Réflexions du directeur technique sur 20 ans d’innovation et de changements chez Barracuda

Le mois dernier, j'ai fêté les 20 ans de Barracuda avec des collègues, partenaires et amis du monde entier. Il a été très encourageant de constater que notre communauté est très fière du chemin parcouru et remarquablement enthousiaste à l’idée de ce qui nous attend. Au départ, nous protégions nos clients avec notre Antispam Barracuda contre les courriers indésirables. Il s’agissait d’un outil conçu pour fonctionner en arrière-plan pour nos clients, dans leur centre de données. Aujourd'hui, nous proposons une plate-forme intégrale de cybersécurité pour assurer la défense de nos clients. Nos dispositifs de protection sont les plus complets du marché. Nous sommes passés d'un produit à un éventail de produits et d'un système sur site à un usage Cloud-First.

Barracuda n’est certainement pas le seul fournisseur de produits technologiques à avoir changé. Au début des années 2000, Cisco ne dérivait ses revenus que de quatre catégories de produits, dont deux étaient les routeurs et les commutateurs. Microsoft s’apprêtait à abandonner BackOffice Server et lançait Active Directory. Google faisait ses débuts dans la vente d’espaces publicitaires et Amazon commençait juste à vendre des marchandises qui n’étaient pas des livres. Le changement très visible de Barracuda entre 2003 et aujourd'hui n’est pas unique ! Mais il est réconfortant de penser à ce qui n’a pas changé alors que notre secteur est constamment déstabilisé et en transformation.

Les problèmes que nous résolvons

Lorsque l'antispam Barracuda contre les courriers indésirables a été mis sur le marché, le problème des courriers électroniques indésirables avait déjà pris des proportions énormes. Pour les destinataires qui ne disposaient pas d’un antispam ou d’un filtre, les messages indésirables étaient nettement plus nombreux que les e-mails légitimes. Et même si ces messages indésirables n’étaient pas très sophistiqués, ils n'étaient certainement pas bénins. La plupart constituaient des attaques par hameçonnage. Comme aujourd'hui, l’objectif des auteurs était de se procurer illégalement des identifiants d’utilisateurs et des informations de nature commerciale. Mais dans beaucoup d'autres cas, il s’agissait d’inonder les boîtes de réception avec des publicités pour des marchandises douteuses ou avec des messages blessants, par exemple racistes. Les messages indésirables constituaient également un problème de taille pour les fournisseurs d’accès à Internet (FAI), car il fallait traiter tout ce fatras numérique et l’acheminer à ses millions de destinataires.

Au cours des 20 dernières années, l’éventail des possibilités s’est extrêmement élargi pour les auteurs de messages malveillants et, plus généralement, de crimes en ligne. Ransomwares, attaques perpétrées par des États souverains, cybercrime en tant que service, menaces persistantes sophistiquées (APT), hameçonnage recourant à l'IA... tous ces phénomènes sont devenus établis après le lancement de l'antispam Barracuda contre les courriers indésirables. Nos outils de sécurisation des messageries électroniques ont évolué en réponse aux nouveaux types d’attaques. Nous avons cherché à pouvoir riposter sans compromission à toutes les menaces qui apparaissaient. Et nous y sommes bien parvenus. Pour ce faire, nous nous sommes concentrés sur les besoins de nos clients et nous sommes restés attentifs à l’évolution des menaces et des vecteurs d'attaque. Barracuda soutient les objectifs commerciaux de ses clients en protégeant leur productivité, leur bande passante, leurs utilisateurs et leurs données. Nous résolvons les problèmes de nos clients, comme nous le faisions il y a 20 ans. Notre engagement envers nos clients n'a jamais changé.

La primordialité de l’identité

L'identité numérique aurait vu le jour à l’Institut de technologie du Massachusetts (MIT) vers le milieu des années 1960, lorsque des chercheurs auraient commencé à protéger leurs fichiers par des mots de passe. Ces chercheurs du MIT ont été parmi les premiers à constater que leur système n’était pas parfait mais, malgré tout, l’usage de mots de passe a connu une croissance exponentielle au cours des décennies suivantes. Aujourd’hui, les identifiants avec mot de passe constituent toujours le système de vérification d'identité le plus utilisé. 

