Depuis 2011, les applications et services back-office du SI de Google sont accessibles directement depuis l’Internet sans passer par un lien VPN (Virtual Private Network ou en français liaison point à point sécurisée), changeant complètement le concept de sécurité informatique d’entreprise.
Cette ouverture du SI en situation de mobilité, est en rupture avec les standards du marché. En effet, pour tous les professionnels de la sécurité, ce choix d’architecture vient bouleverser l’un des grands principes directeurs de sécurité à savoir « protéger les accès au back-office depuis internet par un dispositif type VPN ».
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande que « les flux réseaux échangés entre un poste en situation de nomadisme et le système d’information doivent être protégés par IPSEC ».
Une architecture VPN a pour objectif de contrôler l’équipement qui souhaite se connecter au SI via internet, et de protéger les flux à travers un tunnel sécurisé. Pour les non-initiés, le VPN peut être comparé à un pont levis qui protégerait un donjon qui abriterait le SI back-office.
BEYOND CORP au sein de Google, un programme de sécurité qui casse les codes de la sécurité pour promouvoir plus de sécurité
La remise en question d’un des fondamentaux de la sécurité aura pris plus de 6 ans à Google à travers un programme nommé BEYOND CORP.
Le programme BEYOND CORP est né d’une initiative interne à Google pour permettre à chaque employé d’accéder aux services back-office de Google à travers des réseaux non maîtrisés par l’entreprise tel que le réseau Internet sans passer par des VPN. Mais pour quelles raisons me direz-vous ? Tout simplement pour apporter plus de sécurité. En effet, Google est parti du constat que l’utilisation d’un VPN était un mécanisme de défense trop faible et non adapté à la complexité de leurs infrastructures qui multiplient les situations de nomadismes, le type d’équipement, ou l’essor du Cloud. Pour maintenir une agilité dans son architecture tout en maintenant un niveau de sécurité suffisant, Google a souhaité remettre en question l’usage même du VPN, à travers Beyond Corp.
L’intranet est mort, vive l’internet
Avec Beyond Corp, Google sort du mécanisme manichéen de la sécurité qui considère que le réseau interne est un réseau de confiance alors que les réseaux externes sont à risque (ex : internet). Dans le modèle Google, tous les réseaux sont à risque. Le niveau de sécurité d’une connexion sur un réseau (quel qu’il soit) est évalué sur un ensemble de critères consolidés dans un méta-score de risque. Les accès aux applications du back-office sont acceptés ou refusés en fonction du méta-score de risque obtenu pour chaque tentative de connexion.
Comment Google a-t-il fait pour migrer vers BEYOND CORP
De la stratégie à la mise en œuvre, le programme Beyond Corp aura pris 6 ans selon 2 étapes suivantes :
- La première étape a été de décider le lancement de ce programme. Le lancement du programme a nécessité un sponsorship fort de la direction Google qui a pris conscience des risques actuels sur le SI et ROI du programme.
- La seconde étape consiste au cadrage du programme, c’est-à-dire d’établir un inventaire de l’existant et la définition d’une cible : que faut-il protéger ? Quels sont les infrastructures / services de sécurité déjà en place ? Quels sont mes services / applications externalisées ? Enfin, le programme Beyond Corp a nécessité une transformation en profondeur de l’infrastructure de Google :
- Mise en place d’une infrastructure de certificat permettant des échanges sécurisés pour l’ensemble des équipements utilisés chez Google. Cette étape a nécessité des interactions avec chaque équipe responsable d’équipement (ordinateurs, tablettes, smartphone, IoT, …)
- Migration progressive des services Google vers le nouveau modèle de sécurisation Beyond Corp. Cette migration a été réalisée de la façon la plus sûre possible pour ne pas impacter la continuité de service des services google.
- Les cas les plus complexes pour la migration (ex : progiciels) ont été traités à la marge. Après 6 années de travaux, la majorité des applications est désormais protégée par le nouveau paradigme de sécurisation.
Les entreprises du marché doivent-elles suivre le modèle de sécurité au sein de Google ?
La décision de Google d’enclencher le programme Beyond Corp est pragmatique et prospective. Cette décision est basée sur le constat que l’accès au back-office en situation de nomadisme par VPN ne répond plus, ni aux standards de sécurité ni aux besoins d’agilité de la firme. Fort de ces éléments, Google a accepté investir dans un programme à temps long (6 ans) pour garder son avantage comparatif sur le marché. Cette décision a par ailleurs été payante car Google relève déjà des gains en matière de productivité.
La question qui pourrait être posée reste la suivante : les autres entreprises devraient-elles suivre Google dans cette démarche ? Notre conviction est que la réponse est évidemment à trouver au cas par cas, mais de premiers éléments de réflexions peuvent être mis en avant :
- Les fondations d’un tel programme sont-elles existantes ou en cours de construction (ex : infrastructure de certificat, gestion de parc, authentification double facteurs,)
- Les ressources à protéger sont-elles compatibles au modèle Beyond Corp (Beyond Corp est principalement destinée à des applications web)
- L’Agilité de mon système d’information et le nomadisme sont-ils stratégiques ?
- Le niveau de sécurité apporté par l’usage de VPN est-il suffisant au regard des risques IT encourus ?
Weave vous accompagne sur la définition de votre stratégie Architecture et Sécurité pour vous aider à trouver le modèle le plus adapté à votre organisation et vos ambitions.
Sources :
BEYONDCORP – Une nouvelle approche de la sécurité d’entreprise
Recommandations de sécurité pour la protection des flux réseau