Le trafic automatisé prédomine sur Internet
Identifier l'intention à l'ère de l'automatisation
Le réseau Internet a été conçu pour les interactions humaines. Aujourd'hui, c'est l'automatisation qui le définit.
J'ai vu cette mutation s'opérer en temps réel. Le trafic lié aux bots est en forte augmentation. Pour tout dire, la proportion de bots sur Internet pourrait vous surprendre. En effet, les bots totalisent désormais près d'un tiers de l'ensemble de l'activité Internet, et ce chiffre ne cesse d'augmenter.
Là où les humains cliquent, font défiler des pages sur leurs écrans et saisissent du texte en ligne, les machines exécutent des tâches automatisées. La majeure partie de ce trafic automatisé sert des fins légitimes : bots d'exploration, intégrations d'API, systèmes de surveillance, agents IA. Toutefois, une grande partie de ce dernier s'avère malveillante. En outre, la ligne de démarcation entre le trafic automatisé utile et le trafic automatisé nuisible s'estompe chaque jour.
Cette évolution n'est pas intrinsèquement dangereuse. Elle est tout bonnement inévitable. Il s'agit simplement de la prochaine phase de l'évolution d'Internet. Cette situation entraîne toutefois l'apparition de nouveaux défis que l'infrastructure IT existante et les systèmes de cybersécurité n'ont pas été pensés pour relever. Les responsables informatiques sont désormais confrontés à des questions fondamentales en matière de confiance, de visibilité et de contrôle. Or, les architectures traditionnelles ne peuvent répondre à ces dernières. Les entreprises qui prennent conscience de cette évolution (et adaptent leur infrastructure en conséquence) façonneront l'avenir d'Internet. Celles qui manqueront le coche se retrouveront sans cesse dépassées.
Tous les bots ne sont pas malveillants (et c'est bien là le problème)
La croissance rapide des bots IA a nourri les inquiétudes concernant leur potentiel en matière d'activités malveillantes. Ceci dit, toutes les activités automatisées des bots ne sont pas malveillantes pour autant. En réalité, la plupart d'entre elles ne le sont pas. Les bots d'exploration indexent le contenu. Les moniteurs de disponibilité suivent cette dernière. Les appels d'API soutiennent les intégrations. Les systèmes IA traitent les requêtes. Ce sont les bots qui assurent le fonctionnement d'Internet aujourd'hui. C'est justement ce qui rend le problème particulièrement épineux.
Les entreprises sont confrontées à une double problématique : elles doivent distinguer le trafic des bots de celui des humains, mais aussi différencier les bots utiles des bots malveillants. Il s'agit là d'une opération particulièrement difficile à réaliser, car les acteurs malveillants dissimulent leurs attaques automatisées sous l'apparence du trafic légitime. De même, comme les tâches automatisées légitimes se comportent souvent de manière imprévisible à grande échelle, ce type d'activité peut paraître suspecte alors qu'il ne l'est pas forcément.
Les architectures traditionnelles en matière d'IT et de cybersécurité n'ont pas été conçues pour ce niveau d'ambiguïté. De même, les modèles de sécurité basés sur le périmètre introduisent de la latence et créent des points de défaillance uniques, par exemple. Enfin, de manière concomitante, les environnements multicloud ou hybrides fragmentent les politiques et entraînent une application incohérente des stratégies.
Les deux extrêmes en termes d'architecture (l'approche centralisée et l'approche décentralisée) ont atteint leurs limites. Les systèmes IT et les systèmes de sécurité purement centralisés ne peuvent pas évoluer à l'échelle souhaitée ou se régionaliser suffisamment rapidement. De l'autre côté, les systèmes purement décentralisés limitent la visibilité et le contrôle. Or, ce problème rend l'application de politiques de sécurité cohérentes pratiquement impossible. Ils ne peuvent s'adapter à la vitesse et au volume du trafic généré par des machines. De même, bien qu'ils puissent vous éclairer sur l'identité des utilisateurs et des bots qui se connectent, ils ne peuvent vous dire pour quelle raison. Or, la compréhension de l'intention constitue un aspect essentiel pour déterminer si les bots sont utiles ou nuisibles.