L'identité constitue la pierre angulaire de la cybersécurité, qu'il s'agisse de protéger un fichier par un mot de passe ou d’élaborer un système basé sur la confiance zéro et sur l’authentification multifacteur pour sécuriser l’accès à un réseau sans périmètre. L’identité est un concept absolument incontournable, à tel point qu’il a donné naissance à une industrie dont la valeur s’élève à plusieurs milliards de dollars. Selon un rapport d’analyse récent, la valeur du marché de la gestion des identités et des accès (GIA) devrait passer de 17,14 milliards de dollars en 2022 à près de 40,87 milliards en 2029.

Apportons quelques précisions pour illustrer l'importance de l'identité. Au départ, notre antispam Barracuda contre les courriers indésirables vérifiait quelques identités : celles des expéditeurs des e-mails, des destinataires et des titulaires des comptes concernés. Pour décider vers où les messages allaient être acheminés et qui allait pouvoir les lire, c’étaient des identités qui étaient prises en compte. Ces identités étaient généralement vérifiées par la combinaison d’un nom d'utilisateur et d’un mot de passe. Notre plateforme de cybersécurité actuelle procède continuellement à des vérifications. Toutes les requêtes réseau sont examinées, et les contrôles ne se limitent pas nécessairement à vérifier les identifiants de connexion : certaines informations contextuelles peuvent aussi être analysées, concernant par exemple la localisation des utilisateurs, l'appareil dont ils se servent et l'heure de la journée. Nos systèmes de vérification d'identité sont suffisamment sophistiqués pour que nous n'ayons plus besoin de protéger nos ressources par un firewall réseau. Nos utilisateurs peuvent accéder à leurs workloads dans le cloud, à leurs applications fournies comme logiciel en tant que service, à leur équipement de technologie opérationnelle à distance (OT) et à plus encore, le tout sans avoir besoin d’un firewall pour appliquer leurs politiques de sécurité. L'informatique de périphérie est devenue utilisable grâce aux avancées liées à l’identité.  

L’usage des flèches ennemies

Une grande sagesse est contenue dans les arts martiaux et dans les récits des guerres antiques. L’une des leçons les plus durables à tirer provient de l’histoire du général Zhuge Liang. Il a trompé son ennemi en lui faisant tirer des milliers de flèches sur des soldats factices faits de feuilles de palmier. Le général est ensuite allé récupérer ces flèches et les a utilisées contre son ennemi au cours de la bataille suivante. On ne pourrait mieux illustrer le retour à son avantage de la force de son ennemi.

Les cybercriminels mettent en danger la sécurité publique, détiennent nos ressources les plus précieuses pour demander des rançons, se procurent illégalement nos travaux de recherche et espionnent nos forces armées. Ce n'est pas une hyperbole de dire que nous sommes en guerre contre un ennemi qui ne dort jamais. Ceux qui nous menacent sont agiles et motivés, et ils développent constamment de nouvelles armes. L'histoire du général Zhuge Liang nous encourage à comprendre nos adversaires, à prendre des initiatives et à tourner les tactiques de nos ennemis à notre avantage. Prenons quelques exemples.

• Lors de notre formation de sensibilisation à la sécurité, nous montrons des exemples de contenu provenant d’attaques réelles. Il s’agit d’attaques que nous avons détectées dans notre infrastructure. Nous ajoutons systématiquement dans nos systèmes de surveillance le contenu des attaques que nous décelons, et c’est grâce à ce procédé que nous pouvons apprendre à nos clients à se défendre contre les attaques les plus novatrices.
• Notre Centre d'opérations de sécurité (SOC) utilise les données recueillies lors d’examens rigoureux de nos systèmes pour élaborer des modèles. Grâce à ces modèles, nous pouvons prévoir et déceler des attaques de types que nous n’avons pas encore observés, et nous pouvons riposter à ces attaques. Ces modèles nous permettent également de réagir plus rapidement aux menaces que nous connaissons, car ils nous aident à détecter les attaques plus tôt quand elles se produisent.
• Certaines attaques, notamment celles liées à Heartbleed et à Log4J, ont servi de preuve que les développeurs doivent intégrer les considérations de sécurité à toutes les étapes du cycle de développement de leurs logiciels. Si le marché de la sécurisation des applications est en croissance, c’est une conséquence directe de l’évolution des tactiques des criminels, qui recherchent désormais des vulnérabilités dans tous les éléments des applications. Tout est visé, des interfaces utilisateurs aux éléments les moins apparents. Nous tirons les leçons des attaques qui se produisent. Ce que nous apprenons nous permet d’améliorer nos propres outils et, de plus, ces informations constituent de nouvelles connaissances pour le secteur de la cybersécurité dans son ensemble. L’efficacité de notre secteur s’en trouve ainsi améliorée.

