateurs. À l’heure actuelle, les autorités de certification Entrust et DigiCert soutiennent BIMI. Mais le groupe de travail BIMI s’attend à ce que cette liste d’autorités de validation s’élargisse à l’avenir.
Pour en savoir plus sur le BIMI et connaître les dernières nouvelles, visitez le site web du groupe de travail.

Pour profiter des avantages de BIMI et rassurer vos destinataires, assurez-vous que votre organisation a bien adopté DMARC et que vous avez validé votre logo avec un certificat VMC. Pour les utilisateurs Gmail, aucune action n’est requise. Nous sommes fiers d’être l’un des principaux membres de cette initiative et d’avoir à la fois participé à la création et à l’application de la norme BIMI. Nous continuerons à soutenir activement tout effort contribuant à la sécurité de l’écosystème du courrier électronique.

Thales et Google Cloud. Le Cloud. De confiance. Conçu pour la France.

Wed, 06 Oct 2021 06:00:00 +0000

Thales et Google Cloud viennent d’annoncer un partenariat stratégique pour co-développer une offre de cloud de confiance sécurisée, ouverte, puissante et souveraine.

En adressant à la fois les aspects techniques et juridiques du label “cloud de confiance'' du gouvernement français, cette approche illustre notre compréhension commune des enjeux et bénéfices du cloud pour les entreprises et institutions françaises, et la volonté de collaborer étroitement et concrètement, en France, pour créer des conditions favorables à l’innovation, de façon ouverte et autonome.

Innover et se transformer avec l’assurance de la sécurité, la confidentialité et la souveraineté des données

Pour innover et se transformer, les entreprises et institutions françaises doivent pouvoir bénéficier des atouts du cloud computing: agilité, flexibilité, puissance. C’est le “cloud au centre”, parfaitement analysé par les pouvoirs publics. Pour ce faire, nos entreprises doivent garder le contrôle de leurs données et en maîtriser la souveraineté. Une souveraineté de la donnée, mais également une souveraineté d’ordre logiciel et opérationnel, avec à la clé leur réversibilité et la possibilité d’innover de façon autonome, ouverte et bien sûr sécurisée.

Le gouvernement a par ailleurs rendu public en mai dernier les critères de son “Cloud de Confiance” définissant clairement et concrètement les conditions de labellisation sur des critères techniques et juridiques spécifiques à la France.

Ces critères apportent aux secteurs publics et privés concernés des garanties supplémentaires en termes de sécurité, de confidentialité et bien entendu de souveraineté.

Adresser les points techniques et juridiques

Cette notion de souveraineté est au cœur de la stratégie gouvernementale sur le cloud computing et au cœur de l’offre proposée avec notre partenaire Thales.

L’objectif est réellement de permettre aux entreprises et institutions publiques françaises de migrer en toute confiance leurs applications critiques et leurs données sensibles dans le cloud, en conformité avec les exigences du label « cloud de confiance ».

Les organisations des secteurs concernés pourront bénéficier d’un ensemble de services cloud opéré par une nouvelle société dédiée et de droit français, majoritairement détenue par Thales, hébergé en France, au sein d’une infrastructure séparée de celle de Google Cloud dont le réseau et les serveurs seront contrôlés et opérés par cette nouvelle entité.

Le support client et la sécurité des services seront réalisés en local par la nouvelle société, notamment la gestion des identités, le chiffrement des données, l’administration ou encore la supervision.

Les mises à jour des services Google Cloud seront réceptionnées, évaluées et validées de manière continue au sein d’un sas de sécurité piloté par Thales.

Nous avons travaillé sur ces différents points, à la fois juridiques et techniques, avec les autorités concernées, pour répondre aux exigences du label Cloud de Confiance et satisfaire les critères de certification SecNumCloud.

Une offre conçue ensemble en France et pour la France

Cette proposition de valeur conjuguera les forces de nos deux sociétés : avec Thales, la confiance, les niveaux de sécurité et les garanties de souveraineté requis en France (gestion des clés de chiffrement, des accès et des identités et la supervision cyber) ; avec Google Cloud l’innovation, l’ouverture à l'open source, l’élasticité, l’agilité, la réversibilité, les capacités d’analyse et d’intelligence des données.

Après nos collaborations autour de la gestion des eSIM et des clés de chiffrement avec Thales, nous sommes très heureux de ce partenariat nous permettant de répondre aux besoins des entreprises et institutions publiques françaises. Et ce, depuis la France avec notre culture et les talents de nos équipes respectives.

Google Cloud accueille favorablement les nouvelles clauses contractuelles standards de l’UE

Thu, 02 Sep 2021 16:00:00 +0000

La Commission européenne (CE) a récemment publié de nouvelles Clauses Contractuelles Standards (ou CCS, également connues sous le nom de Clauses Contractuelles Types) visant à renforcer la protection des données personnelles européennes. Après la période de transition applicable, ces nouvelles CCS remplaceront les anciennes clauses contractuelles précédemment adoptées par la Commission Européenne. Google Cloud prévoit d’intégrer ces nouvelles CCS dans ses contrats afin de renforcer la protection des données de ses clients et répondre aux exigences de la législation européenne sur la protection des données personnelles.

Comme les précédentes CCS, ces nouvelles clauses peuvent être utilisées pour régir un transfert licite de données sous certaines conditions. En imposant diverses obligations contractuelles, elles permettent aux données à caractère personnel soumises au RGPD (règlement général sur la protection des données de l’Union européenne) d’être transférées vers des destinataires en dehors de l’Espace Economique Européen (EEE).

