Data driven

Une nouvelle approche de la sécurité d’entreprise : l’exemple Google

12 juillet 2018

Profil linkedin de Benjamin Faibis
Benjamin Faibis
B. Faibis

Depuis 2011, les applications et services back-office du SI de Google sont accessibles directement depuis l’Internet sans passer par un lien VPN (Virtual Private Network ou en français liaison point à point sécurisée).

Cette ouverture du SI en situation de mobilité, est en rupture avec les standards du marché. En effet, pour tous les professionnels de la sécurité, ce choix d’architecture vient bouleverser l’un des grands principes directeurs de sécurité à savoir « protéger les accès au back-office depuis internet par un dispositif type VPN ».

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande que « les flux réseaux échangés entre un poste en situation de nomadisme et le système d’information doivent être protégés par IPSEC ».

Une architecture VPN a pour objectif de contrôler l’équipement qui souhaite se connecter au SI via internet, et de protéger les flux à travers un tunnel sécurisé. Pour les non-initiés, le VPN peut être comparé à un pont levis qui protégerait un donjon qui abriterait le SI back-office.

BEYOND CORP au sein de Google, un programme de sécurité qui casse les codes de la sécurité pour promouvoir plus de sécurité

La remise en question d’un des fondamentaux de la sécurité aura pris plus de 6 ans à Google à travers un programme nommé BEYOND CORP.

Le programme BEYOND CORP est né d’une initiative interne à Google pour permettre à chaque employé d’accéder aux services back-office de Google à travers des réseaux non maîtrisés par l’entreprise tel que le réseau Internet sans passer par des VPN. Mais pour quelles raisons me direz-vous ? Tout simplement pour apporter plus de sécurité. En effet, Google est parti du constat que l’utilisation d’un VPN était un mécanisme de défense trop faible et non adapté à la complexité de leurs infrastructures qui multiplient les situations de nomadismes, le type d’équipement, ou l’essor du Cloud. Pour maintenir une agilité dans son architecture tout en maintenant un niveau de sécurité suffisant, Google a souhaité remettre en question l’usage même du VPN, à travers Beyond Corp.

L’intranet est mort, vive l’internet

Avec Beyond Corp, Google sort du mécanisme manichéen de la sécurité qui considère que le réseau interne est un réseau de confiance alors que les réseaux externes sont à risque (ex : internet). Dans le modèle Google, tous les réseaux sont à risque. Le niveau de sécurité d’une connexion sur un réseau (quel qu’il soit) est évalué sur un ensemble de critères consolidés dans un méta-score de risque. Les accès aux applications du back-office sont acceptés ou refusés en fonction du méta-score de risque obtenu pour chaque tentative de connexion.

 

Comment Google a-t-il fait pour migrer vers BEYOND CORP

De la stratégie à la mise en œuvre, le programme Beyond Corp aura pris 6 ans selon 2 étapes suivantes :

  • La première étape a été de décider le lancement de ce programme. Le lancement du programme a nécessité un sponsorship fort de la direction Google qui a pris conscience des risques actuels sur le SI et ROI du programme.
  • La seconde étape consiste au cadrage du programme, c’est-à-dire d’établir un inventaire de l’existant et la définition d’une cible : que faut-il protéger ? Quels sont les infrastructures / services de sécurité déjà en place ? Quels sont mes services / applications externalisées ? Enfin, le programme Beyond Corp a nécessité une transformation en profondeur de l’infrastructure de Google :
    • Mise en place d’une infrastructure de certificat permettant des échanges sécurisés pour l’ensemble des équipements utilisés chez Google. Cette étape a nécessité des interactions avec chaque équipe responsable d’équipement (ordinateurs, tablettes, smartphone, IoT, …)
    • Migration progressive des services Google vers le nouveau modèle de sécurisation Beyond Corp. Cette migration a été réalisée de la façon la plus sûre possible pour ne pas impacter la continuité de service des services google.
    • Les cas les plus complexes pour la migration (ex : progiciels) ont été traités à la marge. Après 6 années de travaux, la majorité des applications est désormais protégée par le nouveau paradigme de sécurisation.

Les entreprises du marché doivent-elles suivre le modèle de sécurité au sein de Google ?

La décision de Google d’enclencher le programme Beyond Corp est pragmatique et prospective. Cette décision est basée sur le constat que l’accès au back-office en situation de nomadisme par VPN ne répond plus, ni aux standards de sécurité ni aux besoins d’agilité de la firme. Fort de ces éléments, Google a accepté investir dans un programme à temps long (6 ans) pour garder son avantage comparatif sur le marché. Cette décision a par ailleurs été payante car Google relève déjà des gains en matière de productivité.

La question qui pourrait être posée reste la suivante : les autres entreprises devraient-elles suivre Google dans cette démarche ? Notre conviction est que la réponse est évidemment à trouver au cas par cas, mais de premiers éléments de réflexions peuvent être mis en avant :

  • Les fondations d’un tel programme sont-elles existantes ou en cours de construction (ex : infrastructure de certificat, gestion de parc, authentification double facteurs,)
  • Les ressources à protéger sont-elles compatibles au modèle Beyond Corp (Beyond Corp est principalement destinée à des applications web)
  • L’Agilité de mon système d’information et le nomadisme sont-ils stratégiques ?
  • Le niveau de sécurité apporté par l’usage de VPN est-il suffisant au regard des risques IT encourus ?

Weave vous accompagne sur la définition de votre stratégie Architecture et Sécurité pour vous aider à trouver le modèle le plus adapté à votre organisation et vos ambitions.

Sources :

BEYONDCORP – Une nouvelle approche de la sécurité d’entreprise

Recommandations de sécurité pour la protection des flux réseau

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse contact@weave.eu.

Et aussi

On en parle

rater ses initiatives IA - weave

Comment rater ses premières initiatives en IA ?

Gaylord Foureau
10 juillet 2018

Cybersécurité : agir sur le facteur humain ?

Bertrand Helfre
29 juin 2018

Nos offres sur le sujet

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles