Livre Bla
Transcription
Livre Bla
LA SECURITE EN CONTINU Livre Blanc Manuel Rebuffel Directeur Produits Le livre blanc de la sécurité en continu UN MONDE CONNECTE OU L’INFORMATION EST LA VALEUR DOMINANTE Alors que la s u it des s st es d’i fo atio des e t ep ises est u sujet i te po el, le o te te i dust iel d’aujou d’hui et l’aug e tatio de la cybercriminalité amènent de nouveaux défis que les solutions traditionnelles peinent à relever. Quelle que soit la taille de l’e t ep ise, elle est maintenant connectée à I te et et sa d pe da e à l’outil informatique et au réseau global s'a oît. Qu’il s’agisse d’u e si ple connexion email ou pour des relations avec ses fournisseurs ou les ad i ist atio s, ou u’il s’agisse d’u esoi au œu de l’a ti it de l’e t ep ise site i stitutio el ou ecommerce, par exemple), la quasitotalité des entreprises a une ou plusieurs portes informatiques donnant sur Internet. D’aut e pa t, a e l’a e e t de la i tualisation et maintenant du Cloud, la fle i ilit et la di i utio du oût de l’outil i fo ati ue et du sto kage s’a o pag e t sou e t d’u e plus g a de o ple it , i duisa t u e plus grande vulnérabilité : intermédiaires, systèmes plus complexes et dynamiques, do es h e g es ho s de l’e t ep ise, et . « L’a e e t de la i tualisatio et ai te a t du Cloud, la fle i ilit et la di i utio du oût de l’outil i fo ati ue et du sto kage s’a o pag e t sou e t d’u e plus g a de o ple it , induisant une plus grande vulnérabilité » De plus e plus d’i fo atio s itales à so fo tio e e t so t sto k es su les s st es d’i fo atio de l’e t ep ise i e tai e, o pta ilit , fi hie 1 Le livre blanc de la sécurité en continu client, propriété intellectuelle, etc.) et leur compromission peut avoir un impact gatif t s i po ta t, oi e e ett e l’e ista te de l’e t ep ise e p il. De o eu as d’atta ues i fo ati ues o t o t da s l’a tualit récente les dommages considérables, fi a ie s et hu ai s, u’e ou e t les entreprises. Sur le plan financier, lo s u’o additio e le oût des dommages, des réparations, de la désorganisation et des poursuites judiciaires, les dégâts peuvent se chiffrer en centaines de milliers ou de millions, voire en milliard de dollars pour les cas les plus graves. Pour les PME, qui concentrent environ les trois quarts des attaques, la facture peut-être létale avec des montants qui peuvent atteindre plusieurs dizaines ou e tai es de illie s d’Eu os. “u le pla hu ai , le is ue su l’e ploi des dirigeants et leur responsabilité pénale est réel. « Les PME concentrent environ les trois quarts des cyberattaques. La facture peut-être létale avec des montants qui peuvent atteindre plusieu s dizai es ou e tai es de illie s d’Eu os. “u le pla humain, le is ue su l’e ploi des di igea ts et leu espo sa ilit pénale est réel » De même, les dommages collatéraux subis par les employés ou les clients dont les informations personnelles sont parfois divulguées publiquement, ont des conséquences potentiellement dramatiques sur leur vie professionnelle et privée. La sécurité informatique doit ainsi devenir une préoccupation majeure, de tous les instants. 2 Le livre blanc de la sécurité en continu LA MENACE FANTOME D’ap s le « 2014 Cyber Security Intelligence Index » d’IBM, les o ga isatio s fo t fa e à u e o e e de 9 illio s d’i ide ts de sécurité chaque année, e t aî a t u is ue d’atta ue o s ue t. U e tude de l’u i e sit du Mi higa de 4 Ho Vul e a le a e U p ote ted Ma hi es o the I te et? a is e ide e u’u s a al eilla t ad ie t e o e e au bout de 56 minutes pour chaque nouveau serveur visible sur internet, et une atta ue se p oduit da s les 9 heu es sui a tes… Les études et les statistiques concernant la cyber sécurité foisonnent, en p o e a e d’o ga isatio s p i es ou pu li ues. Il ’est pas essai e de toutes les lire pour en détacher les grandes tendances : La cybercriminalité est devenue une affaire de professionnels ; Au u e o ga isatio ’est à l’a i ; Les entreprises et administrations restent très vulnérables à cette nouvelle forme de délinquance et se protègent peu ou mal, malgré une prise de conscience en augmentation. Loi du li h du ha ke à la e he he d’u eau geste te h i ue o peut distinguer différentes motivations malveillantes à la cybercriminalité. On citera essentielle e t l’espio age tati ue ou i dust iel , do t la fi alit est le e seig e e t afi d’e ti e u a a tage su sta tiel su la i ti e, le e te o is e ui he he à p o o ue la dest u tio et la peu , et ie sû l’appât du gain lorsque les informations dérobées sont monnayables ou de grande aleu pou l’e t ep ise e.g. e a e de diffusio de do es ol es o t e demande de rançon, chantage à la destruction de données, vols de données a ai es et e e te à d’autres réseaux criminels, etc.). 