En application depuis 2018, le RGPD est un élément important de la législation européenne sur la protection des données personnelles. Il exige des garanties appropriées pour que les données à caractère personnel de l’EEE puissent être transférées vers un pays non-membre de l'EEE n’assurant pas un niveau de protection des données personnelles adéquat correspondant au standard en vigueur au sein de l’UE.

Depuis des années, les contrôles, les engagements contractuels et les outils de gestion de comptes de pointe proposés par Google Cloud aident les organisations à travers l'Europe à répondre aux exigences réglementaires les plus strictes en matière de protection des données.

Nous fournissons ainsi des CCS à nos clients depuis 2012. En 2017, les autorités de protection des données de l’Union européenne ont confirmé que les engagements contractuels de Google Cloud répondaient aux exigences légales relatives aux transferts de données de l’Union européenne vers le reste du monde, dans le cadre de la directive 95/46/CE sur la protection des données de l’Union Européenne.

Google Cloud reste engagé et déterminé à protéger les données personnelles de ses clients et de leurs utilisateurs, et à les aider à respecter les obligations réglementaires de l'UE.

Pour en savoir plus sur la façon dont Google Cloud peut aider les organisations dans leurs efforts de conformité, visitez notre centre de ressources sur la conformité dans le Cloud.

Un cloud de confiance

Mon, 23 Aug 2021 17:00:00 +0000

Google Cloud compte parmi les fournisseurs les plus performants en matière de sécurité. Dans le contexte des récentes révélations sur les attaques envers la chaîne de développement et de production logicielle qui désorganisent les gouvernements et les entreprises, il est essentiel pour les consommateurs de pouvoir faire confiance aux prestataires auxquels ils confient leurs opérations les plus critiques et leurs informations les plus précieuses.

Chez Google Cloud, nous protégeons vos données contre les menaces et les activités frauduleuses en utilisant les mêmes services d’infrastructure et de sécurité que pour nos propres opérations, mettant ainsi à votre disposition des fonctionnalités avancées habituellement réservées aux organisations d’envergure internationale les mieux dotées en équipe et technologie. Notre ambition repose sur la notion de sécurité invisible, une approche qui intègre les technologies de sécurité directement dans nos plates-formes et nos produits, qui signe la fin des opérations en silo et qui allège la charge de travail de vos spécialistes, tout en réduisant considérablement les risques. Nous avons à cœur de prouver à nouveau pourquoi nous sommes le seul prestataire capable de se montrer à la hauteur de cette ambition, de nouer avec vous un partenariat pour assurer la transformation de votre système de sécurité et de proposer le service de Trusted Cloud le plus fiable du secteur.

Nos exigences pour un cloud fiable

Pour Google Cloud, la promesse d’un cloud fiable repose sur trois piliers :

Une plate-forme sécurisée qui garantit transparence et indépendance : Nous mettons à votre disposition une structure sécurisée, que vous pouvez vérifier et gérer en toute indépendance. Elle vous permet d’opérer une transition de vos propres centres de données vers le cloud, tout en gardant la main sur la localisation et le traitement de vos données, et vous aide à garantir le respect des réglementations locales.
Une architecture zéro confiance éprouvée : Nous proposons une technologie à toute épreuve, qui protège l’intégralité des données contre de nombreux types de menaces que Google identifie et combat quotidiennement. Vous pouvez ainsi vaquer à vos occupations en ayant la certitude que les risques liés aux ransomwares, à la prise de contrôle de comptes, aux bots, au phishing et aux attaques encore plus perfectionnées sont limités au maximum, détectables et réversibles.
Un accompagnement solidaire, nous vous accompagnons : Notre modèle solidaire de gestion des risques vis-à-vis de nos clients repose sur le principe de solidarité. Nous sommes convaincus qu’il en va de notre responsabilité d’agir activement en qualité de partenaire, tandis que nos clients fait usage de nos services en toute sécurité. Notre rôle ne consiste pas à définir les limites de notre responsabilité. Nous nous tenons à vos côtés dès le premier jour et vous aidons à adopter les meilleures pratiques pour une migration de vos données et une exploitation sécurisée de notre cloud.

Examinons chacun de ces piliers plus en détail :

Des fonctionnalités au service de la transparence et de l’indépendance

Nos clients souhaitent tirer parti du cloud, sans pour autant perdre la maîtrise et la liberté d’action sur les opérations qui se déroulent dans leur propre centre de données. Comme nous l’avions expliqué dans un précédent billet, Google Cloud offre aujourd’hui de vastes fonctionnalités pour garantir votre maîtrise totale des données, des logiciels et des opérations. Vous avez la possibilité de choisir les lieux de stockage de vos données, de vos clés de chiffrement, ainsi que les lieux depuis lesquels vos données peuvent être consultées. Vous pouvez également gérer vous-même vos clés de chiffrement, voire les stocker hors de l’infrastructure de Google. Grâce à notre service External Key Management, il est possible de refuser toute demande de la part de Google pour accéder à vos clés de chiffrement, qui serait nécessaire pour décrypter les données clients stockées pour toute raison. Nous vous permettons de surveiller et d’approuver l’accès à vos données ou à vos configurations par l’assistance et l’ingénierie de Google Cloud, selon des justifications et un contexte spécifiques, de façon à ce que vous conserviez la visibilité et le contrôle sur les accès internes. Avec notre service d’informatique confidentielle, vous pouvez garder vos données chiffrées (et, par conséquent, isolées des autres utilisateurs du cloud ou des membres de votre équipe) pendant leur traitement.

