Livre Bla

LA SECURITE EN CONTINU
Livre Blanc
Manuel Rebuffel
Directeur Produits
Le livre blanc de la sécurité en continu
UN MONDE CONNECTE OU L’INFORMATION EST LA VALEUR DOMINANTE
Alors que la s u it des s st es d’i fo atio des e t ep ises est u sujet
i te po el, le o te te i dust iel d’aujou d’hui et l’aug e tatio de la
cybercriminalité amènent de nouveaux défis que les solutions traditionnelles
peinent à relever.
Quelle que soit la taille de l’e t ep ise,
elle est maintenant connectée à
I te et et sa d pe da e à l’outil
informatique et au réseau global
s'a oît. Qu’il s’agisse d’u e si ple
connexion email ou pour des relations
avec ses fournisseurs ou les
ad i ist atio s, ou u’il s’agisse d’u
esoi au œu de l’a ti it de
l’e t ep ise site i stitutio el ou ecommerce, par exemple), la quasitotalité des entreprises a une ou
plusieurs portes informatiques donnant sur Internet.
D’aut e pa t, a e l’a e e t de la i tualisation et maintenant du Cloud, la
fle i ilit et la di i utio du oût de l’outil i fo ati ue et du sto kage
s’a o pag e t sou e t d’u e plus g a de o ple it , i duisa t u e plus
grande vulnérabilité : intermédiaires, systèmes plus complexes et dynamiques,
do
es h e g es ho s de l’e t ep ise, et .
« L’a e e t de la i tualisatio et ai te a t du Cloud, la
fle i ilit et la di i utio du oût de l’outil i fo ati ue et du
sto kage s’a o pag e t sou e t d’u e plus g a de o ple it ,
induisant une plus grande vulnérabilité »
De plus e plus d’i fo atio s itales à so fo tio e e t so t sto k es su
les s st es d’i fo atio de l’e t ep ise i e tai e, o pta ilit , fi hie
1
Le livre blanc de la sécurité en continu
client, propriété intellectuelle, etc.) et leur compromission peut avoir un impact
gatif t s i po ta t, oi e
e ett e l’e ista te de l’e t ep ise e p il.
De
o
eu
as
d’atta ues
i fo ati ues o t o t da s l’a tualit
récente les dommages considérables,
fi a ie s et hu ai s, u’e ou e t les
entreprises. Sur le plan financier,
lo s u’o
additio e le
oût des
dommages, des réparations, de la
désorganisation et des poursuites
judiciaires, les dégâts peuvent se chiffrer
en centaines de milliers ou de millions,
voire en milliard de dollars pour les cas les plus graves.
Pour les PME, qui concentrent environ les trois quarts des attaques, la facture
peut-être létale avec des montants qui peuvent atteindre plusieurs dizaines ou
e tai es de illie s d’Eu os. “u le pla hu ai , le is ue su l’e ploi des
dirigeants et leur responsabilité pénale est réel.
« Les PME concentrent environ les trois quarts des cyberattaques. La
facture peut-être létale avec des montants qui peuvent atteindre
plusieu s dizai es ou e tai es de illie s d’Eu os. “u le pla
humain, le is ue su l’e ploi des di igea ts et leu espo sa ilit
pénale est réel »
De même, les dommages collatéraux subis par les employés ou les clients dont
les informations personnelles sont parfois divulguées publiquement, ont des
conséquences potentiellement dramatiques sur leur vie professionnelle et
privée. La sécurité informatique doit ainsi devenir une préoccupation majeure,
de tous les instants.
2
Le livre blanc de la sécurité en continu
LA MENACE FANTOME
D’ap s le « 2014 Cyber Security Intelligence Index » d’IBM, les o ga isatio s
fo t fa e à u e o e e de 9
illio s d’i ide ts de sécurité chaque année,
e t aî a t u is ue d’atta ue o s ue t. U e tude de l’u i e sit du
Mi higa de
4 Ho Vul e a le a e U p ote ted Ma hi es o the
I te et? a is e
ide e u’u s a
al eilla t ad ie t e
o e e au
bout de 56 minutes pour chaque nouveau serveur visible sur internet, et une
atta ue se p oduit da s les 9 heu es sui a tes…
Les études et les statistiques concernant la cyber sécurité foisonnent, en
p o e a e d’o ga isatio s p i es ou pu li ues. Il ’est pas
essai e de
toutes les lire pour en détacher les grandes tendances :
 La cybercriminalité est devenue une affaire de professionnels ;
 Au u e o ga isatio ’est à l’a i ;
 Les entreprises et administrations restent très vulnérables à cette
nouvelle forme de délinquance et se protègent peu ou mal, malgré une
prise de conscience en augmentation.
