Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RIAMS 2013 : Face aux nouvelles menaces, les outils de sécurité et le retour aux basiques restent de mise !

mai 2013 par Marc Jacob

Face aux nouvelles menaces, comment passer comment passer d’un mode préventif à un dispositif réactif ? Ce second débat a été ouvert par Philippe Courtot, CEO de Qualys avec la participation d’un RSSI de Philippe Rondel de Check Point, de Bernard Ourghanlian de Microsoft, de Fabrice Prugnaud de Tibco (Loglogic) et de Loïc Guézo de Trend Micro.

En préambule, Philippe Courtot a donné sa vision des nouvelles menaces. Réactif c’est réagir après un événement, il vaut mieux parler de proactif afin de prendre les devants. Il a rappelé que cela fait plus de 10 ans qu’il prêche pour l’émergence du Cloud. Il a expliqué qu’il ne faut pas confondre Cloud et externalisation. On se retrouve à l’heure actuelle face à une révolution de l’IT avec le Cloud et l’ouverture des SI. Pour lui, les constructeurs doivent changer leurs modèles, les utilisateurs leurs manières de penser et les gouvernants leur règlementation. Il a démontré la puissance du Cloud en expliquant qu’avec 350 personnes Qualys est présent dans plus de 160 pays dans le monde et à plusieurs milliers de clients qui font partie des principaux leader dans chaque pays. Par rapport à cette nouvelle donne, les menaces évoluent aussi nécessitant une protection continue. Toutes les données des entreprises vont demain se trouver dans des DC avec des capacités de stockage quasi infinies. L’ensemble de l’IT est relié par internet à des millions de devices interconnectés. Il faut donc sécuriser les protocoles Machine to Machine et les interfaces des applications web qui sont souvent vulnérables. Pour Philippe Courtot, le concept de sécurité continue permet de réduire les fenêtres de vulnérabilités en masquant le code vulnérable afin de laisser le temps aux développeurs d’analyser les logs pour découvrir où se trouve le problème dans l’application.

Pour ce RSSI du monde des services de transport, dans son groupe, une attaque de type DDoS était couvert par une solution technique par contre, il y avait une faille d’implémentation. Toutefois, il n’avait été pas prévu de solution de remplacement en cas d’attaques. Pour lui, il est donc primordial de penser à des solutions de remplacement en cas d’attaques. Il est donc important pour les RSSI de trouver un élément fort pour convaincre leur direction d’avoir envie de passer d’un mode réactif à un mode préventif. Il faut éventuellement rebondir sur un accident de sécurité ou être suffisamment convainquant pour faire changer les mentalités. Il faut aussi convaincre les métiers du bien fondé des changements nécessaires. Dans cette démarche on peut se faire aider par les éditeurs. Pour lui, faut couvrir la prévention, la détection et la reprise d’activité. Il faut trouver des solutions d’un bon rapport qualité/coût, convaincre les métiers…

Selon Bernard Ourghanlian de Microsoft, le titre de cette conférence est une sorte d’appel à la résiliation. Pour autant, on peut faire beaucoup de chose avant l’incident. Il faut rappeler que depuis quelques années, il y a eu des attaques graves qui ont été couronnées de succès du fait que les basiques n’ont pas été pris en compte. Il faut faire en sorte que les applications soient à jour, que les mots de passe soit forts…. Toutes les protections ne seront pas très utiles si ces pratiques ne sont pas respectées. Il faut aussi écrire les applications en mode sécurisée. Effectivement, reprend Philippe Rondel de CheckPoint Software. Les efforts sur les couches basses sont un premier pas mais insuffisants.Il faut avoir de la visibilité sur son SI afin de pouvoir agir en cas de problème. Sur les attaques en DDoS, il est aussi important d’avoir une visibilité sur les flux. Pour ce RSSI, passer les patches est difficile du fait des tâches quotidiennes. Convaincre les Directions sur ce sujet est compliqué car a priori ce n’est pas prioritaire. Pour Philippe Courtot, les outils que l’on utilise aujourd’hui ne sont pas configurés pour répondre à la complexité du problème. Bernard Ourghanlian revenant sur le problème des patches a tenu à rappeler que leurs déploiements s’organisent. Pour lui, il est claire que tous les SI ont des malwares, par contre, il faut savoir évaluer leur impacts et leur dangerosité pour pouvoir les confiner. Pour Philippe Rondel, il est tout de même nécessaire d’avoir des outils qui agissent en mode pro-actif et réactif surtout en cas d’attaque avérée. Pour ce RSSI, il faut prendre un certains de nombre de risques en fonction des enjeux métiers et donner une visibilité forte au direction générale pour pouvoir se donner les moyens de les résoudre. La réponse face aux cybermenaces nécessite un changement de mentalité des équipes et pour qu’il ait lieu, il est nécessaire qu’il parte des directions Générales. Philippe Rondel déplore que le risque de DDoS même s’il est connu depuis longtemps, ne soit pris au sérieux que lorsque le problème arrive. Philippe Courtot rapporte qu’un de ses clients a réuni la sécurité et la conformité dans un même domaine et a fait une cartographie du SI. Lorsqu’une vulnérabilité est trouvée et qu’elle est critique, les équipes ont une labs de temps court pour y remédier. Le cas échéant le système est mis hors service. Pour Bernard Ourghanlian, la course aux armements n’est pas une solution. En effet, de nombreuses attaques utilisent des outils de base. Toutes les entreprisses vont devenir numériques, il faut que les dirigeants en prennent conscience.

Loïc Guézo de Trend Micro estime que l’aspect prévention est bien pris en compte par les entreprises. Il a noté que l’utilisation du virtual patching pourrait être une des solutions au même titre que les SOC. Concernant la détection, l’émergence des attaques ciblées rendent insuffisants les outils traditionnels. Fabrice Prugnaud de Tibco (Loglogic) pour sa part estime que 95% des sociétés ont été attaquées. Face à ce phénomène la collecte et l’analyse des logs sont primordiaux. Le problème est le stockage des millions de logs mais surtout la collecte et la corrélation. Pour ce RSSI, la réaction doit être dynamique afin d’éviter d’aller rechercher les informations dans les logs qui évidemment sont complexes à trouver. Ainsi, pour lui les IPS sont un des moyens de parer ces attaques. Toutefois, il faut aussi monter des équipes de couverture des risques. Fabrice Prugnaud explique pourquoi Tibco a acquis Loglogic afin justement pour pouvoir gérer de façon automatique les processus business. Par exemple, l’envoi d’une commande non reçue ou non traitée par un fournisseur doit impliquer l’envoi d’une alerte aux métiers.
Pour Loïc Guézo, l’objectif de Trend Micro est de pouvoir déterminer l’impact d’une attaque sur l’entreprise. Les attaques étant de plus en plus personnalisées, il est important que la réponse soit aussi personnalisée. Bien sûr, rebondi ce RSSI, mais il faut que la sécurité soit un serrvice transparent pour la Direction Générale dés lors que l’on a déterminé une stratégie. Fabrice Prugaud estime que face à l’hétérogénéité des systèmes du fait des évolutions de l’IT, mais aussi des fusions acquisitions… il faut être prêt en terme d’équipes pour être capable éventuellement de couper les systèmes. On parle même de pouvoir collecter des logs sur des données non structurées. Loïc Guézo estime qu’il faut avoir de nouveaux sensors capables de collecter et d’analyser des logs. En cas de crise, il faut aussi concevoir des solutions pour revenir à l’état normal.




Voir les articles précédents

    

Voir les articles suivants