En 2017, la sécurité des systèmes d’information a été malmenée dans les entreprises et organisations disposant de systèmes d’information de toutes tailles. Ces derniers mois ont notamment été marqués par des cyberattaques de grande ampleur perpétrées par des « cryptolockers » (logiciels de cryptage des données) qui débouchent généralement sur des demandes de rançons. Les Locky, Wanna Cry et autres NotPetya ont véritablement mis à mal les données de nombreuses organisations dans les pays occidentaux. C’est pourquoi, sur cet IT Partners 2018, les éditeurs de solutions technologiques visant à prévenir et contrer ce genre de cyberattaques étaient particulièrement présents et actifs.
Aujourd’hui, la protection des infrastructures informatiques et des données s’organise autour de plusieurs axes de développement déjà connus comme l’antivirus, le cloisonnement des données et le durcissement, ainsi que la réduction des surfaces d’attaque. Cela passe par des solutions techniques, mais également par une évolution des pratiques.
En effet, selon une étude menée par le spécialiste de la cybersécurité Kaspersky Lab, 46 % des incidents sont causés chaque année par des erreurs ou manques de prudence émanant de personnes internes à l’entreprise. Les cybercriminels utilisent souvent les employés points d’entrée dans un SI, que ce soit par le biais d’e-mails de phishing, de mots de passe trop faibles ou de faux appels du support technique. Depuis peu, Kaspersky propose d’ailleurs à ses clients Security Awareness, un programme de formation à la cybersécurité orienté de manière ludique, afin de sensibiliser très largement.
Les autorités françaises, à l’instar de l’ANSSI (Agence nationale de sécurité des systèmes d’information) présente sur l’IT Partners, ont également bien compris que l’humain est le « maillon faible » de la cybersécurité. Depuis l’automne 2017, l’ANSSI propose un portail de services (www.cybermalveillance.gouv.fr) qui permet d’être mis en relation avec des prestataires techniques en mesure de répondre de manière pertinente en cas de cyberattaque ou dans le cadre de la prévention des incidents. Cette agence gouvernementale a également mis en place l’an dernier un MOOC (https://secnumacademie.gouv. fr/) qui permet de se familiariser via des modules de formation progressifs tout au long de l’année aux problématiques de la cybermenace et aux techniques de protection qui s’y rapportent. Notons que ce MOOC est accessible à des non-informaticiens.
Windows en ligne de mire
Kaspersky rappelait quant à lui, à sa manière, que les récents « rançongiciels » avaient pénétré les entreprises via Windows. L’éditeur propose en effet un nouveau produit Security for Microsoft Office 365, qui exploite des méthodes de protection heuristiques avancées, le sandboxing et le machine learning. Mais ce n’est pas tout. Kasperksy continue de proposer, pour les spécialistes de l’infogérance d’infrastructures informatiques (les Manage Service Providers), un programme de partenariat autour de la cybersécurité visant à permettre à ce type d’acteurs de proposer des solutions sécurisées rapides à mettre en place et basées sur le cloud. Kaspersky propose notamment une console d’administration unique destinée à gérer des outils pour sécuriser, surveiller et gérer les infrastructures d’un client. Pour la première fois à l’IT Partners, Kaspersky montrait également deux applications grand public l’une contre les virus, les logiciels espions et malveillants et l’autre contre les vols d’identité et de données personnelles sur l’Internet.
Exit les signatures, vive le machine Learning
Autre constat dans les allées de l’IT Partners : si la sécurité des systèmes d’information est toujours vue majoritairement sous le prisme de la détection des incidents basée sur des modèles de signature, la prévention s’effectue de plus en plus via des outils d’analyse dits « intelligents ». Le principe des signatures – et de leurs mises à jour régulières – est certes nécessaire, mais insuffisant face à la mutation d’un virus, d’un bot ou d’un logiciel malveillant, de plus en plus répandue dans les cyberattaques actuelles.
C’est pourquoi plusieurs solutions du marché utilisent désormais la capacité d’apprentissage des machines (le machine learning) pour s’adapter en temps réel aux cybermenaces. BitDefender lançait par exemple GravityZoneElite, une solution de sécurité basée sur ce principe d’apprentissage et d’analyse préventive des cyberattaques.