Loi du li h du ha ke à la e he he d’u eau geste te h i ue o peut
distinguer différentes motivations malveillantes à la cybercriminalité. On citera
essentielle e t l’espio age tati ue ou i dust iel , do t la fi alit est le
e seig e e t afi d’e ti e u a a tage su sta tiel su la i ti e, le
e
te o is e ui he he à p o o ue la dest u tio et la peu , et ie sû l’appât
du gain lorsque les informations dérobées sont monnayables ou de grande
aleu pou l’e t ep ise e.g. e a e de diffusio de do
es ol es o t e
demande de rançon, chantage à la destruction de données, vols de données
a ai es et e e te à d’autres réseaux criminels, etc.).
3
Le livre blanc de la sécurité en continu
On se souvient par exemple de
C ptoLo ke ,
a so
ae
cryptant les données des victimes et
exigeant un paiement pour le
décryptage : selon le FBI, il en aurait
coûté 18 millions de dollars aux
victimes déclarées...
Quelque soient les motivations, tous
les attaquants ont cependant un
point commun aujou d’hui : ils so t
puissants, professionnels et financés.
« C ptoLo ke , a so a e
pta t les do es des i ti es et
exigeant un paiement pour le décryptage, aurait coûté 18 millions de
dollars aux victimes déclarées, selon le FBI »
Les attaques ciblées sur des entreprises ou des organisations spécifiques sont
de plus en plus sophistiquées et se préparent souvent avec patience, mais dans
le même temps les réseaux mafieux automatisent des attaques de masse
desti es à
e des
seau auto ati ues de olle te d’i fo atio s
sensibles et monnayables (que ce soit par revente, chantage ou autre).
Pour cela ils automatisent la recherche systématique de failles sur tout serveur
connecté à Internet et réalisent ensuite des attaques automatiques en vue de
créer des réseaux de serveurs relais (des « botnets ») qui leur permettent de
dispose à la fois d’u e puissa e de al ul i po tante pour leur logiciel
malveillant et aussi de brouiller les pistes pour contrer les enquêteurs.
4
Le livre blanc de la sécurité en continu
C’est pa e e ple le as des logi iels de “pa
ui utilise t les a hi es
victimes pour relayer les emails abusifs, au risque de les faire inscrire en liste
oi e e ui peut t e t s ha di apa t pou l’e t ep ise p op i tai e do t les
communications électroniques sont soudainement interrompues et difficiles à
rétablir).
Il ’est pas
essai e d’ t e u e ulti atio ale de e o pou e ou i u tel
is ue. Les PMEs aussi so t i pa t es d s lo s u’elles o
u i ue t su
I te et et d’auta t plus lo s u’elles utilise t de l’h e ge e t do t les
centres de données sont connus et scannés en permanence par les systèmes
piratés.
« Les multinationales de renom ne sont pas les seules à encourir un
is ue. Les PME aussi so t i pa t es d s lo s u’elles
o
u i ue t su I te et et d’auta t plus lo s u’elles utilise t de
l’h e ge e t do t les e t es de do es so t o us et s a s
en permanence par les systèmes piratés »
La mécanique aveugle de la cybercriminalité de masse peut se résumer en
ceci : plus un serveur présente de vulnérabilités, plus il subit de tentatives
d’e ploitatio de failles.
Quant aux conséquences néfastes (par exemple la distorsion de concurrence, le
vol de fichier client, le vol ou le sabotage de données de comptabilité, la
di ulgatio de do
es se si les p i es ou des lie ts, et … , elles affe te t
toutes les entreprises, quel que soit leur taille, et sont encore plus dangereuses
pou les oi s solides ui peu e t tout si ple e t e pas s’e ele e .
5
Le livre blanc de la sécurité en continu
LES MIRAGES DE L’AUDIT ANNUEL ET DU CONTROLE D’ACCES
Les entreprises et les administrations sont de plus en plus sensibilisées aux
cyber-risques et certaines réalisent déjà des audits de sécurité de leurs
infrastructures informatiques, souvent de façon annuelle. De nombreuses
contraintes pèsent sur les entreprises qui souhaitent réaliser des audits de
sécurité. Elles doivent absolument éviter les dépassements de budgets ainsi
que les ralentissements ou perturbations des serveurs de production.
Les outils habituels pour effectuer les audits de sécurité des infrastructures
so t i suffisa
e t auto atis s et e ui e t la p se e d’u e
uipe
dédiée.
