Si votre pare-feu ou votre système UTM (Unified Threat Management) de gestion unifiée des menaces doute que le fichier est 100% sain et qu’il ne comporte pas de code malveillant masqué, il le place dans le « sandbox » (dans le cloud, plutôt que sur l’équipement UTM). Même si le fichier a l’air légitime et qu’il semble provenir d’une source légitime, il sera isolé. Ainsi les réseaux d’entreprise sont protégés de toute menace potentielle risquant d’être véhiculée par le fichier de façon à éviter des problèmes ou la propagation à d’autres systèmes ou réseaux.

Le même processus peut s’appliquer aux équipes de développement. On peut avoir recours à la pratique de sandboxing au sein d’un cadre réglementaire pour des tests live, à petite échelle, d’innovations dans des environnements contrôlés, sous supervision réglementaire.

Une récente étude intitulée « Global Sandboxing Market » couvrant la période entre 2019 et 2028 évalue le marché à 2,25 milliards de dollars en 2016 avec un potentiel de 6,6 milliards de dollars en 2025. La stratégie de sandboxing se répand tellement que la nouvelle Présidente de la Commission Européenne, Ursula von der Leyen, s’est engagée à présenter une approche de l’intelligence artificielle (AI) dans l’UE dans les 100 jours suivant sa prise de fonction, donnant la priorité à l’obtention de données de grande qualité, complètes et précises, pour informer l’IA. C’est là que le sandboxing entre en jeu. En effet, pour préserver l’intégrité des données, un effort de standardisation de l’industrie, des espaces de données communs et la pratique de sandboxing sont des impératifs pour protéger les droits des citoyens de l’UE, leurs valeurs et leurs principes.

Une réponse rapide
La pratique de sandboxing est un ajout relativement récent à l’approche de protection multi-facettes qu’il convient désormais de déployer sur tous les réseaux. On doit l’accélération du développement et de l’adoption des techniques de sandboxing à l’intensification de la menace des ransomwares, qui se propagent souvent via des fichiers apparemment inoffensifs et qui embarquent du code dangereux et chiffré, soigneusement maquillé.

Ces codes sont difficiles à détecter par les outils antivirus et de détection de malwares traditionnels, qui se contentent généralement d’identifier et d’exclure les seules menaces connues. Il conviendrait en effet de pouvoir identifier les menaces « inconnues » que l’on n’exclut pas encore systématiquement. C’est pourquoi on appelle aussi la technique d’isolement de ce type de menace « zero-day sandboxing », car c’est au cours des quelques heures qui suivent l’injection d’une nouvelle menace non encore détectée que les risques sont les plus importants.

La technique de sandboxing est l’une des plus efficaces pour empêcher la propagation des menaces inconnues. Elle est capable d’identifier chaque fichier pouvant comporter ces programmes malveillants soigneusement maquillés et de l’isoler dans le cloud, pour l’éloigner du système et l’empêcher de nuire. Les fichiers sont ensuite analysés et testés pour vérifier s’ils comportent une quelconque menace. L’information est enregistrée dans une base de données partagée des menaces, consultable par les utilisateurs, et vient compléter la cyber-intelligence de façon à offrir une meilleure protection.

Une menace croissante

Dans un contexte où le nombre des menaces zero-day inconnues croît à un rythme alarmant, il est important de s’assurer que tout système du réseau d’une entreprise dispose bien d’une protection de sandboxing. Cette couche de protection supplémentaire sert aussi à favoriser la conformité au Règlement Général sur la Protection des Données (RGPD). Depuis l’entrée en vigueur du RGPD, le 25 mai 2018, des pays comme la Slovaquie et la Suède n’ont toujours pas infligé de pénalité, quand d’autres pays, comme la Pologne, le Portugal, l’Espagne, l’Allemagne et les Pays-Bas ont déjà condamné des entreprises à payer plusieurs centaines de milliers d’euros. On ignore encore si le bas niveau des pénalités RGPD s’explique par une faible volonté de conformité dans certains pays ou par la vigilance insuffisante des organismes de protection des données chargés des audits dans d’autres pays.

Il est donc dans l’intérêt des entreprises d’adopter la pratique de sandboxing, à des fins de conformité bien sûr, mais aussi pour sécuriser au maximum leurs réseaux. La plupart des solutions de sandboxing utilisent le machine learning et l’intelligence cloud dynamique pour offrir les plus hauts niveaux de protection, si bien que les entreprises peuvent être certaines que leurs systèmes sont correctement surveillés, que les fichiers potentiellement dangereux sont repérés et les possibles menaces isolées. Ainsi, les entreprises peuvent poursuivre leurs opérations en toute sérénité sachant que leurs données sont protégées.