3 Le livre blanc de la sécurité en continu On se souvient par exemple de C ptoLo ke , a so ae cryptant les données des victimes et exigeant un paiement pour le décryptage : selon le FBI, il en aurait coûté 18 millions de dollars aux victimes déclarées... Quelque soient les motivations, tous les attaquants ont cependant un point commun aujou d’hui : ils so t puissants, professionnels et financés. « C ptoLo ke , a so a e pta t les do es des i ti es et exigeant un paiement pour le décryptage, aurait coûté 18 millions de dollars aux victimes déclarées, selon le FBI » Les attaques ciblées sur des entreprises ou des organisations spécifiques sont de plus en plus sophistiquées et se préparent souvent avec patience, mais dans le même temps les réseaux mafieux automatisent des attaques de masse desti es à e des seau auto ati ues de olle te d’i fo atio s sensibles et monnayables (que ce soit par revente, chantage ou autre). Pour cela ils automatisent la recherche systématique de failles sur tout serveur connecté à Internet et réalisent ensuite des attaques automatiques en vue de créer des réseaux de serveurs relais (des « botnets ») qui leur permettent de dispose à la fois d’u e puissa e de al ul i po tante pour leur logiciel malveillant et aussi de brouiller les pistes pour contrer les enquêteurs. 4 Le livre blanc de la sécurité en continu C’est pa e e ple le as des logi iels de “pa ui utilise t les a hi es victimes pour relayer les emails abusifs, au risque de les faire inscrire en liste oi e e ui peut t e t s ha di apa t pou l’e t ep ise p op i tai e do t les communications électroniques sont soudainement interrompues et difficiles à rétablir). Il ’est pas essai e d’ t e u e ulti atio ale de e o pou e ou i u tel is ue. Les PMEs aussi so t i pa t es d s lo s u’elles o u i ue t su I te et et d’auta t plus lo s u’elles utilise t de l’h e ge e t do t les centres de données sont connus et scannés en permanence par les systèmes piratés. « Les multinationales de renom ne sont pas les seules à encourir un is ue. Les PME aussi so t i pa t es d s lo s u’elles o u i ue t su I te et et d’auta t plus lo s u’elles utilise t de l’h e ge e t do t les e t es de do es so t o us et s a s en permanence par les systèmes piratés » La mécanique aveugle de la cybercriminalité de masse peut se résumer en ceci : plus un serveur présente de vulnérabilités, plus il subit de tentatives d’e ploitatio de failles. Quant aux conséquences néfastes (par exemple la distorsion de concurrence, le vol de fichier client, le vol ou le sabotage de données de comptabilité, la di ulgatio de do es se si les p i es ou des lie ts, et … , elles affe te t toutes les entreprises, quel que soit leur taille, et sont encore plus dangereuses pou les oi s solides ui peu e t tout si ple e t e pas s’e ele e . 5 Le livre blanc de la sécurité en continu LES MIRAGES DE L’AUDIT ANNUEL ET DU CONTROLE D’ACCES Les entreprises et les administrations sont de plus en plus sensibilisées aux cyber-risques et certaines réalisent déjà des audits de sécurité de leurs infrastructures informatiques, souvent de façon annuelle. De nombreuses contraintes pèsent sur les entreprises qui souhaitent réaliser des audits de sécurité. Elles doivent absolument éviter les dépassements de budgets ainsi que les ralentissements ou perturbations des serveurs de production. Les outils habituels pour effectuer les audits de sécurité des infrastructures so t i suffisa e t auto atis s et e ui e t la p se e d’u e uipe dédiée. Pour que les audits remplissent leur fonction première de détection des failles, il faut également que la base de connaissance des vulnérabilités soit constamment à jour, ce qui est difficile à garantir avec les outils traditionnels et des processus encore