Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stonesoft sensibilise aux Advanced Evasion Techniques

avril 2011 par Emmanuelle Lamandé

Stonesoft a réuni cette semaine plus de 150 personnes autour de la sensibilisation aux Advanced Evasion Techniques (AET). Bob Walder, Gartner, Pierre Polette, LEXSI, et Nicolas Arpagian, expert en cybersécurité, étaient réunis aux côtés de Juha Kivikoski, Stonesoft, pour débattre sur ces menaces et les moyens de s’en prémunir.

Bob Walder, Gartner, Pierre Polette, LEXSI, Nicolas Arpagian, expert en cybersécurité, Juha Kivikoski, Stonesoft, et Anicet Mbida, BFM Business

En octobre 2010, dans le cadre du test de leurs propres solutions de sécurité réseau StoneGate, Stonesoft mettait en exergue la dangerosité des Advanced Evasion Techniques, des méthodes de transport de menaces indétectables par le firewall et les IPS. Comme l’explique Juha Kivikoski, COO chez Stonesoft, les AET sont l’équivalent d’un passe-partout permettant aux cybercriminels d’ouvrir les portes de tout système vulnérable, tel un ERP ou un CRM. Elles sont capables de contourner les systèmes de sécurité réseau sans laisser aucune trace.

D’après des tests effectués à cette période en conditions réelles et les données recueillies par Stonesoft, la plupart des solutions de sécurité réseau existantes ne détectent pas ces AET. De plus, la grande majorité des équipements de sécurité réseau dans le monde étant des solutions matérielles, il est difficile, voire impossible, de les mettre à jour au même rythme que ces techniques d’évasion, qui mutent en permanence. Il n’existe donc à ce jour aucune réelle solution imparable contre les AET. Il est seulement possible de minimiser les risques d’attaque.

En tant que telles, les techniques d’évasions sont connues et identifiées depuis longtemps. Ces procédés sont utilisés par les cybercriminels depuis les années 90, toutefois certains constructeurs ne les auraient toujours pas à ce jour intégrées dans leurs dispositifs de sécurité. Comme le souligne Juha Kivikoski, « l’objectif de la démarche de Stonesoft est d’améliorer nos propres technologies et de faire prendre conscience à l’ensemble des acteurs du marché que quelque chose doit être fait. Même si les techniques d’évasion sont connues de longue date, le principal danger et la nouveauté des AET réside sur la possibilité aujourd’hui de combiner ces techniques d’évasion ».

Pour Bob Walder, Directeur des recherches de Gartner, «  les techniques d’évasion ne sont certes pas nouvelles mais elles représentent malgré tout une véritable menace pour la sécurité des infrastructures réseau qui protègent les gouvernements, et les organisations commerciales partageant des informations à l’échelle mondiale. Les recherches récentes sur le sujet ont remis le sujet au goût du jour et c’est une bonne chose. Les éditeurs de sécurité réseau doivent désormais dédier du temps et des ressources à la recherche d’une solution pour contrer ce problème. » [1]

Testez les équipements en conditions réelles

Bob Walder a rappelé les bonnes pratiques à adopter avant de choisir son équipement réseau. Il recommande avant tout la méfiance envers les vendeurs de solutions de sécurité, notamment afin d’éviter les charlatans. En effet, dans cet univers, comme dans n’importe quel autre, grouillent de nombreux charlatans, qui s’enorgueillissent d’avoir « la » solution miracle. Toutefois, même si l’huile de serpent est utilisée pour ses « vertus bienfaisantes » dans certaines régions du monde, elle n’a encore jamais fait ses preuves sur les réseaux.

Les responsables sécurité doivent donc, en amont, vérifier le discours des vendeurs sur les performances et la sécurité du produit, et s’assurer que celui-ci s’adapte bien à l’environnement de l’entreprise et à sa politique de sécurité. Pour ce faire, il insiste sur la nécessité de mener des tests rigoureux sur ces équipements, dans le propre environnement de l’entreprise, et non chez l’éditeur.