Nous sommes là en présence du postulat fondamental de cette transformation : le défi ne réside plus dans l'identification, mais dans l'interprétation. Il est temps de faire évoluer la sécurité du « qui » vers les « pourquoi ».
D'un problème de sécurité à un défi architectural
Depuis des décennies, les entreprises voient les bots comme un problème axé autour de la détection et du blocage, c'est-à-dire une tâche à déléguer à la pile de sécurité. Or, à mesure que l'automatisation adopte un rôle prépondérant en ligne, cette approche réactive ne fonctionne plus. La problématique actuelle ne consiste pas à bloquer les bots. Elle s'articule autour du fait de bâtir une infrastructure capable de distinguer l'intention et de s'adapter en temps réel.
L'idée n'est plus de réagir aux bots, mais de concevoir des solutions pour ces derniers. Les entreprises doivent bénéficier d'une « sécurité intrinsèque ». Elles doivent ainsi intégrer leurs mesures de protection directement au sein de leur architecture plutôt que de les superposer a posteriori.
La protection contre les bots ne peut pas être une fonctionnalité. Il doit s'agir d'un principe de conception même. La seule réponse soutenable face à l'automatisation réside dans une architecture adaptative qui apprend et évolue en continu. La question à se poser n'est donc pas : « Comment puis-je demander à mon équipe de sécurité de résoudre ce problème ? », mais plutôt : « Comment concevoir mon architecture afin qu'elle se montre flexible, agile et réactive ? »
L'ajout de solutions supplémentaires n'est pas la solution. Les solutions de sécurité tactiques sont obsolètes dès leur déploiement. De même, les mesures de protection complémentaires se révèlent inefficaces contre les menaces qui évoluent plus vite qu'une réponse manuelle ne pourrait être mise en œuvre face à ces dernières. La seule voie à suivre est donc celle d'une transformation fondamentale de l'architecture, au sein de laquelle la sécurité ne constitue plus un périmètre, mais est intégrée à la structure même du réseau afin de faciliter le fonctionnement et l'évolution des systèmes.
La conception de l'automatisation repose sur trois principes architecturaux fondamentaux pour les équipes chargées de l'IT et de la sécurité :
1. Simplifier et regrouper les services autour de plateformes unifiées pour une visibilité mondiale et une application cohérente des politiques.
Personne ne peut disposer d'une vue d'ensemble lorsque les politiques et les mesures de contrôle sont réparties dans des dizaines d'outils. La consolidation des ressources sur une plateforme unique, distribuée à l'échelle mondiale, permet aux équipes d'appliquer une politique unique partout et à tous les niveaux. La propagation d'une règle mise à jour dans une région à l'ensemble du réseau s'effectue ainsi en l'espace de quelques secondes, pas de quelques semaines.
2. Adopter un système d'informations adaptatif et basé sur le comportement plutôt que sur des règles statiques.
Les acteurs malveillants modifient sans cesse leurs tactiques, de la rotation des adresses IP à l'usurpation d'identité ou à l'imitation du comportement des utilisateurs. Les systèmes adaptatifs analysent les schémas d'intention et la vélocité afin de distinguer les tâches automatisées légitimes (comme les appels d'API ou l'activité des bots d'exploration) des activités malveillantes, même lorsque les deux se ressemblent initialement.
3. Considérer les tâches automatisées comme une opportunité de dégager davantage d'efficacité en tirant parti d'une automatisation de qualité pour renforcer les défenses.
L'automatisation n'est pas l'ennemi. Ce dernier réside dans la fragmentation. En faisant appel à l'automatisation pour corréler la télémétrie réseau, les signaux des bots et le comportement des applications, les entreprises peuvent détecter les menaces et y réagir à la vitesse de la machine. Elles passent ainsi d'une posture réactive à une posture proactive.
Diriger la course au sein d'un Internet post-humain
L'automatisation est devenue la nouvelle constante de notre monde. Pour les leaders en matière de technologies, la question n'est pas de savoir s'il faut s'y opposer, mais de savoir comment l'intégrer au sein de leur architecture. La possibilité de s'imposer comme un leader de cette nouvelle ère nécessite un changement radical en termes de philosophie de conception.
