Terrorisme, espionnage industriel, vols de données critiques, monétisation de l’information, les opportunités d’attaques se multiplient et évoluent au fur et à mesure où le cyber-espace se développe. De nouveaux attaquants font leur apparition, ils sont plus nombreux, mieux organisés, plus compétents.
Cette évolution s’observe dans la complexité des malwares analysés jusqu’à présent tels que STUXNET en 2010 qui reste toutefois 20 fois moins sophistiqué que FLAME identifié à peine deux ans plus tard en juin 2012. Noël Chazotte et Nicolas Leseur, Marketing et Innovation Sécurité, Telindus France nous en disent un peu plus.
Avec l’ouverture du système d’information (SI) des entreprises, l’exposition au risque provenant d’Internet ne cesse d’augmenter. Or, les attaques qui se multiplient le prouvent, les entreprises ne sont pas équipées pour y faire face. L’étude « Growing Risk of Advanced Threats » menée en 2010 par Ponemon Institute révèle que 83% des entreprises pensent qu’elles ont été victimes d’attaques avancées et 65 % d’entre elles pensent qu’elles n’ont pas les ressources pour s’en prémunir. Trop d’entreprises ne sont dotées que d’une protection passive, qui leur permet éventuellement d’agir en cas d’attaques mais elles doivent aujourd’hui évoluer vers une protection proactive pour créer toujours plus d’obstacles sur la route des cyber-criminels.
 Faut-il abandonner les solutions classiques de sécurité et de protections ?
Les outils de sécurité périmétrique et interne à l’entreprise ont évolué pour atteindre un très bon niveau de maturité (stabilité, efficacité). Ceci conduit à pouvoir bloquer la majorité des attaques provenant d’Internet.
De plus, si effectivement les outils de sécurité traditionnels n’ont pas la capacité à arrêter les attaques avancées, ils vont pouvoir être utiles poursurveiller les flux légitimes, détecter certains comportements anormaux (signaux faibles) et éventuellement, prendre part au processus de réaction (remédiation, correction…). Ces outils resteront donc à la base d’un système de sécurité.
Les technologies actuelles sont donc toujours nécessaires, mais plus suffisantes.
Pour repenser l’axe stratégique de défense du SI il faut prendre en compte 3 piliers :
1) Surveiller
Le problème des nouvelles attaques est que leurs flux se présentent comme des flux licites (exploitant desprotocoles standards), éventuellement chiffrés, et dont les données utiles sont fractionnées (le code actif ou l'extraction de données est découpé en de multiples éléments a priori anodins).
Les systèmes de surveillance peuvent protéger et surveiller tout ou partie des couches du SI, en distinguant notamment, les couches d'infrastructures, des applications, et des données.
On peut citer et regrouper les principales technologies suivantes :
filtrage réseaux (FW) ;
application des signatures (AV, IPS) ;
analyse comportementale (Anti-malware) ;
protections des applications (WAF) ;
surveillance de l'accès aux données sensibles (usage réel, droits d'accès…) ;
DLP.
2) Détecter
La principale caractéristique des nouvelles attaques est leur furtivité, en effet, elles parviennent à faire passer du code (vers le SI) ou extraire des données (depuis le SI), de manière silencieuse. Cette furtivité est donc associée aux signaux que ces attaques s'efforcent de minimiser : ce sont les « signaux faibles ». L’un des enjeux techniques sera donc de parvenir à détecter ces signaux parmi la multitude d’évènements normaux ou anormaux (Facteur technique liés à l’infrastructure du SI, détection d’un changement de réputation « électronique » de l’entreprise, etc., facteur humain comme des plaintes venant des clients, utilisateurs, administrateurs et le facteur Environnemental, hors cadre du domaine informatique).
Les solutions de détection vont venir en renfort des briques de sécurité traditionnelles afin de couvrir les zones non couvertes par celles-ci, tout en apportant les moyens nécessaires pour gagner en proactivité et capacité de réaction.