largement manuels. Au final, les solutions classiques font e essi e e t appel à u e ai d’œu re experte coûteuse, sont chronophages et peu e t a ue d’effi a it su les i f ast u tu es h ides (physiques, virtuelles avec VMware par exemple et Cloud avec AWS, Microsoft Azu e ou aussi Ope sta k ue de plus e plus d’e t ep ises poss de t. 6 Le livre blanc de la sécurité en continu Ainsi, le plus souvent ces audits ont lieu au mieux une fois par an (rarement de faço plus app o h e et les o e tio s s’ tale t da s le te ps. Cette fréquence est malheureusement trop faible quand on sait que vingt nouvelles failles sont dévoilées chaque jour et face à la vitalité des hackers qui en tirent parti quotidiennement. « Le plus souvent les audits informatiques ont lieu au mieux une fois par an. Cette fréquence est trop faible quand on sait que vingt nouvelles failles sont dévoilées chaque jour et face à la vitalité des hackers qui en tirent parti quotidiennement » Les o ga isatio s s’ uipe t gale e t de di e s a is es de p ote tio s et de o t ôle d’a s, ai si pa fois ue d’a al se de logs (pour repérer des activités inhabituelles ou interdites, ou encore pourvoir retracer un problème après-coup). Pour être des éléments très intéressants voire indispensables de la sécurité, ils e peu e t e pla e l’e iste e de fo datio s solides, ue seule l’a al se et la correction des failles permettent. Les failles sont en effet autant de moyens détournés à la disposition des hackers pour pénétrer ou attaquer les systèmes et o tou e les a is es de d te tio ou de o t ôle d’a s. 7 Le livre blanc de la sécurité en continu UN CHANGEMENT DE PARADIGME : L’AUDIT AUTOMATISE EN CONTINU Afin de remédier aux difficultés à sécuriser son infrastructure informatique, des changements de o po te e t et d’outils sont nécessaires. Il faut faire de la sécurité, de la détection et de la correction de failles, une préoccupation pe a e te ui s’i t g e au p o essus ha ituels de l’e t ep ise : on peut pa le e uel ue so te d’audit e o ti u. U e s u it ode e du s st e d’i fo atio se doit d’ t e économiquement viable, permanente et adaptative. Elle doit également poser le moins possible de contraintes pour ne pas être punitive et risquer d’e ou age les usages d tou s ou le non respects des règles : lorsque les systèmes de défense sont empilés et que les processus de sécurité deviennent trop « lourds », les utilisateurs ont tendance à prendre des biais qui peuvent ruiner les efforts consentis. Ainsi, il sera par exemple plus difficile d’o te i u e fe t e d’audit si elle e t aî e l’a t ou la pe tu atio de l’usage des s st es. O le p i ipe de o ti uit o a de u’o puisse audite le s st e e uasi-permanence : il est do essai e u’il s’a o pag e d’u p i ipe d’i ocuité et fasse appel à une automatisation poussée. On peut schématiquement regarder le processus de sécurité comme un cercle e tueu ui o ou e à l’a lio atio pe a e te de la p ote tio du s st e d’i fo atio , a e t ois phases ui s'e haî e t et se répètent à l’i fi i. Il o ie t tout d’a o d de e e se e pe a e e les o posa ts du s st e, afi ue le p i t e de s u it d fi i pa l’i e tai e ai si alis 8 Le livre blanc de la sécurité en continu dynamiquement reste à jour : o ite a de ette faço les is ues li s à l’ajout d’u ou eau o posa t ou à des odifi atio s pa e e ple de gles de pare-feu ou de configuration système). Ensuite tous les composants doivent être placés sous surveillance continue et la base de connaissance des vérifications de sécurité doit être maintenue à jour en permanence. Il est à ce stade particulièrement i po ta t de s’assu e du p i ipe d’i o uit e tio plus haut : moins le système de surveillance imposera de contraintes ou de perturbations à l’e i o e e t, plus il se a possible de ett e e œu e u e su eilla e rapprochée, continue et exhaustive. Les problèmes, vulnérabilités et failles détectées doivent ensuite être pris en compte dans un plan de remédiation pour apporter les corrections nécessaires et en déduire les a lio atio s souhaita les de l’a hite tu e et du fo tio e e t du s st e d’i fo atio . « Les problèmes, vulnérabilités et failles détectées doivent être pris en compte dans un plan de remédiation pour apporter les corrections nécessaires et en déduire les