Pour que les audits remplissent leur fonction première de détection des failles,
il faut également que la base de connaissance des vulnérabilités soit
constamment à jour, ce qui est difficile à garantir avec les outils traditionnels et
des processus encore largement manuels. Au final, les solutions classiques font
e essi e e t appel à u e ai d’œu re experte coûteuse, sont chronophages et peu e t a ue d’effi a it su les i f ast u tu es h ides
(physiques, virtuelles avec VMware par exemple et Cloud avec AWS, Microsoft
Azu e ou aussi Ope sta k ue de plus e plus d’e t ep ises poss de t.
6
Le livre blanc de la sécurité en continu
Ainsi, le plus souvent ces audits ont lieu au mieux une fois par an (rarement de
faço plus app o h e et les o e tio s s’ tale t da s le te ps. Cette
fréquence est malheureusement trop faible quand on sait que vingt nouvelles
failles sont dévoilées chaque jour et face à la vitalité des hackers qui en tirent
parti quotidiennement.
« Le plus souvent les audits informatiques ont lieu au mieux une fois
par an. Cette fréquence est trop faible quand on sait que vingt
nouvelles failles sont dévoilées chaque jour et face à la vitalité des
hackers qui en tirent parti quotidiennement »
Les o ga isatio s s’ uipe t gale e t de di e s
a is es de p ote tio s
et de o t ôle d’a s, ai si pa fois ue d’a al se de logs (pour repérer des
activités inhabituelles ou interdites, ou encore pourvoir retracer un problème
après-coup).
Pour être des éléments très intéressants voire indispensables de la sécurité, ils
e peu e t e pla e l’e iste e de fo datio s solides, ue seule l’a al se et
la correction des failles permettent. Les failles sont en effet autant de moyens
détournés à la disposition des hackers pour pénétrer ou attaquer les systèmes
et o tou e les
a is es de d te tio ou de o t ôle d’a s.
7
Le livre blanc de la sécurité en continu
UN CHANGEMENT DE PARADIGME : L’AUDIT AUTOMATISE EN CONTINU
Afin de remédier aux difficultés à sécuriser son infrastructure informatique, des
changements de o po te e t et d’outils sont nécessaires. Il faut faire de la
sécurité, de la détection et de la correction de failles, une préoccupation
pe a e te ui s’i t g e au p o essus ha ituels de l’e t ep ise : on peut
pa le e uel ue so te d’audit e o ti u.
U e s u it
ode e du s st e d’i fo atio
se doit d’ t e
économiquement viable, permanente et adaptative. Elle doit également poser
le moins possible de contraintes pour ne pas être punitive et risquer
d’e ou age les usages d tou s ou le non respects des règles : lorsque les
systèmes de défense sont empilés et que les processus de sécurité deviennent
trop « lourds », les utilisateurs ont tendance à prendre des biais qui peuvent
ruiner les efforts consentis.
Ainsi, il sera par exemple plus difficile d’o te i u e fe t e d’audit si elle
e t aî e l’a t ou la pe tu atio de l’usage des s st es. O le p i ipe de
o ti uit o
a de u’o puisse audite le s st e e uasi-permanence : il
est do
essai e u’il s’a o pag e d’u p i ipe d’i ocuité et fasse appel
à une automatisation poussée.
On peut schématiquement regarder le processus de sécurité comme un cercle
e tueu
ui o ou e à l’a lio atio pe a e te de la p ote tio du
s st e d’i fo atio , a e t ois phases ui s'e haî e t et se répètent à
l’i fi i.
Il o ie t tout d’a o d de e e se e pe a e e les o posa ts du
s st e, afi ue le p i t e de s u it d fi i pa l’i e tai e ai si alis
8
Le livre blanc de la sécurité en continu
dynamiquement reste à jour : o
ite a de ette faço les is ues li s à l’ajout
d’u ou eau o posa t ou à des odifi atio s pa e e ple de gles de
pare-feu ou de configuration système).
Ensuite tous les composants doivent être placés sous surveillance continue et
la base de connaissance des vérifications de sécurité doit être maintenue à jour
en permanence.
Il est à ce stade particulièrement
i po ta t de s’assu e du p i ipe
d’i o uit
e tio
plus haut : moins
le système de surveillance imposera de
contraintes ou de perturbations à
l’e i o e e t, plus il se a possible de
ett e e
œu e u e su eilla e
rapprochée, continue et exhaustive.
Les problèmes, vulnérabilités et failles détectées doivent ensuite être pris en
compte dans un plan de remédiation pour apporter les corrections nécessaires
et en déduire les a lio atio s souhaita les de l’a hite tu e et du
fo tio e e t du s st e d’i fo atio .