En nous basant sur les mécanismes des attaques que nous observons, nous sommes en mesure d’élaborer des systèmes de défense robustes qui tournent les atouts de nos ennemis à notre avantage.

Soyez comme l’eau

C’est un euphémisme de dire que Bruce Lee a eu un effet profond sur ma vie. Sa philosophie des arts martiaux, le jeet kune do, est basée en grande partie sur ses principes concernant la force, l’absence de formes et le détachement. Elle est très bien résumée par sa célèbre citation :

« Vide ton esprit, sois informé. Sois impalpable, comme l’eau. Si tu verses de l’eau dans une tasse, elle devient la tasse. Si tu verses de l’eau dans une bouteille, elle devient la bouteille. Tu la verses dans une théière, elle devient la théière. L’eau s’écoule gentiment et peut s’écraser. Sois comme l’eau, mon ami. »

Cette citation peut être interprétée différemment, mais ce que j'en retiens est qu'il ne faut pas rester prisonnier de son état d'esprit. L'eau est informe et s’adapte aux circonstances. On ne peut pas lui faire de mal en la frappant, que ce soit de la main ou du pied. Lee voulait devenir semblable à l’eau, et il pensait pouvoir y arriver en pratiquant l’art du détachement. En bref, il s'est efforcé de repousser les limites imposées par la rigidité mentale et d’abandonner les pratiques qui ne portaient pas fruit.

Cette façon de penser m’a marqué personnellement, mais elle peut aussi servir de boussole lorsqu'il s'agit de prospérer en tant que prestataire de services de sécurité. Par exemple, voyez comment l’offre de Barracuda est passée d’un éventail de produits à une plate-forme. Voyez aussi comment nous avons commencé par des outils destinés aux centres de donnés avant de passer à des logiciels en tant que service (SaaS) et à des outils natifs du cloud. Pour assurer sa sécurité en ligne, il ne suffit plus de se défendre. La sécurisation efficace d’une infrastructure nécessite aussi bien des mesures de défense qu’une stratégie d’attaque. Les menaces doivent être recherchées activement, et il faut pouvoir réagir rapidement aux incidents. Nos outils ont été conçus pour être robustes, car nous savons que les attaques ne constituent plus qu’une simple éventualité. La seule question qui se pose est de savoir quand elles se produiront. La raison pour laquelle nous avons pu nous transformer est que nous nous sommes considérés comme étant informes. Nous demeurons attentifs aux menaces. Si une menace est présente dans le cloud, nous devenons le cloud.

Le principe exprimé par la citation « soyez comme l’eau » trouve aussi son application dans une autre pratique. Il s’agit de celle du partage d’informations au sein de la communauté des experts en sécurité au sens large. La pratique du partage d’informations consiste à publier les renseignements que des études, des enquêtes sur des incidents, des actions de surveillance ou d’autres moyens permettent de recueillir sur les menaces. Avec d’autres prestataires de services de sécurité, Barracuda dévoile activement les informations découvertes car cette pratique permet à tout le monde de mieux se défendre contre les menaces. Lorsque les renseignements pertinents sont connus de tous, les avantages surpassent le risque commercial de voir ses données potentiellement utilisées par des concurrents.

Les fournisseurs s’efforcent également d’améliorer l’interopérabilité entre les divers produits. Une collaboration est en place entre les prestataires de services de sécurité dans le but d’élaborer des outils qui peuvent communiquer entre eux. L’objectif est d’améliorer l’utilité des renseignements provenant d’environnements mixtes, afin de pouvoir couvrir l'ensemble de la base de connaissances MITRE. Il s’agit d’un tournant notable pour les prestataires de services de sécurité mais, à ce propos aussi, nous pouvons penser à la nature de l’eau.Lorsque nous avons besoin de notre communauté, nous devenons cette communauté.

Le jeet kune do de Bruce Lee est également appelé « Voie du poing qui intercepte ». Le style de Lee était basé sur des décharges maximales de puissance à la vitesse de l’éclair. Dans les arts martiaux, il faut savoir intercepter les attaques par une défense efficace et y riposter rapidement. Les équipes de Barracuda s'efforcent de fournir des outils qui fonctionnent de cette manière pour sécuriser les infrastructures et protéger les données.

L’histoire de Barracuda a commencé il y a 20 ans, et nous n’en sommes encore qu’à nos débuts. Je suis fier d’être partie prenante dans cette histoire et j'espère que vous continuerez à nous accompagner alors que nous poursuivons notre parcours d'innovation et de croissance.