améliorations » Au cours du temps, ces trois phases cohabitent en permanence : tandis que certaines corrections sont en cours et des améliorations envisagées, le système 9 Le livre blanc de la sécurité en continu d’information continue d’ t e i e to i continuellement. et ses o posa ts su eill s Passée une phase de mise en place qui peut amener un lot important de problèmes à corriger, le principe de continuité entraîne un lissage dans le temps du nombre de vulnérabilités détectées et pe et d’attei d e u th e de oisi e s o e de lissage du oût de la s u it , ai si ue d’u e p ise e compte plus fine des failles à corriger (par exemple par opposition à un p o essus d’audit po tuel ui d ou he su u pla hi a his de p oblèmes à solutio e , où eu jug s les oi s i po ta ts is ue t de ’ t e o ig s que tardivement, voire jamais). Pour mettre ces principes en place, une rupture technologique est nécessaire pour amener l’i te e tio hu ai e au i eau de l’a al se et de la décision, tandis que la surveillance et la détection de failles sont entièrement automatisées, adaptatives au périmètre à maintenir en sécurité et sans impact sur les systèmes en production. 10 Le livre blanc de la sécurité en continu L’auto atisatio pouss e essite d’a oi trois caractéristiques : U e fo tio d’i e tai e d a i ue, ui pe et de ga de à jou l’e se le des o posa ts de l’i f ast u tu e se eu s, seau , gles de pare-feu, appli atifs, ases de do es… faisant partie du périmètre de sécurité ; Une fonction de déploiement de tests sans intervention manuelle, pour que tout le périmètre de sécurité soit pris en compte sans erreur ou omission ; Une mise à jour automatique et rapide de la base de connaissance des failles pour réduire à leur minimum les fenêtres de vulnérabilité aux failles nouvellement découvertes. D’aut e pa t la solutio doit ite d’i pa te les s st es e p odu tio . O privilégiera de ce fait une approche « sans-agent » sur les serveurs (et autres composants), avec pour avantage de ne consommer aucune ressource des se eu s oi e, CPU , de e pas is ue d’i t odui e de faille li e à l’age t luie et d’ ite de laisse des o posa ts ho s du p i t e de s u it e as d’ou li de d ploie e t de l’age t ou de so d sfo tio ement. Les avantages de cette approche sont également importants sur le plan o o i ue e ita t les oûts d’i stallatio oi e d’i t g atio , l’age t ’ ta t pas essai e e t o pati le a e tout t pe de at iel ou de s st e d’e ploitatio , de test et de ai te a e des age ts su l’e se le des o posa ts de l’i f ast u tu e. 11 Le livre blanc de la sécurité en continu L’APPROCHE DE SECLUDIT A l’e se le de ses a a t isti ues, toutes p se tes da s sa solutio « Elastic Detector », SecludIT ajoute des innovations majeures en environnement i tualis ou Cloud, ui pe ette t de ifie les se eu s de l’i t ieu alg l’a se e d’age t, ai si ue les se eu s a t s p se ts da s l’i f ast u tu e. : ● La fo tio de d ou e te alisa t l’i e tai e d a i ue utilise les interfaces de la couche de virtualisation et permet la détection des se eu s u’ils soie t e fo tio e e t ou a t s. ● Une fonction de clonage permet de créer des clones des serveurs en fonctionnement ou arrêtés, qui seront ainsi testés en profondeur, y co p is de l’i t ieu , à la pla e des se eu s de p odu tio o igi au . De ette faço l’outil « Elastic Detector » expose des caractéristiques d’i o uit a i u sa s ie sa ifie de la ualit de la d te tio de failles de sécurité. 12 Le livre blanc de la sécurité en continu POUR CONCLURE Aujou d’hui les e t ep ises su isse t plus les atta ues u’elles e les préviennent. Résultat : elles se et ou e t sou e t au pied du u lo s u’elles e so t i ti es. Les p o essus d’i estisse e t et les p ati ues doi e t évoluer pour i t g e l’audit auto atis e o ti u o e l’ l e t fondamental de la sécurisation des infrastructures IT. Ainsi, seule une véritable rupture technologique et une évolution radicale des comportements permettront le déploiement de solutions efficaces pour contrer les atta ues. L’adoptio de technologies innovantes, comme l’audit e continu automatisé avec le clonage de serveur proposé par SecludIT, en est le parfait exemple. CONTACT SecludIT Drakkar II D105 2405 route des dolines Valbonne, France http://secludit.com 13