Des données brutes aux informations exploitables : visibilité et observabilité

(Pour Marco Rottigni)
12/07/21

Il était une fois l'informatique traditionnelle... Dans un périmètre d'entreprise bien défini et limité, cohabitaient serveurs, routeurs, commutateurs, postes de travail, ordinateurs portables, firewalls, et diverses autres entités numériques.

Cet écosystème avait des liens très spécifiques, gardés et défendus avec le monde extérieur. Le travail de l'équipe de sécurité et de son capitaine (la figure de Responsable de la sécurité de l'information - RSSI) était de définir, mettre en œuvre et surveiller des lignes directrices et des politiques comportementales pour éviter les accidents, les infections et le vol de données sensibles ; tout en garantissant la continuité opérationnelle et l'efficacité des systèmes supportant l'entreprise.

Ces dernières années, deux macro-phénomènes planétaires ont eu un impact sur cette biodiversité numérique :

Je parle de transformation numérique et urgence sanitaire, une combinaison explosive qui a fait progresser cet écosystème d'une manière extrêmement courte et souvent explosive, transformant une paisible ville agricole de province en la jungle hétérogène et riche en espèces du centre de Madagascar. Générer - comme on l'entend souvent lors d'événements et de conférences - un besoin de visibilité numérique; parce que vous ne pouvez pas gérer, contrôler, surveiller, sécuriser et protéger ce que vous ne savez pas que vous avez ou ne voyez pas.

Thème absolument pertinent, vrai, actuel… mais incomplet dans son articulation.

Si l'on liste les différents environnements qui caractérisent aujourd'hui une organisation de tout secteur et de toute taille, on trouve la preuve tangible de cette explosion d'espèces que j'évoquais plus haut : l'informatique traditionnelle en fait certainement encore partie, flanquée d'entités mobiles comme les smartphones et les tablettes ; environnements conteneurisés, c'est-à-dire construits sur des plateformes agiles afin de fragmenter les fonctionnalités nécessaires à leur utilisation à la demande avec une échelle auto-ajustable en fonction du nombre d'utilisateurs ; projets cloud, à son tour divisé en Infrastructure en tant que Service (IaaS), plateformes en tant que service (PaaS) et logiciel en tant que service (SaaS) ; les applications traditionnelles, repensées pour devenir utilisables via le web ; des outils ultraspécialisés connectés via Internet, qui caractérisent la Internet des objets et la Internet des objets industriel.

Pour faire taire le besoin de s'interfacer avec les systèmes d'exploitation (ex. Windows XP) et les interfaces (ex. RS232 série, Centronics parallèle...) qui, bien qu'obsolètes, représentent le besoin dans certains environnements industriels, liés à cette obsolescence par des coûts de mise à niveau non durables ou par des mises à jour inexistantes.

Cette liste partielle fournit une bonne approximation de la complexité du défi de visibilité numérique pour une entreprise moderne.

La solution souvent envisagée est l'intégration de deux systèmes : un inventaire numérique tenu à jour automatiquement autant que possible - synchronisé avec un système de suivi et de gestion des changements, également appelé Base de données de gestion du changement ou CMDB.

Le but de ces plateformes est de rendre visible l'ensemble du paysage numérique, permettant peut-être une catégorisation des espèces - automatisée ou non basée sur des règles de regroupement ; les deux cas d'usage qui sont normalement satisfaits sont la distribution de capteurs pour collecter toutes les métadonnées des ressources et la catégorisation en périmètres logiques réalisée de manière centralisée.

Parfois élever le degré de spécialisation du capteur lui-même. Il n'est pas possible d'utiliser les mêmes techniques pour des environnements très différents, tels que les ordinateurs portables en déplacement, les conteneurs d'applications et les environnements SaaS.

En construisant cette visibilité, il reste d'une importance fondamentale l'attention à la façon dont les données collectées - même grossières et insignifiantes si elles sont prises de manière atomique - combinées peuvent devenir sensibles et indicatives d'une surface d'attaque exposée ; cette attention doit également être portée à la vérification du modèle de sécurité et de confidentialité avec lequel ces données sont traitées dans les trois moments de leur existence : transito, reste, traitement.

En plus de la visibilité, cependant, le concept de observabilité.

L'observabilité commence là où s'arrête la visibilité, entendue comme la disponibilité de la télémétrie collectée par les capteurs, pour augmenter sa valeur.

Habituellement, cela nécessite que les données brutes collectées soient indexées et normalisées, afin de les rendre exploitables par un moteur de visualisation, puis nous procédons à l'interrogation et à l'organisation des résultats dans le tableau de bord.

L'observabilité permet ainsi de composer les données brutes en vues, de former l'information qui s'intéresse au traçage - dans le format dans lequel on s'intéresse à l'afficher.

Dans le choix des plateformes technologiques pour supporter les processus, il devient important de prendre soin de cette fonctionnalité et surtout d'évaluer sa flexibilité : l'agrégation de métadonnées normalisées sur l'inventaire numérique permet de prendre en charge d'innombrables processus métiers : vérification de la distribution logicielle et matérielle, enquêtes, évaluation de la posture de sécurité, etc.

Une dernière caractéristique caractérisant une bonne observabilité est l'enrichissement du contexte d'une métadonnée : à partir des métadonnées collectées par le capteur, un catalogue d'informations non détectables par le capteur, mais curées par la recherche, est combiné.

Par exemple, il est possible de combiner la liste des logiciels identifiés avec des informations sur la fin de vie ou la fin de support - soutenant ainsi les processus d'achat ou de modernisation, ainsi que les programmes d'investissement ou de modernisation descendants...

Ou combinez des informations sur sa vulnérabilité, ou même lorsqu'elle a été attaquée au cours des derniers mois, avec un service réseau détecté - prenant en charge les processus de priorisation de correction ou d'atténuation des risques.

Les acteurs de l'inventaire numérique sont de plus en plus confrontés à une complexité croissante des environnements et à une variété d'espèces numériques.

La combinaison de la visibilité et de l'observabilité génère une valeur holistique dans l'efficacité de la requête de la population surveillée, augmentant la vitesse et l'agilité dans le suivi et la surveillance des informations agrégées d'intérêt pour les processus à prendre en charge.

Pour que tout cela ne reste pas un exercice technologique de style, ces deux compétences doivent être liées à la croissance culturelle de l'entreprise - traduite en prise de conscience du facteur humain de faire partie d'une chaîne de sécurité de l'information : qu'en est-il dans le monde anglo-saxon est connu sous le nom de "gestion des connaissances".

En fait, la culture du personnel et de l'entreprise doit grandir avec le développement technologique, en comprenant les risques et les potentiels possibles ; chacun exerçant son rôle avec la conscience de travailler dans un environnement de plus en plus agile, complexe et interférentiel entre les différents systèmes.

Photo: auteur / web