F-Secure, qui s’est imposé sur le marché grâce à la simplicité de sa solution de VPN sécurisé (F-Secure Freedome VPN), présentait deux solutions : DeepGard et DataGard, qui combinent intelligence artificielle et anti-ransomware (rançongiciel). En parallèle, F-Secure propose un outil d’analyse préventive baptisé Radar, lançant des audits récurrents sur la vulnérabilité de son SI et de ses applications, des mots de passe trop faibles ou des erreurs de configuration dans son infrastructure IT.
Dans le registre de l’IA, la société britannique Sophos fait figure de poisson pilote. Forte de ses douze centres de R&D en Europe et de l’acquisition en 2017 de la société Invincea, Sophos parle aujourd’hui de sécurité synchronisée de l’ensemble des dispositifs de sécurité au sein d’une infrastructure informatique.
« Si la protection des endpoints reste essentielle, explique Laurent Gentil le directeur technique de Sophos, étant donné que 75 % des attaques proviennent encore directement du web, il est important d’adapter sa défense en fonction des typologies de menaces qui sont de plus en plus complexes et capables de muter. Elles nécessitent d’aller sourcer des informations multiples et de disposer d’outils d’analyse puissants, capables de mettre en œuvre de nouveaux modèles de ripostes adaptés. »
Sophos montrait notamment sur IT Partners les performances de la V2 de sa solution de protection Intercept X, qui ne repose plus sur les signatures, mais uniquement sur le Deep Learning et l’analyse détaillée des attaques, ainsi que leur nettoyage avancé. Intercept X est une des rares solutions du marché capable de détecter en temps réel un process de chiffrement pirate au sein du SI (la solution est basée sur l’analyse temps réel de la mauvaise réputation de chaque mode de chiffrement) et de réaliser une sauvegarde instantanée d’une base de données en train d’être attaquée.
Hormis l’usage de l’IA, Sophos mettait en avant sur IT Partners plusieurs évolutions intéressantes, comme le logiciel de supervision Sophos Central qui s’enrichit de PhishThreat, une fonctionnalité destinée à lutter plus efficacement contre le phishing (hameçonnage) ou encore Sophos Mobile qui s’adapte, comme son nom l’indique, aux terminaux mobiles ou encore Sophos SafeGard Entreprise, qui sécurise dorénavant les SI installés dans le cloud.
Le sandboxing dans le cloud pour contourner les logiciels malicieux
Les entreprises qui s’appuient uniquement sur les logiciels antivirus ne sont plus protégées. Les cybermenaces actuelles sont tellement sophistiquées qu’elles peuvent aisément se déguiser et passer inaperçues auprès des produits basés sur signature qui recherchent un modèle de logiciel malveillant reconnaissable.
C’est pourquoi certains éditeurs de solutions de cybersécurité s’appuient sur l’IA, mais aussi sur l’identification et le signalement des fichiers suspects dans une sandbox basée dans le cloud. Au sein d’un environnement virtuel, la sandbox, le code potentiellement malveillant est alors analysé via une émulation qui exécute sans risque le code pour déterminer son potentiel de menace. Ainsi, il est possible de détecter des menaces avancées, notamment les APT (menaces persistantes avancées) qui sont conçues pour reconnaître les modes de détection et s’en cacher.
Dans ce domaine, une société comme WatchGuard propose une plate-forme UTM (Unified Threath Management) particulièrement complète. Cette plate-forme de gestion unifiée des menaces réalise en temps réel une émulation du SI de votre organisation, y compris des matériels physiques (processeur et mémoire) permettant de rendre sans risque sa visibilité à un logiciel malveillant. Sorte de méta-plateforme ayant noué des partenariats avec AVG, Trendmicro, Lastline ou Sophos, WatchGuard exécute simultanément l’ensemble de ses moteurs d’analyse afin d’assurer un niveau de protection optimale.
De même, pour ne pas freiner le débit de ses requêtes multicouches, les ressources de cet UTM sont allouées en fonction du flux de données et des services de sécurité requis. Si le filtrage web a besoin de plus de puissance par exemple, des processeurs supplémentaires y sont automatiquement alloués pour que le traffic Internet reste fluide. À noter que ce genre de solution est disponible en mode SaaS sous forme d’abonnement annuel dont les tarifs sont adaptés à toutes les tailles d’entreprises, à partir de cinq postes en réseaux.
* Article paru pour la première fois dans Mediakwest #27, p. 88-90. Abonnez-vous à Mediakwest (5 numéros/an + 1 Hors-Série « Guide du tournage ») pour accéder, dès leur sortie, à nos articles dans leur intégralité.