Une architecture zéro confiance innovante, éprouvée et évolutive

En tant que pionniers de l’informatique zéro confiance, nous avons tiré de nombreuses leçons des évolutions favorables, mais également des défis liés à ce modèle. Pour Google, le concept de « zéro confiance » n’est pas un simple terme marketing à la mode : il s’agit de notre façon de procéder et de protéger nos activités internes depuis dix ans.

BeyondCorp, notre modèle d’accès zéro confiance, protège les propres applications de Google. Il définit le niveau de confiance des utilisateurs en fonction de l’identité, du contexte et de l’état de leur appareil, et non uniquement de leur capacité à se connecter au réseau de l’entreprise. BeyondProd est notre modèle de fourniture de services de production en toute sécurité et à l’échelle requise. Il met en place des dispositifs de protection, tels que les points de terminaison de service mutuellement authentifiés, la sécurité des données en transit, la terminaison avec équilibrage de charge global et la protection en cas de déni de service, la provenance de code de bout en bout et l’isolation (bac à sable) de l’environnement d’exécution, afin de garantir que seuls les appelants connus, approuvés et autorisés puissent utiliser un service. Les services sont obligés d’utiliser uniquement des codes et des configurations autorisés, et ne fonctionnent que dans des environnements autorisés et vérifiés, empêchant les attaquants de réaliser des actions qui leur permettraient d’étendre leur portée.

Nous passons ensuite ces fonctionnalités zéro confiance en production et les mettons à la disposition de nos clients. Début 2021, nous avons annoncé le lancement de BeyondCorp Enterprise, une version commerciale de notre plate-forme d’accès zéro confiance. De nombreuses fonctionnalités de BeyondProd sont intégrées à Anthos, notre plate-forme d’applications gérée, par exemple dans des fonctions telles que l’autorisation binaire et Anthos Service Mesh. En combinant ces services avec Chronicle, notre plate-forme d’analyse de la sécurité, nous pouvons fournir une prestation informatique sécurisée, tant pour l’utilisateur que pour le réseau, l’application et les données. Nous pouvons en outre détecter et rechercher des menaces dans ces environnements, même pour les organisations qui n’exploitent pas leurs systèmes dans notre cloud.

Miser sur la solidarité pour la gestion des risques dans le cloud

Faire les bons choix en matière de sécurité dans le cloud peut s’avérer épineux. C’est généralement aux clients que revient la responsabilité de mettre en place par leurs propres moyens des programmes de sécurité efficaces. Le modèle de la responsabilité partagée sur le plan de la sécurité est sous-jacent au cloud computing depuis ses balbutiements. Il repose sur l’idée que le fournisseur de services de cloud est garant de la base qu’il met à disposition, tandis que le client répond de la configuration sécurisée, de la protection des données, des droits d’accès, entre autres. En conséquence, les entreprises considèrent le cloud comme un risque devant être géré, plutôt que comme une plate-forme de gestion des risques. Avec le Trusted Cloud de Google, nous fournissons des outils uniques, une assistance détaillée et un ensemble de bonnes pratiques pour réduire le risque client dès le premier jour.

Vous êtes guidé avec précision et disposez de ressources pour optimiser votre sécurité sur notre plate-forme, vous avez accès à des outils pour gérer en permanence la sécurité et la conformité dans notre Trusted Cloud. De plus, à partir d’aujourd’hui, vous bénéficiez d’un accès privilégié à une cyberassurance, avec des tarifs directement liés à la sécurité, à travers le Risk Protection Program. La collaboration de Google Cloud avec deux des plus grands assureurs au monde, Allianz Global Corporate and Specialty (AGCS) et Munich Re, offre plusieurs avantages, tels que la réduction des risques et le potentiel de réduction des coûts, avec une couverture spécialisée pour la cybersécurité, conçue exclusivement pour les clients de Google Cloud.

Le meilleur partenaire pour la transformation de votre système de sécurité

Nous avons pour objectif d’épauler efficacement votre entreprise dans sa transition vers le numérique, que votre système fonctionne sur Google Cloud, d’autres clouds ou en local. Notre Trusted Cloud permet d’opérer le tournant numérique, tout en prenant en charge les aspects liés au risque, à la sécurité, à la conformité et à la confidentialité.

Nous avons conscience que nos produits et nos services ont leurs limites pour accélérer votre transition vers le cloud. Il est essentiel de faire appel au soutien et à l’assistance de leaders qui ont fait l’expérience de la complexité de ces challenges pour les entreprises d’aujourd’hui et qui savent comment les relever. L’Office of the CISO de Google Cloud est une équipe dédiée spécialisée, qui collabore avec vous et nos équipes de conception de solutions, afin de vous assister tout au long de votre processus de transition vers le numérique, en toute sécurité. Provenant de divers horizons, notamment les secteurs de la finance, de la santé, de la vente, des télécommunications et des organisations gouvernementales, nos spécialistes peuvent vous guider de façon concrète dans la mise en place des bonnes pratiques, sur des sujets de sécurité et de gestion des risques de petite ou de grande envergure.

L’équipe “Office of the CISO” entretient un système de plus en plus efficace fondé sur les retours des utilisateurs, dont les difficultés sont prises en compte pour faire évoluer les configurations des produits et les nouvelles fonctionnalités. Elle s’efforce de simplifier au maximum le processus de sécurisation, en mettant à votre disposition des outils et des ressources, tels que des zones d’atterrissage sécurisées, des plans de sécurité et de la documentation. Il s’agit d’un accompagnement détaillé pour la transformation des systèmes de sécurité et la mise en place rapide et sûre de nouveaux services. Consultez CISO’s Guide to Security Transformation, notre premier livre blanc publié le mois dernier et ne ratez pas nos prochaines publications dans les mois à venir.

