Terrorisme, espionnage industriel, vols de données critiques, monétisation de l’information, les opportunités d’attaques se multiplient et évoluent au fur et à mesure où le cyber-espace se développe. De nouveaux attaquants font leur apparition, ils sont plus nombreux, mieux organisés, plus compétents.

Cette évolution s’observe dans la complexité des malwares analysés jusqu’à présent tels que STUXNET en 2010 qui reste toutefois 20 fois moins sophistiqué que FLAME identifié à peine deux ans plus tard en juin 2012. Noël Chazotte et Nicolas Leseur, Marketing et Innovation Sécurité, Telindus France nous en disent un peu plus.

Avec l’ouverture du système d’information (SI) des entreprises, l’exposition au risque provenant d’Internet ne cesse d’augmenter. Or, les attaques qui se multiplient le prouvent, les entreprises ne sont pas équipées pour y faire face. L’étude « Growing Risk of Advanced Threats » menée en 2010 par Ponemon Institute révèle que 83% des entreprises pensent qu’elles ont été victimes d’attaques avancées et 65 % d’entre elles pensent qu’elles n’ont pas les ressources pour s’en prémunir. Trop d’entreprises ne sont dotées que d’une protection passive, qui leur permet éventuellement d’agir en cas d’attaques mais elles doivent aujourd’hui évoluer vers une protection proactive pour créer toujours plus d’obstacles sur la route des cyber-criminels.

Faut-il abandonner les solutions classiques de sécurité et de protections ?

Les outils de sécurité périmétrique et interne à l’entreprise ont évolué pour atteindre un très bon niveau de maturité (stabilité, efficacité). Ceci conduit à pouvoir bloquer la majorité des attaques provenant d’Internet.

De plus, si effectivement les outils de sécurité traditionnels n’ont pas la capacité à arrêter les attaques avancées, ils vont pouvoir être utiles poursurveiller les flux légitimes, détecter certains comportements anormaux (signaux faibles) et éventuellement, prendre part au processus de réaction (remédiation, correction…). Ces outils resteront donc à la base d’un système de sécurité.

Les technologies actuelles sont donc toujours nécessaires, mais plus suffisantes.

Pour repenser l’axe stratégique de défense du SI il faut prendre en compte 3 piliers :

1) Surveiller

Le problème des nouvelles attaques est que leurs flux se présentent comme des flux licites (exploitant desprotocoles standards), éventuellement chiffrés, et dont les données utiles sont fractionnées (le code actif ou l'extraction de données est découpé en de multiples éléments a priori anodins).

Les systèmes de surveillance peuvent protéger et surveiller tout ou partie des couches du SI, en distinguant notamment, les couches d'infrastructures, des applications, et des données.

On peut citer et regrouper les principales technologies suivantes :

filtrage réseaux (FW) ;

application des signatures (AV, IPS) ;

analyse comportementale (Anti-malware) ;

protections des applications (WAF) ;

surveillance de l'accès aux données sensibles (usage réel, droits d'accès…) ;

DLP.