Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Spie : vers une approche fonctionnelle et globale de la sécurité

juillet 2015 par Marc Jacob

Spie avait organisé une journée de sensibilisation à la sécurité afin de présenté son approche et son partenariat avec Cisco. A cette occasion, Julien Steunou, Directeur du CERT Lexsi a exposé les évolutions des cyber-attaques, puis Ivan Berlison CISCO AMP CSE présenté les solutions l’offre Cisco centrée sur la menace. Enfin Din-Koct Lui, consultant sécurité chez Spie a proposé le cas d’un client utilisateur de solutions Cisco déployées par les équipes de Spie.

Pascal Mavric, responsable du développement de l’offre sécurité et infrastructures IP de Spie a introduit cette journée en présentant l’approche de son entreprise en matière de sécurité. Pour lui, un changement d’approche s’impose en particularité l’approche « Best of breed » n’est pas infaillible et coûte cher tant au niveau du maintien technique que des compétences. Chez Spie, la réponse à cette problématique est la nécessité d’avoir une approche fonctionnelle et globale afin de resserrer les mailles du filet pour repérer et bloquer les attaques, et ainsi réagir rapidement aux attaques qui passerait les solutions de sécurité. Cela permet aussi de mieux suivre les améliorations de la sécurité nécessaires au maintien à niveau de la protection.

D’une attaque à l’autre

Julien Steunou, Directeur du CERT Lexsi a présenté les évolutions des cyber-attaques à partir des travaux des experts de son CERT. Il a tout d’abord analyse les malwares cibles qui en 2013 étaient de 129 contre 510 en 2014. De plus le nombre de souches utilisées a aussi littéralement explosé. Sans compter que la personnalisation serait aussi plus poussée. Quant au malwares bancaires en prenant l’exemple de 8 banques françaises, elles auraient toutes ciblées par la plus part des malwares connus comme par exemple Zeus.

Au niveau des campagnes de phishing là encore on constate pas une réel augmentation avec un passage de 11,5 a 14,5 milles entre 2013 et 2014 par contre, il multiplie les vecteurs d’attaques en s’appuyant de plus en plus sur les téléphones mobiles. Force est de constater que les attaques sont de plus en plus réalisées de façon professionnelle avec par exemple une attention particulière donnée sur la syntaxe, la personnalisation des messages en allant chercher des informations précises sur la personne ou l’organisation ciblée.

Au niveau des applications mobiles, on constate une augmentation avec un passage de 83 à 130 types contenant des malwares.

Au niveau de la fuite de données entre 2013 et 2014 on est passé de 542 à 1534. De plus en plus d’entre elles sont dues à la négligence d’un employé que par des attaques ciblées.

Au niveau de l’usurpation de domaines on est passe de 646 a 1201 dans la même période. Elles sont les plus souvent liées à des campagnes de phishing.

Pour les IP suspectes on constate une véritable exploitions avec un passage 75 à 600. Cette augmentation s’explique par l’amélioration de la collaboration qui remonte plus d’informations.

Quant aux APT, il y a une augmentation sensible avec un passage de 217 à 545. Chez Lexsi il y a une demande de missions plus longues pour s’étendre à du forensic pour aller en justice et/ou discuter du montant des dédommagements avec les assurances.

Dans ce panorama, Julien Stenou constate un plus grand nombre d’incidents dont certain font la une de la presse. Ce développement s’explique par un déséquilibre entre les défenseurs et les attaquants. Les premiers sont soumis à des contraintes économiques, des obligations de résultant et une dette technique tandis que les attaquants n’ont bien sûr pas de contrainte de temps. Ils peuvent faire autant de tentative qu’ils le souhaitent, les risques sont quasiment nuls...

Quelques remèdes pour contrer ces attaques

Pour éviter de la dépenses en profondeur, il est nécessaire de faire de la gestion de risques, d’avoir un volet intelligence renseignement, de pratiquer de la collaboration avec les autorités ANSSI, CERT, aux entreprises, polices... et de respecter les fondamentaux de la sécurité. Pour lui faire des investissements coûteux en produits de sécurité sans connaître les schémas de réseaux restent quasiment inutiles.

Il a proposé deux leviers pour changer les règles du jeu :
 Mettre en place les moyens de défendre contre les menace avancées, coopérer avec des partenaires et les autorités. L’objectif est d’augmenter les coûts et les risques pour les attaquants.
 Pour réduire les coûts opérationnelle de ses mesures de sécurité standards, il faut remettre en cause l’existant, l’adapter, s’assurer que les fondamentaux de sécurité sont respectés et optimiser l’efficience des mesures de sécurité.

Quant à la réponses à incident il a donné trois conseils :
 anticiper la mise en place ou la contractualisaient d’un service de réponses à incident
 viser l’augmentation des risques pour les attaquants en réponses à l’asymétrie attaque/défense
 s’appuyer sur les référentiels (référentiel d’exigence PRIS de l’ANSSI...) et des normes et standards (ISO 27035...)

Cisco : une approche centrée sur la menace

Ivan Berlison CISCO AMP CSE a présenté les solutions de CISCO avec une offre centrée sur la menace. En préambule, il a déploré que la bataille contre les menaces est très difficile a gagner. En effet, en quelques heures après une attaque 60% des données sont ex filtrées. Alors que 54% des incidents ne sont pas détectés avant plusieurs mois. Selon lui, presqu’en 750 millions de données personnelles circulent sur le marché noir du web !