Tout ne fait que commencer

La fiabilité de nos partenaires est plus essentielle que jamais dans notre monde interconnecté. Alors que les exigences en matière de confiance ne cessent de s’intensifier, Google Cloud travaille d’arrache-pied pour les identifier et pour se montrer à la hauteur à travers des solutions inédites. L’idée d’un partenariat fondé sur la solidarité, susceptible de générer des récompenses partagées à travers le Risk Protection Program, n’est qu’un exemple parmi d’autres. Google est un leader en matière de sécurité sur le cloud et nous continuerons à honorer nos promesses, afin de demeurer le meilleur Trusted Cloud.

Cloud CoC : Google Cloud confirme sa volonté de contribuer à un climat de confiance et de transparence en Europe

Fri, 02 Jul 2021 13:00:00 +0000

Les contrôles, les clauses contractuelles et les outils en matière de responsabilité de Google Cloud, parmi les plus avancés du secteur, permettent depuis des années aux entreprises de toute l'Europe de répondre à des exigences réglementaires strictes en termes de protection des données. En soutenant ces efforts de conformité, nous avons gagné la confiance des entreprises européennes, y compris celle de détaillants, de fabricants et de fournisseurs de services financiers.

Google Cloud a été l'un des premiers fournisseurs cloud à défendre et à adopter le Code de conduite cloud du RGPD pour l'UE dans le but de conserver cette confiance. C'est un mécanisme qui permet aux fournisseurs cloud de prouver qu'en tant que sous-traitants des données, ils offrent des garanties suffisantes concernant l'implémentation de mesures techniques et organisationnelles appropriées, en vertu du RGPD.

Aujourd'hui, après avoir reçu un avis positif du Comité européen de la protection des données (CEPD), l'autorité belge chargée de la protection des données a approuvé le code de conduite. Il s'agit de l'aboutissement d'une collaboration constructive entre la communauté du cloud computing, la Commission européenne et les autorités chargées de la protection des données en Europe. Nous sommes fiers d'annoncer que Google Cloud Platform et Google Workspace respectent déjà les dispositions prévues par ce code de conduite, le premier à être approuvé dans le cadre du RGPD. C'est une excellente nouvelle pour notre secteur, car c'est un nouvel outil renforçant la transparence et la responsabilité qui incite les entreprises et les particuliers à faire confiance au cloud.

En plus de se conformer au code de conduite, Google Cloud a reçu des certifications démontrant son respect de normes internationales reconnues en matière de confidentialité, par exemple : ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 et ISO/IEC 27701. Ces certifications indépendantes prouvent notre attachement à préserver la sécurité et la confidentialité des données.

Par le biais de cette initiative, Google Cloud s'engage une nouvelle fois à fournir à ses clients toute l'aide dont ils ont besoin pour se conformer aux normes lorsqu'ils utilisent ses services. Pour en savoir plus sur la manière dont Google Cloud peut soutenir les entreprises dans leurs démarches en matière de conformité, consultez le Centre de ressources pour la conformité.

Une collaboration plus sécurisée avec Google Workspace

Mon, 14 Jun 2021 11:00:00 +0000

Google annonce un ensemble de fonctionnalités encore plus puissantes pour rester connecté et gagner en productivité avec Google Workspace, que vous soyez chez vous, au bureau ou à l’école. Alors que le travail hybride devient la norme pour de nombreux employés, la sécurité, la confidentialité des données et la confiance sont des piliers indispensables pour pouvoir collaborer depuis n’importe où et n’importe quand. Ces éléments ont toujours été au centre de nos préoccupations. Aujourd’hui, nous enrichissons ce socle de nouvelles fonctionnalités afin de renforcer la protection des échanges de nos clients.

Nous cherchons sans cesse à rendre le Web plus sûr pour tous les internautes. En 2004, nous avons lancé Gmail avec pour objectif de mettre un terme au spam. Quelques années plus tard, nous avons créé la fonctionnalité de navigation sécurisée, qui contribue à protéger plus de 4 milliards d'appareils chaque jour. En début d'année, alors que le monde du travail continue d'évoluer, nous avons lancé BeyondCorp Enterprise, une solution zéro confiance qui permet aux travailleurs du monde entier d'accéder de manière sécurisée aux applications et aux services. Nous avons également trouvé de nouveaux moyens de renforcer le chiffrement afin d'assurer la sécurité de nos clients et des utilisateurs tout en protégeant leurs données, que ce soit en mettant au point le chiffrement en transit pour la messagerie et la navigation, en activant HTTPS par défaut dans Chrome ou en signalant les sites non chiffrés.

De nouvelles innovations dans le domaine de la sécurité et de la confidentialité permettent aujourd’hui aux clients Google Workspace de bénéficier de toute la puissance d'une collaboration cloud native, fiable et sûre.

Confidentialité et sécurité des données renforcées grâce au chiffrement côté client

En lançant le chiffrement côté client dans Google Workspace, nous aidons nos clients à renforcer la confidentialité de leurs données tout en leur permettant de répondre facilement à un large éventail d'exigences de conformité et de souveraineté des données.

Google Workspace utilise d'ores et déjà les normes de chiffrement les plus récentes pour sécuriser toutes les données, au repos comme en transit entre nos sites.