La sécurité et l'adaptabilité doivent être traitées comme un seul et même objectif en matière d'architecture, pas comme des priorités concurrentes. L'avenir d'Internet dépend de systèmes capables de reconnaître l'intention, d'apprendre des comportements et de s'adapter à la vitesse de la machine.
C'est à ce niveau que se situe le changement de mentalité nécessaire chez les leaders de l'IT.
L'idée n'est plus de connaître l'identité des utilisateurs et des bots qui accèdent à vos systèmes, mais plutôt pour quelle raison ils y accèdent. L'intention devient ainsi le signal de confiance le plus fiable au sein d'un monde où les machines, les API et les agents IA seront bientôt plus nombreux que les humains. Le modèle de conception en fonction du « pourquoi » implique de créer des systèmes qui évaluent la finalité et le comportement (et donc plus uniquement les identifiants) afin de déterminer si une interaction doit être autorisée, restreinte ou refusée. Il ne s'agit plus de demander : « Qui êtes-vous ? » aux utilisateurs et aux bots. Une architecture de nouvelle génération doit désormais poser la question suivante : « Que cherchez-vous à faire ? ». Cette évolution redéfinit la sécurité, qui passe d'un processus de vérification d'identité statique à une analyse en continu de l'intention. De même, cette mutation s'aligne parfaitement avec la manière dont l'automatisation se comporte réellement à l'échelle d'Internet.
Le Zero Trust doit évoluer au sein d'un Internet « machine à machine » (machine-to-machine) et passer d'un cadre conçu pour l'accès d'utilisateurs humains à une logique opérationnelle régissant l'ensemble de l'écosystème numérique, c'est-à-dire l'ensemble partagé de règles régissant la manière dont chaque entité (humaine ou automatisée) acquiert et conserve sa fiabilité. Chaque connexion, chaque échange de données doit vérifier l'identité, évaluer l'intention et autoriser (ou non) l'accès selon le principe du moindre privilège, le tout en permanence. Dans ce modèle, le Zero Trust fonctionne moins comme une politique de sécurité que comme le code de conduite d'Internet, en définissant l'identité ou la nature des utilisateurs ou des bots qui peuvent interagir avec vos ressources, les conditions de ces interactions et la limite de temps à ces dernières.
Concevoir l'architecture d'un avenir piloté par les bots
À quoi ressemble ce modèle architectural en pratique ? Cloudflare a mis au point une plateforme dotée d'une infrastructure orchestrée de manière centralisée, distribuée à l'échelle mondiale et articulée autour d'un ensemble d'informations local. Un réseau et une interface uniques. De même, chacun de nos services s'exécute partout. Peu importe l'endroit où nous détectons un schéma de bot, nous pouvons appliquer nos fonctionnalités de gestion des bots afin d'imposer des mesures d'atténuation partout et instantanément, dans plus de 330 villes, le tout soutenu par une capacité de 449 Tbps. Nos modèles d'apprentissage automatique (Machine Learning) entraînés sur des données issues du monde entier détectent les anomalies en temps réel et à l'échelle mondiale. L'unification de la visibilité et du contrôle sur la couche de sécurité, la couche réseau et la couche de données permet aux entreprises de visualiser les menaces et d'y répondre sans fragmentation ni délai.
Internet a commencé comme un réseau basé autour des êtres humains. Il devient aujourd'hui un réseau basé sur les intentions. Les entreprises qui cessent de réagir à l'automatisation et commencent à concevoir en conséquence façonneront la manière dont le réseau évoluera de manière sûre et intelligente.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la sécurisation de votre entreprise dans cette nouvelle ère articulée autour de l'intention dans le rapport Cloudflare Signals : la résilience à grande échelle, qui explore les lignes de faille critiques où la cyber-résilience doit être intégrée plutôt qu'ajoutée a posteriori.
Auteur
Nan Hao Maguire
Field CTO, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
La manière dont le trafic lié aux bots augmente
La différence entre les bots utiles et les bots malveillants
Trois principes de conception d'une architecture intégrant les bots