Bob Walder conseille aux entreprises de suivre les 10 étapes suivantes avant de choisir un équipement réseau :
 1. Mettre en place un plan de test de la solution, défini en fonction des besoins de l’entreprise ;
 2. Définir des critères d’évaluation de la solution, en termes de sécurité, de performances et de management ;
 3. Évaluer l’efficacité de la solution en matière de sécurité. Pour ce faire, il conseille notamment une évaluation à partir d’attaques réelles, la capacité ou non à traiter les évasions … L’important est de tester sur le propre réseau de l’entreprise, en conditions réelles ;
 4. Évaluer les performances de la solution : il recommande également de tester les performances et la sécurité ensemble, car les performances varient une fois que la politique de sécurité est mise en œuvre ;
 5. Évaluer les capacités de management de la solution ;
 6. Analyser scrupuleusement les résultats ;
 7. Identifier les vendeurs d’huile de serpent, c’est-à-dire les charlatans : méfiez-vous des beaux discours, des chiffres… ;
 8. Vérifier la réputation du fournisseur ;
 9. Déterminer le coût total de la solution : coût d’achat, coût de maintenance, … ;
 10. Une fois que toutes ces étapes sont finies, il n’y a plus qu’à recommencer ! Les tests doivent, en effet, être faits de manière régulière, afin de suivre les évolutions et changements des solutions.

Il n’y a aucune raison que l’entreprise soit toujours épargnée

A l’issue de cette présentation, un débat, animé par Anicet Mbida, BFM Business, s’est engagé sur ces menaces et les moyens de s’en prémunir entre Bob Walder, Juha Kivikoski, Pierre Polette, président de la société LEXSI, et Nicolas Arpagian, expert en cybersécurité. Tous ces experts s’accordent sur la réalité et la nocuité de ces menaces. Les cyberattaques ne sont plus de l’ordre du fantasme et l’actualité récente en témoigne. Elles se démocratisent et sont aujourd’hui accessibles à n’importe qui. Le risque est donc bel et bien palpable pour les entreprises, d’autant plus que généralement ces attaques sont « invisibles ». Comme le rappelle Nicolas Arpagian, une cyberattaque réussie est en principe incolore pour la victime.
Dans une chaîne de production, l’attaquant va essayer de trouver le maillon faible, et il y en aura toujours un. De plus, même si l’entreprise est bien sécurisée et sensibilisée, l’erreur peut parfois venir de l’extérieur : sous-traitant, … Pierre Polette rappelle, en outre, que l’outil technique n’est pas tout, le social engineering occupe souvent une place prépondérante dans le déroulement de l’attaque. Ce fut d’ailleurs le cas dans la plupart des APT qui ont récemment fait écho (Bercy,…).

Les entreprises doivent prendre conscience que la menace est protéiforme, et que la défense ne doit donc pas être uniforme, souligne Nicolas Arpagian. Mais quelles sont alors les protections possibles ? Au niveau des équipements, les intervenants rappellent l’importance de cartographier son système, multiplier les blocages et effectuer les mises à jour. Pour se protéger de ces techniques d’évasion dynamiques et en constante évolution, Juha Kivikoski conseille de s’équiper de systèmes logiciels de sécurité capables de se mettre à jour à distance et d’être administrés de façon centralisée.

Pour les différents intervenants, il faut également augmenter le niveau de connaissances global. Pour ce faire, l’accent doit être mis sur l’éducation et la sensibilisation. A un moment donné, l’entreprise va devoir se rendre compte que la sécurité est stratégique, souligne Nicolas Arpagian. Il faut donc y consacrer les moyens et l’expertise, et ce même pour les PME. Le plus gros des équipements ne servira à rien si il n’y a pas une sensibilisation des usages. Parfois, il faudra également parfois accepter de faire l’impasse sur les derniers gadgets à la mode. L’important est de savoir ce qu’une entreprise est prête à perdre, cartographier ses risques, connaître sa capacité de résilience... Et de manière générale, quelle que soit la sécurité déployée, il faut aussi accepter que l’erreur puisse arriver, le fait de pouvoir être compromis. Car, en soit, il n’y a aucune raison que l’entreprise soit toujours épargnée, d’autant plus que les cyberattaques vont continuer à se développer. La seule limite en matière de cyberattaque est celle de l’imagination.

L’investissement en sécurité est donc tout à fait valable, et si les décideurs n’en sont pas encore convaincus, rien de mieux que la preuve par l’exemple pour les RSSI. Si vous leur montrez des exemples de cas concrets advenus dans d’autres entreprises, ils n’auront d’autres choix que d’admettre le risque et le prendre en compte, ou d’en assumer l’entière responsabilité !


[1] Note de recherche de Bob Walder, Gartner, de novembre 2010, intitulée Advanced Evasion Techniques (AET) : Weapon of Mass Destruction or Absolute Dud


Voir les articles précédents

    

Voir les articles suivants