Aujourd'hui, nous allons encore plus loin en offrant à nos clients un contrôle direct des clés de chiffrement et du service de gestion des identités qu'ils utilisent pour accéder à ces clés. Combiné à nos autres fonctionnalités de sécurité, le chiffrement côté client renforce encore un peu plus la protection des données des utilisateurs dans Google Workspace. Grâce à lui, les utilisateurs continuent à profiter de la collaboration Web native de Google, à accéder à leur contenu sur des appareils mobiles et à partager des fichiers chiffrés en externe sans que Google puisse avoir accès à leurs données.

Un tel chiffrement côté client est tout particulièrement utile aux organisations qui stockent des informations sensibles ou réglementées, comme des données de propriété intellectuelle, des dossiers médicaux ou des données financières. Il permet aussi de répondre aux exigences de souveraineté des données et de conformité ITAR, CJIS, TISAX, IRS 1075 et EAR.

Mais comme l'indique Airbus, le chiffrement côté client peut aussi aider les organisations à faire beaucoup plus : « Chez Airbus, nous utilisons déjà le chiffrement côté client de Google Workspace pour protéger nos données d'entreprise les plus essentielles. La possibilité de contrôler entièrement nos propres clés de chiffrement tout en profitant des outils de productivité hautement performants de Google a largement contribué à notre passage au tout numérique. Le chiffrement côté client est une des pierres angulaires de notre nouvelle stratégie de gouvernance des informations » explique Andrew Plunkett, Head of Digital Workplace, Airbus

Créez facilement des documents Docs, feuilles de calcul Sheets et présentations Slides chiffrés côté client

Afin de maintenir la séparation des tâches, vous devez, lorsque vous activez le chiffrement côté client, choisir un partenaire de services d'accès aux clés, tel que Flowcrypt, Futurex, Thales ou Virtru. Ces partenaires ont conçu des outils conformes aux spécifications Google et proposent des fonctionnalités à la fois de contrôle des accès et de gestion des clés. Seul le partenaire que vous choisissez détient la clé permettant de déchiffrer les fichiers Google Workspace ainsi sécurités. Google ne peut accéder à ces fichiers ni les déchiffrer sans cette clé.

Les entreprises qui préfèrent développer ou intégrer leurs propres solutions internes de gestion des clés pourront prochainement exploiter l’API du service d’accès aux clés afin de profiter d’un chiffrement côté client intégralement sous leur contrôle. Les spécifications de cette API seront publiées dans le courant de l'année.

Les utilisateurs peuvents facilement voir si leur document sont chiffrés

WNous allons déployer dans les semaines à venir une version bêta du chiffrement côté client pour les clients Google Workspace Enterprise Plus et Google Workspace Education Plus. Cette sécurité sera dans un premier temps disponible dans Google Drive, Docs, Sheets et Slides. Elle sera compatible avec plusieurs types de fichiers dont les documents Office et les PDF. Pour en savoir plus, les clients intéressés peuvent s'inscrire dès maintenant à la version bêta.

Nous prévoyons de rendre le chiffrement côté client disponible dans toutes les applications Google Workspace, y compris Gmail, Meet et Agenda. Il le sera dans Google Meet à l'automne. Nous vous communiquerons plus de détails très bientôt.

Davantage d'options pour contrôler la collaboration sécurisée avec des règles de confiance pour Drive

Le partage d'idées et d'informations étant au cœur de toute collaboration sécurisée, il est essentiel que vous puissiez gérer vos fichiers de manière efficace et précise afin de vous assurer qu’ils sont toujours entre les bonnes mains. Dans cette optique, nous offrons aux administrateurs davantage d'options pour configurer les partages des fichiers sous Drive à l’aide de nouvelles « règles de confiance ».

Ces règles leur permettent de mieux contrôler la manière dont les fichiers sont partagés, aussi bien en interne qu’avec l’extérieur. Les administrateurs peuvent ainsi appliquer des restrictions de partage en interne comme en externe. Ils peuvent même définir des règles spécifiques pour des unités organisationnelles ou des groupes d’utilisateurs, favorisant ainsi une approche plus précise que l'application de règles générales à chaque utilisateur.

Définissez des règles de confiances précises pour vos unités organisationnelles et groupes d’utilisateurs

La version bêta des règles de confiance sera déployée dans les mois à venir. Elle sera disponible pour les clients Google Workspace Enterprise et Google Workspace Education Plus.

Protection avancée contre la perte de données et classification avec les libellés Drive

Les libellés Drive permettent aux utilisateurs de classer les fichiers stockés dans Google Drive afin d'en assurer une meilleure gestion. Ils sont interfacés avec les fonctionnalités de protection contre la perte de données (DLP) de Google Workspace. Les administrateurs peuvent ainsi configurer des règles de rétention en fonction des niveaux de sensibilité définis. Même si les utilisateurs oublient de répertorier leur contenu, les fichiers sont automatiquement classés en fonction des règles de protection DLP prédéfinies par l'administrateur. Par ailleurs, les clients disposent maintenant de 60 nouveaux détecteurs de contenu, dont plusieurs reposent sur le machine learning pour une détection encore plus efficace. Identification des CV, des dossiers SEC, des brevets ou du code source… Ces nouveaux détecteurs facilitent le travail des administrateurs en bloquant automatiquement l'envoi et le partage de ce type d’information.

Vous pouvez utiliser les libellés Drive avec la fonctionnalité DLP de Drive pour interdire le partage avec l’externe, le téléchargement et l'impression de fichiers classifiés.