Il a expliqué que les attaquants utilisent des sandbox pour personnaliser leurs attaques afin de modifier leurs empreintes sans changer leur comportement, ils vont aussi remplacer les fonctions par une similaires, ou encore remplacer des variables comme le nom de fonctions.

Les attaques se déroulent en trois phases avant, pendant et après l’attaque. Durant des années, on s’est focalisé sur le pendant en déployant des outils de sécurité. Pourtant, l’avant est aussi intéressant à connaître, car les pirates font de la reconnaissance de la cible afin de repérer ses faiblesses qui peut aussi passer par l’analyse des vulnérabilités des sous-traitants, partenaires... L’objectif est de personnaliser l’attaque. Durant la deuxième et la troisième phase de l’attaque, le pirate tout d’abord s’introduit dans l’entreprise avec pour objectif de rester le plus longtemps possible dans le SI de la victime sans se faire remarquer.

Pour lui, il est impossible d’arrêter toutes les attaques malgré toutes les solutions techniques déployées. Ainsi, l’approche de Cisco consiste à avoir conscience de ce fait. Il faut donc se poser d’autres types de questions. Il faut collecter des indices de compromission et mettre en contexte les tous les signaux faibles collectés par tous les équipements de sécurité déployés. Ainsi, après analyse, on pourra trouver :
  où tout a commencé,
  la gravité de la situation,
  les systèmes touchés,
  les effets de l’attaque,
  comment restaurer le système
  et enfin faire une analyse post mortem pour renforcer le niveau de sécurité.

En conclusion, il a présenté l’offre CISCO intégrée qui inclut tout un ensemble d’outils de l’antimalware au NG Firewall, le tout fonctionnant dans une console centralisée.

Il a insisté sur la solution Adavnced Malware Protection qui propose une analyse de la réputation et de la détection des comportements mais aussi de la sécurité rétrospective. Cette dernière consiste en un enregistrement continu d’événements au préalable non suspects mais qui peuvent le devenir au fil du temps suite à la collecte d’informations complémentaires. Cette solution utilise des techniques par réputation et comportementales. Ainsi, elle contient un système de signature biunivoque, des empreintes partielles, de l’apprentissage automatique, mais aussi d’informations issues d’indicateurs de compromission, une analyse dynamique (sandboxing) et avancées (utilisation de techniques issues du Big Data) et de la corrélation des flux des appareils.
Ces processus s’appellent chez Cisco la « sécurité rétrospective » car elle permet de pouvoir remonter dans le temps afin de connaître la trajectoire d’un malware dans le temps.

Un projet de 802X avec ROI rapide

Enfin, un cas client a été présenté avec un projet en 802.X avec un ROI immédiat et des perspectives PDCA par Din-Koct Lui. Chez Spie l’approche de sécurité est transverse. Il faut idéalement converger vers un SI intrinsèquement sécurisé. Le client concerné est un sous-traitant dans le domaine de l’industrie aéronautique.
L’objectif de ce client est de renforcer la politique de contrôle d’accès au réseau tout en passant à un contrôle d’accès contextuel insensible aux erreurs humaines et de réduire l’OPEX en simplifiant les processus de gestion, pilotant la politique par une plateforme centralisée et maintenir des versions réduire en termes de licences. La société a deux réseaux compartimentés physiquement avec 13000 terminaux IP intelligents ou non filaire ou non et virtuels ou physiques. La société a trois bases de données d’identités :
Un système de provision dynamique des adresses mac via la CMDB.
Des certificats numérique X509 v3 issus de la PKI Groupe
Un annuaire LDAP avec un contrôle spécifique en France.

Pour ce projet Spie a engagé trois personnes. Les experts de Spie ont préconisé de déployer du 802.X, un radius avancé et EAP-TLS la solution retenue est Cisco Identity Services Engine (ISE) et deux plateforme AAA étanches du fait des exigences de sécurité.

Pour le déploiement de la solution, il a fallu ajuster l’étude au préalable, puis construire et tester les équipements,, valider et mettre en marche en vérifiaient tous les cas d’usages identifies afin de n’avoir aucun impact sur la production et enfin accompagner les changements et effectuer les transferts de compétences.

Dans ce cas le ROI s’est mesuré quasiment immédiatement par l’optimisation des opérations de changement du contexte. Un système d’administration et d’exploitation accru ont permis une rationalisation des ressources du NOC et une réduction de 50% des équipes de sous-traitants du fait entre autre de la réduction des appels au Help Desk.

Par ailleurs ce déploiement a permis de renforcer les processus d’amélioration continue de la sécurité en répondant aux exigence de sécurité immédiate et futures en particulier concernant la combinaison des contrôles d’identités, de contrôler les postures des terminaux IP, de mettre en œuvre du chiffrement, du contrôle des accès mobiles et donc la gestion du BYOD. Toutes ces actions sont menées de. Façon synchrone avec la roue de Deming grâce à l’orchestration du dispositif de sécurité global. Pour arriver à ces résultats il faut avoir une approche par pallier, proposer une méthodologie pour avoir un impact zéro sur la production. En fait, il faut avoir une mise en marché sur un mode industriel.


Voir les articles précédents

    

Voir les articles suivants