« Les problèmes, vulnérabilités et failles détectées doivent être pris
en compte dans un plan de remédiation pour apporter les
corrections nécessaires et en déduire les améliorations »
Au cours du temps, ces trois phases cohabitent en permanence : tandis que
certaines corrections sont en cours et des améliorations envisagées, le système
9
Le livre blanc de la sécurité en continu
d’information continue d’ t e i e to i
continuellement.
et ses
o posa ts su eill s
Passée une phase de mise en place qui peut amener un lot important de
problèmes à corriger, le principe de continuité entraîne un lissage dans le
temps du nombre de vulnérabilités détectées et pe et d’attei d e u
th e
de oisi e s o
e de lissage du oût de la s u it , ai si ue d’u e p ise e
compte plus fine des failles à corriger (par exemple par opposition à un
p o essus d’audit po tuel ui d ou he su u pla hi a his de p oblèmes
à solutio e , où eu jug s les oi s i po ta ts is ue t de ’ t e o ig s
que tardivement, voire jamais).
Pour mettre ces principes en place, une rupture technologique est
nécessaire pour amener l’i te e tio hu ai e au i eau de l’a al se et de la
décision, tandis que la surveillance et la détection de failles sont entièrement
automatisées, adaptatives au périmètre à maintenir en sécurité et sans impact
sur les systèmes en production.
10
Le livre blanc de la sécurité en continu
L’auto atisatio pouss e
essite d’a oi trois caractéristiques :
 U e fo tio d’i e tai e d a i ue, ui pe et de ga de à jou
l’e se le des o posa ts de l’i f ast u tu e se eu s, seau , gles
de pare-feu, appli atifs, ases de do
es… faisant partie du périmètre
de sécurité ;
 Une fonction de déploiement de tests sans intervention manuelle, pour
que tout le périmètre de sécurité soit pris en compte sans erreur ou
omission ;
 Une mise à jour automatique et rapide de la base de connaissance des
failles pour réduire à leur minimum les fenêtres de vulnérabilité aux
failles nouvellement découvertes.
D’aut e pa t la solutio doit ite d’i pa te les s st es e p odu tio . O
privilégiera de ce fait une approche « sans-agent » sur les serveurs (et autres
composants), avec pour avantage de ne consommer aucune ressource des
se eu s
oi e, CPU , de e pas is ue d’i t odui e de faille li e à l’age t
luie et d’ ite de laisse des o posa ts ho s du p i t e de s u it
e as d’ou li de d ploie e t de l’age t ou de so d sfo tio ement.
Les avantages de cette approche sont également importants sur le plan
o o i ue e
ita t les oûts d’i stallatio
oi e d’i t g atio , l’age t
’ ta t pas
essai e e t o pati le a e tout t pe de at iel ou de
s st e d’e ploitatio , de test et de ai te a e des age ts su l’e se le
des o posa ts de l’i f ast u tu e.
11
Le livre blanc de la sécurité en continu
L’APPROCHE DE SECLUDIT
A l’e se le de ses a a t isti ues, toutes p se tes da s sa solutio « Elastic
Detector », SecludIT ajoute des innovations majeures en environnement
i tualis ou Cloud, ui pe ette t de
ifie les se eu s de l’i t ieu alg
l’a se e d’age t, ai si ue les se eu s a t s p se ts da s l’i f ast u tu e. :
● La fo tio de d ou e te alisa t l’i e tai e d a i ue utilise les
interfaces de la couche de virtualisation et permet la détection des
se eu s u’ils soie t e fo tio e e t ou a t s.
● Une fonction de clonage permet de créer des clones des serveurs en
fonctionnement ou arrêtés, qui seront ainsi testés en profondeur, y
co p is de l’i t ieu , à la pla e des se eu s de p odu tio o igi au .
De ette faço l’outil « Elastic Detector » expose des caractéristiques
d’i o uit
a i u sa s ie sa ifie de la ualit de la d te tio de failles
de sécurité.
12
Le livre blanc de la sécurité en continu
POUR CONCLURE
Aujou d’hui les e t ep ises su isse t plus les atta ues u’elles e les
préviennent. Résultat : elles se et ou e t sou e t au pied du u lo s u’elles
e so t i ti es. Les p o essus d’i estisse e t et les p ati ues doi e t
évoluer pour i t g e l’audit auto atis e
o ti u o
e l’ l e t
fondamental de la sécurisation des infrastructures IT.
Ainsi, seule une véritable rupture technologique et une évolution radicale des
comportements permettront le déploiement de solutions efficaces pour
contrer les atta ues. L’adoptio de technologies innovantes, comme l’audit e
continu automatisé avec le clonage de serveur proposé par SecludIT, en est le
parfait exemple.
CONTACT
SecludIT
Drakkar II D105
2405 route des dolines
Valbonne, France
http://secludit.com
13