Les utilisateurs peuvent facilement utiliser les libellés afin d’assurer une meilleure gestion de leur document

Les libellés Drive sont désormais disponibles en version bêta pour les clients Google Workspace Business Standard, Google Workspace Business Plus, Google Workspace Enterprise, Google Workspace for Education Standard et Google Workspace Education Plus. Les clients intéressés peuvent s'inscrire ici. La classification automatique via la protection contre la perte de données (DLP) est disponible pour les clients Google Workspace Enterprise Standard, Enterprise Plus et Education Plus.

De nouvelles protections contre les logiciels malveillants et l'hameçonnage dans Google Drive

Tous les clients Google Workspace bénéficient d'ores et déjà des protections intégrées à Google Drive pour bloquer les tentatives d'hameçonnage et les logiciels malveillants provenant d'utilisateurs et d'organisations externes. Dans les prochaines semaines, cette protection sera renforcée : tous les administrateurs pourront appliquer ces protections aux contenus internes de leur organisation, et ce afin de le protéger des menaces qui proviennent de l'intérieur et des erreurs des utilisateurs. Si un contenu malveillant est détecté, le fichier correspondant est automatiquement étiqueté et ne sera plus accessible que par les administrateurs et son propriétaire. Cette fonction évite qu'il ne soit partagé ou diffusé, réduisant drastiquement le nombre d'utilisateurs potentiellement affectés.

Ces nouvelles protections contre l'hameçonnage et les logiciels malveillants concernent toutes les éditions Google Workspace.

Ces innovations Google Workspace s'inscrivent dans le prolongement de notre mission première visant à protéger et à sécuriser la collaboration en tout lieu et à tout moment. Elles aident nos clients à profiter pleinement d'une plateforme cloud fiable conçue pour un environnement de travail hybride en constante évolution. Le chiffrement côté client est une des nouveautés majeures de Google Workspace. Associé à nos autres fonctionnalités de chiffrement, il offre à nos clients des contrôles, des mesures de protection et une tranquillité d'esprit supplémentaires, y compris dans les secteurs les plus réglementés.

BeyondCorp Enterprise : une nouvelle ère informatique

Thu, 29 Apr 2021 10:00:00 +0000

Les problèmes de sécurité continuent à perturber les activités des entreprises mondiales. Les incidents récents mettent en évidence la nécessité de repenser nos plans et opérations de sécurité. En effet, les hackers sont de plus en plus intelligents, leurs attaques sont plus avancées et la garantie de la protection des données n'est plus valable. Toutefois, le vrai défi consiste à apporter une innovation de rupture dans la sécurité sans interrompre les opérations dans ce domaine.

Nous sommes heureux de vous annoncer le lancement de la version en disponibilité générale de BeyondCorp Enterprise, la solution complète zéro confiance de Google. Celle-ci étend et remplace l'accès à distance BeyondCorp. Nous l'appliquons depuis plus de dix ans à notre solution BeyondCorp, une suite de technologies mise en œuvre en interne pour protéger les applications, les données et les utilisateurs. Avec BeyondCorp Enterprise, les entreprises peuvent profiter de cette technologie moderne et éprouvée pour se lancer dans leur parcours zéro confiance. Grâce à notre expérience du modèle zéro confiance, nous savons que les entreprises ont besoin d'une solution qui leur permettra non seulement d'améliorer leur stratégie de sécurité, mais aussi d'offrir aux utilisateurs et aux administrateurs une expérience simple.

Approche moderne, éprouvée et ouverte du zéro confiance

Comme nous sommes passés au modèle zéro confiance il y a dix ans, nous savons que sa mise en œuvre dans une entreprise ne se fait pas en appuyant simplement sur un bouton, notamment en raison de la diversité des ressources et des environnements informatiques.

C'est pourquoi nous avons consacré des années à développer une solution économique qui n'entraîne pratiquement aucune interruption des déploiements et processus métier existants, en basant sa conception sur la confiance, la fiabilité et l'évolutivité.

Le résultat, BeyondCorp Enterprise, offre à nos clients et partenaires les trois avantages clés ci-dessous.

1) Une plate-forme zéro confiance évolutive et fiable dans une architecture sécurisée sans agent, qui comprend, entre autres, les éléments suivants :

Compatibilité sans interruption et sans agent assurée via le navigateur Chrome, utilisé par plus de 2 milliards de personnes dans le monde

Réseau mondial de Google, avec 144 emplacements de réseau périphérique, disponible dans plus de 200 pays et territoires, permettant aux utilisateurs de travailler en toute sécurité où qu'ils se trouvent

Intégralité de la surface protégée par notre service évolutif de protection contre le DDoS, capable de résister aux plus vastes attaques DDoS enregistrées (2,5 To/s) récemment

Sécurité de plate-forme intégrée et vérifiable, de plus en plus importante suite aux récentes attaques sur les chaînes d'approvisionnements logicielles

2) Une protection de bout en bout continue et en temps réel :

Protection intégrée des données et contre les menaces, récemment ajoutée à Chrome, afin d'éviter la perte et l'exfiltration de données malveillantes ou involontaires, ainsi que les infections du navigateur par des logiciels malveillants provenant du réseau

Authentification forte anti hameçonnage pour garantir l'identité des utilisateurs

Autorisation continue pour chaque interaction entre un utilisateur et une ressource protégée par BeyondCorp

Sécurité de bout en bout entre l'utilisateur et l'application et entre les applications (y compris la micro segmentation) basée sur l'architecture BeyondProd

Gestion automatisée du cycle de vie des certificats SSL publiquement approuvés pour les points de terminaison BeyondCorp Web fournis par Google Trust Services

3) Une solution ouverte et extensible, compatible avec une large gamme de produits complémentaires :

Conception basée sur un écosystème croissant de partenaires technologiques, la BeyondCorp Alliance, qui démocratise le modèle zéro confiance et permet aux clients de tirer parti d'investissements existants

Ouverte au niveau des points de terminaison pour incorporer les signaux de partenaires tels que Crowdstrike et Tanium, afin que les clients puissent utiliser ces informations lors de la création des règles d'accès

Extensible au niveau des applications pour l'intégration aux services de pointe de partenaires tels que Citrix et VMware

En résumé, notre solution offre une évolutivité, une sécurité et une expérience utilisateur inégalées. Avec BeyondCorp Enterprise, nous mettons à la disposition des clients notre plate-forme éprouvée et évolutive pour répondre à leurs besoins en matière de sécurité zéro confiance, où qu'ils se trouvent.