3) Réagir
La réaction face à un incident est généralement constituée de deux phases :
la phase d'enrichissement : prise en compte de toutes les informations possibles associées à l'évènement ;
la phase de remédiation en tant que telle qui s'appuie sur une procédure liant le traitement technique et organisationnel de l’incident.
Un IPS ou un antivirus permettent par exemple d'avoir une réaction automatique sur reconnaissance d'un évènement malveillant clairement identifié. En revanche, ces outils sont limités pour de nouveaux types d’attaques.
Quels types de solutions mettre en place ?
Les nouvelles solutions permettent de couvrir une ou plusieurs de ces étapes capitales pour assurer la protection de son SI. On parlera ici de nouvelles technologies autour de trois axes principaux :
- Protection avancée contre les malwares :
Parmi les solutions disponibles nous retrouvons celles basées sur un système de prévention contre les programmes malveillants qui exploitent une technologie de pointe pour détecter et empêcher l'exécution de code malveillant, le vol de données et la prolifération des botnet.
Ce type de technologies détecte les « maliciels » et les machines « botnet » en utilisant la technologie de Machine Virtuelle (VM) en « sandbox ». De plus, l’interaction avec une plate-forme mondiale d’échanges d’informations dédiées aux logiciels malveillants améliore l’efficacité des analyses locales et permet d’identifier, de comprendre et d’arrêter plus rapidement et plus précisément les attaques (connues ou inconnues) de logiciels malveillants venant du Web et de réseaux de « zombies ». Cette solution ne permet pas forcément d’empêcher un code malveillant de pénétrer le système d’information, néanmoins la détection peut être rapide afin de mettre en place les contre-mesures spécifiques avant que l’attaque ne puisse réellement être mise en œuvre.
- Protection des données :
Une autre solution pour se prémunir des malwares visant à compromettre ou voler les données de l’entreprise, consiste justement à identifier les risques pour protéger l’accès aux données sensibles. On parle alors d’outils de gouvernance de la donnée.
L’augmentation du volume de données est un fait, mais la difficulté réside dans la dissémination de ces données dans le SI et la gestion des droits d’accès à ces données. Les données sont réparties majoritairement sur des serveurs de fichiers, et il est souvent difficile d’identifier les propriétaires des données et encore plus d’identifier qui accède réellement à ces données, afin de savoir s’ils ont les habilitations. Il existe pourtant des systèmes de classification des données qui sont sensés répondre à ce besoin, néanmoins sur le volume on ne peut jamais être sûr que le système de classification a été respecté et surtout, si les droits d’accès ont bien été appliqués en fonction de la sensibilité des données.
Aujourd’hui, des solutions techniques permettent de répondre à ce challenge en donnant une vue exhaustive de l’accès aux données permettant de mettre en évidence des points à corriger. On aura par exemple la possibilité de visualiser des données qui sont sur des serveurs de fichiers et qui ne sont pas accédées, ces données vont alors pouvoir être archivées.
- Visibilité exhaustive des flux de données
Devant la complexité et la multitude de flux de données dans un système d’information, il devient difficile voire impossible de déterminer quels sont les usages illicites ou anormaux parmi le flot d’usages légitimes. Lorsqu’on a un doute sur une intrusion possible ou même tout simplement lorsque l’attaque est avérée (parfois les entreprises l’apprennent par la presse !), il est important de pouvoir comprendre quel a été le vecteur de l’attaque et surtout quels sont les dégâts réellement causés.
L’objectif de ce nouveau type de solution est d’effectuer une capture complète de toutes les sessions utilisateurs en permettant de suivre et ainsi de donner une visibilité exhaustive sur l’activité réseau et le comportement des utilisateurs (de la couche réseau à la couche applicative). Tout cela, en ayant la capacité de remonter sur des évènements passés. Il va sans dire qu’une telle masse d’informations n’a de sens que si l’outil permet de créer des meta-données suffisamment complètes et avancées pour gérer finement les recherches à travers une interface utilisateur simple et efficace.
Au final, même si ces nouvelles solutions donnent les moyens d’agir face aux nouvelles menaces, les technologies ne sont que des outils au service d’une nouvelle approche de la sécurité qui doit être créée au sein de l’entreprise.
|