Engagement de nos clients pour le modèle zéro confiance

Nous avons collaboré avec des clients du monde entier pour mettre à l'épreuve notre technologie BeyondCorp Enterprise et leur permettre de poser des bases sûres d'une architecture zéro confiance moderne pour leur entreprise. Vaughn Washington, vice-président de l'ingénierie chez Deliveroo,, explique "Grâce à BeyondCorp Enterprise, nous pouvons facilement déployer le modèle zéro confiance auprès de nos employés disséminés à travers le monde. Un accès sécurisé aux applications et aux données associées est essentiel pour notre activité. BeyondCorp Enterprise nous permet de gérer la sécurité au niveau des applications, ce qui élimine le recours aux VPN traditionnels et les risques associés. En combinant BeyondCorp Enterprise et Chrome Enterprise, nous avons davantage de visibilité et de contrôles pour garantir la sécurité de nos données."

"Nous souhaitons améliorer l'expérience de nos développeurs et continuer à renforcer notre stratégie de sécurité en adoptant une architecture zéro confiance. L'expérience de Google en matière de sécurité zéro confiance et les fonctionnalités de BeyondCorp Enterprise en font le partenaire idéal pour notre parcours", affirme Tim Collyer, directeur de la sécurité des informations d'entreprise chez Motorola Solutions, Inc.

Soutien d'un solide écosystème de partenaires

Nos partenaires jouent un rôle majeur dans notre démarche de promotion et de démocratisation de cette technologie. La BeyondCorp Alliance permet aux clients de profiter de contrôles existants pour faciliter l'adoption de la technologie, ainsi que de fonctionnalités et d'insights clés les aidant à prendre de meilleures décisions en matière d'accès. Check Point, Citrix, CrowdStrike, Jamf, Lookout, McAfee, Palo Alto Networks, Symantec (une division de Broadcom), Tanium et VMware sont membres de BeyondCorp Alliance et partagent notre vision.

"Dans cette nouvelle ère de la sécurité, les entreprises recherchent un modèle de sécurité fluide adapté aux réalités du télétravail, aux applications cloud et aux communications mobiles. Ce modèle, c'est le zéro confiance, et sa capacité à évaluer rapidement l'état des points de terminaison est essentielle à son efficacité. Qui accède aux points de terminaison ? Contiennent-ils des failles ? Des correctifs y ont-ils été apportés et sont-ils conformes ?", explique Orion Hindawi, cofondateur et PDG de Tanium. "Avec Google Cloud, nous allons pouvoir proposer aux entreprises dont les employés sont dispersés des solutions communes leur fournissant plus de visibilité et de contrôle sur les activités, quels que soient le réseau et l'application, à la fois pour les utilisateurs et les points de terminaison."

Matthew Polly, vice-président des alliances mondiales, des canaux et du développement commercial chez CrowdStrike, indique : "Avec les menaces complexes d'aujourd'hui, la sécurité zéro confiance est essentielle pour une protection efficace. Les clients de BeyondCorp Enterprise pourront utiliser en toute fluidité la puissance de la plate-forme CrowdStrike Falcon. Ils profiteront ainsi d'une protection complète grâce au contrôle des accès vérifié à leurs données et applications métier. De plus, leurs éléments et leurs utilisateurs seront protégés contre les techniques avancées des hackers."

"Le passage rapide au télétravail et au cloud crée des environnements de travail dynamiques, promesses de nouveaux niveaux de productivité et d'innovation. Mais il ouvre également la porte à une multitude de nouveaux risques de sécurité et a causé une augmentation considérable du nombre de cyberattaques", explique Fermin Serna, directeur de la sécurité des informations chez Citrix. "Pour s'en prémunir, les entreprises doivent adopter une approche intelligente de la sécurité des espaces de travail qui protège les employés sans compromettre leur expérience, tout en suivant le modèle zéro confiance. Citrix Workspace et BeyondCorp Enterprise sont des outils parfaits pour cela."

Dan Quintas, directeur principal du développement de produits chez VMware, ajoute : "L'engagement de Google en matière de sécurité est clair. Et dans l'environnement actuel, les stratégies d'accès aux appareils sont un élément important du framework zéro confiance. Grâce aux intégrations de Workspace ONE dans BeyondCorp Enterprise, les clients peuvent utiliser les informations sur l'état de conformité des appareils pour protéger les informations de leur entreprise ainsi que garantir la productivité et la sécurité des utilisateurs."

Nous continuons également à collaborer avec les services chargés des cyberrisques chez Deloitte afin de fournir des services d'architecture, de conception et de déploiement de bout en bout pour accompagner nos clients dans leur parcours zéro confiance.

"Il est actuellement indispensable pour les entreprises de mettre en œuvre et d'opérationnaliser une architecture zéro confiance", explique Deborah Golden, conseillère financière et risques en charge des risques informatiques et stratégiques chez Deloitte & Touche LLP. "Google Cloud et Deloitte sont bien placés pour fournir aux clients cette transformation sécurisée et proposer conjointement une approche moderne de la sécurité qui s'intègre efficacement aux infrastructures existantes."

Passez à l'étape suivante

L'adoption du modèle zéro confiance est essentielle pour moderniser la sécurité, et BeyondCorp Enterprise peut accompagner les entreprises à relever les défis liés à une telle innovation de rupture. Pour en savoir plus sur BeyondCorp Enterprise, inscrivez-vous à notre webinaire et consultez la page d'accueil du produit BeyondCorp.

Pour en savoir plus sur les fonctionnalités de sécurité de Chrome Enterprise, y compris les nouvelles fonctionnalités de protection des données et contre les menaces de BeyondCorp Enterprise, inscrivez-vous à notre webinaire.

Sécurité

Concevoir un programme de Cyber Threat Intelligence (CTI) véritablement efficace

Les trois piliers d’un programme CTI efficace

Par où commencer ?

Comment Mandiant peut vous aider

Renforcer toujours plus les capacités de souveraineté, la liberté de choix et la sécurité de nos clients dans le Cloud

Un engagement en faveur de la liberté de choix

Contrôle local. Sécurité mondiale.

La confiance numérique pour tous

Comment les clients européens bénéficient de la liberté de choix de Google Sovereign Cloud

Collaborations récentes et cas d’usages

Disponibilité de nouveaux contrôles souverains fournis par des partenaires

Contrôles régionaux étendus sans frais supplémentaires

Répondre aux exigences actuelles et futures en France

Favoriser l’utilisation de l’IA partout avec Google Distributed Cloud

Franchissez le cap!

IA générative : 10 conseils pour stimuler la gouvernance de vos projets IA

Bien commencer avec l’IA générative

Retour sur les attaques DDoS record de type HTTP/2 « Rapid Reset »

Des attaques DDoS sur HTTP/2

Le multiplexage de flux

L’attaque « HTTP/2 Rapid Reset »

Variantes de l'attaque HTTP/2 Rapid Reset

Une approche multidimensionnelle des mesures d'atténuation

Et pour les autres protocoles ?

Coordination des efforts

Prochaines étapes

Google a contré l’attaque DDoS la plus importante à ce jour : 398 millions de rps

Notre enquête et nos réponses

Coordination et réponse de l'industrie pour CVE-2023-44487

Qui est susceptible d'être touché et comment réagir ?

Prochaines étapes

Google Workspace : l’avenir du travail, en toute sécurité

Contrôles de sécurité embarqués pour une collaboration plus fluide

Adopter un modèle de confiance zéro : s'assurer que les bonnes personnes ont accès aux bonnes informations

Aider les collaborateurs à faire des choix plus éclairés et sécurisés

Une sécurité adaptée à nos nouvelles façons de travailler

Comment Anthos contribue à l’amélioration de la sécurité et de la gouvernance de vos plateformes et applications

Ressources complémentaires

Toute transformation réussie vers le cloud débute par un changement culturel

Les leçons de la virtualisation pour les régulateurs de la transformation cloud

Quand la transformation culturelle favorise la transformation vers le cloud

Google + Mandiant : comment transformer les opérations de sécurité et la réponse aux incidents

Importance fondamentale de l’intelligence de l’information pour lutter contre les menaces

Un « destin partagé » renforcé pour les opérations de sécurité

Moderniser les opérations de sécurité et la réponse aux incidents

Quelques réactions à l’acquisition de Mandiant par Google

Comment transformer votre Security Operations Center

Pourquoi le SOC nécessite-t-il une transformation ?

Qu’est-ce que l’Autonomic Security Operations ?

Comment atteindre l’Autonomic Security Operations ?

Transformation du personnel

Transformation des processus

Transformation des technologies

Transformation de l’influence

Créer un futur plus sécurisé

Favoriser la souveraineté numérique sur Google Workspace

Favoriser la souveraineté numérique des organisations de l'UE

Optimisation des contrôles avancés et chiffrement côté client

Davantage de contrôle sur la localisation des données

Contrôle et transparence des accès d’administration

Bâtir un avenir numérique conforme aux exigences de l'Europe

Google Cloud accueille favorablement les nouvelles clauses contractuelles standards de l’UE

Renforcer la sécurité des emails Gmail avec BIMI

Thales et Google Cloud. Le Cloud. De confiance. Conçu pour la France.

Google Cloud accueille favorablement les nouvelles clauses contractuelles standards de l’UE

Google Cloud Next (du 12 au 14 octobre) : Ouverture des inscriptions

Un cloud de confiance

BeyondCorp Enterprise : une nouvelle ère informatique

Cloud CoC : Google Cloud confirme sa volonté de contribuer à un climat de confiance et de transparence en Europe

Une collaboration plus sécurisée avec Google Workspace

Confidentialité et sécurité des données renforcées grâce au chiffrement côté client

Davantage d'options pour contrôler la collaboration sécurisée avec des règles de confiance pour Drive

Protection avancée contre la perte de données et classification avec les libellés Drive

De nouvelles protections contre les logiciels malveillants et l'hameçonnage dans Google Drive

BeyondCorp Enterprise : une nouvelle ère informatique

Approche moderne, éprouvée et ouverte du zéro confiance

Engagement de nos clients pour le modèle zéro confiance

Soutien d'un solide écosystème de partenaires

Passez à l'étape suivante