Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ninon Pommerie, ProHacktive : Sherlock entre gain de temps pour identifier les machines vulnérables, et pertinence des recommandations

juillet 2021 par Marc Jacob

Lors du FIC, ProHacktive présentera Sherlock, un boitier électronique autonome et Plug and Play qui permet d’auditer automatiquement et en permanence tous les appareils connectés. Ninon, Pommerie, Channel Manager de ProHacktive rapporte que les RSSI qui sont ses clients saluent le gain de temps et d’énergie permise par l’identification rapide des machines vulnérables, et la pertinence des recommandations effectuées par le boitier.

Global Security Mag : Qu’allez-vous présenter à l’occasion du FIC ?

Ninon, Pommerie : Nous allons présenter Sherlock, un boitier électronique autonome et Plug and Play qui peut être branché à n’importe quel endroit du réseau informatique. Ce boitier audite ainsi automatiquement et en permanence tous les appareils (IPs) connectés. Il en révèle chaque vulnérabilité sous forme d’un rapport simple d’audit et de notation conformément au standard CVSS (Common Vulnerability Scoring System). L’administrateur du parc informatique peut alors procéder aux différents correctifs, assurant ainsi l’étanchéité permanente du réseau face aux cyberattaques. Sherlock, est une solution pérenne et complémentaire aux antivirus et firewall, à mettre en place sur le réseau en interne (LAN). Nous n’utilisons pas de stockage centralisé (cloud) les données sensibles des clients restent leur propriété exclusive, c’est notre premier engagement.

GS Mag : Quel sera le thème de votre conférence cette année ?

Ninon, Pommerie : Nous n’avons pas de conférence prévue cette année, mais la thématique sur laquelle nous sommes positionnés est celle de la cybersécurité préventive, que sont tous les travaux d’anticipation et de préparation du système d’information (SI) :
- Connaissance du SI : Inventaire (beaucoup d’entreprises n’en n’ont pas)
- Mise à niveau du SI : équipements à jour en permanence, ne présentant pas ou peu de vulnérabilités.

Un outil de prévention tel que le nôtre réalise un inventaire et évalue l’écart entre l’état des appareils à instant T par rapport au niveau de référence à cet instant. Plus l’écart est important plus mon réseau présente des vulnérabilités (failles de sécurité sur un service, poste, appareil qui est publique et exploitable par un individu mal intentionné). Sherlock va plus en évaluant la réaction des appareils face à une attaque simulé, donnant ainsi une vision complète du par cet de sa fiabilité à instant T.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Ninon, Pommerie : Aujourd’hui, se protéger ne suffit plus. Le nombre d’attaques a été multiplié par 4 en 2020, pour un coût moyen de 100 000€ lorsqu’une attaque réussit, 5 jours d’arrêt de production et 75 jours s’en rétablir. Les entreprises sont toutes équipes d’Antivirus, de Firewall, d’IDS/IPS. Malgré tout, et on le voit tous les jours dans l’actualité, une attaque passe entre les mailles de ces filets. Il faut donc parer à l’imprévu et anticiper, c’est-à-dire auditer son réseau en amont des attaques. La menace réside dans le fait que 98% des entreprises n’ont pas accès à l’audit technique, extrêmement complexe et onéreux ; et que même pour les 2% restants, ces audits sont ponctuels, donc caduques à partir du moment où le rapport est imprimé. 40 failles de sécurité sont publiées par jours, par les bases de données qui répertorient ces vulnérabilités pour tous les appareils et systèmes existants. On comprend donc l’enjeu que représente la permanence d’un audit, du film vs la photo ponctuelle.

GS Mag : Quid des besoins des entreprises ?

Ninon, Pommerie : Les entreprises ont besoin aujourd’hui d’anticiper, de corriger leurs failles en amont des attaques pour minimiser leurs risques. Pour cela il leur faut des outils performants, accessibles financièrement et techniquement. Surtout, elles ne doivent plus avoir à payer des sommes pharamineuses pour comprendre leur niveau de risque et agir dessus avant qu’elles ne soient ciblées par les attaques.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Ninon, Pommerie : Nous répondons aux besoins de nos clients en leur fournissant une solution d’audit Plug & Play et permanente. Mais nous souhaitons aller plus loin que cela. Nous adaptons notre stratégie produit aux besoins du marchés, les clients ont besoin d’un outil préventif pluridisciplinaire. Nous développons en ce sens de nouvelles fonctionnalités permettant de détecter les chemins d’attaques probables pour donner aiguiller davantage les dirigeants et administrateurs de parc dans leur prise de décision. Nous allons notamment collaborer avec d’autres entreprises en R&D pour affiner encore ces chemins d’attaques en intégrant non seulement les vulnérabilités techniques mais aussi humaines, via les outils développés par des partenaires que nous sélectionnons.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Ninon, Pommerie : La sécurisation et la propriété des données sont les enjeux clefs du fonctionnement de toute entreprise. Non seulement, en tant qu’auditeurs et pentesters nous nous prêtons nous-même au jeu de l’audit, mais encore, notre solution souveraine ne remonte aucune information sensible hors du réseau des clients, nous fonctionnons sans cloud, ni application mobile.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Ninon, Pommerie : Et on le voit aujourd’hui dans un contexte de mobilité des acteurs économiques, d’accaparement des données par les géants du numérique, de changement des modes de travail entre présentiel/distanciel, il est urgent d’adopter les bonnes attitudes en termes de sauvegarde, protection et prévention.
Il est essentiel de se connaître, connaître ; connaître à la fois ses failles humaines et techniques. Il faut ensuite se mettre à niveau. Mettre à niveau le SI via des recommandations faites par un outil comme Sherlock, mettre à niveau la cyberculture de nos employés, via des outils comme Phishing Coach (programme de faux phishing de Mail In Black), et recommencer en permanence. Côté SI, celui-ci évolue en permanence, des nouvelles failles sont publiées sur des appareils anciens, des nouveaux exploits pour des vulnérabilités déjà identifiées… Il faut donc avoir un œil sur le réseau en permanence et effectuer les correctifs dès l’alerte. Soit en utilisant des ressources internes (DSI) soit en faisant appel à des prestataires extérieurs qui sauront mettre en place les correctifs et les maintenir à niveau.

GS Mag : Enfin, quel message souhaitez-vous faire passer à nos lecteurs ?

Ninon, Pommerie : Avec l’actualité cyber les RSSI croulent sous un travail titanesque. Entre la détection des failles, la réaction aux menaces, la formation des équipes, la sensibilisation de leurs collaborateurs, la mise en place des outils d’audit et le prix de celles-ci, ils sont submergés. Les RSSI qui sont nos clients saluent le gain de temps et d’énergie permise par l’identification rapide des machines vulnérables, et la pertinence des recommandations effectuées par le boitier. Ceci sans configuration préalable de l’outil, et sans agent. Cela leur permet d’augmenter rapidement leur niveau de sécurité général et surtout de le maintenir grâce à la veille permanente que propose le boitier. Aujourd’hui c’est une solution simple et efficace pour se prémunir des attaques. Demain ce sera un outil multi-facette comprenant la remontée des chemins d’attaque, via la possibilité d’insérer des credentials, la détection notamment des failles de configuration de l’AD, la progression aux hôtes adjacent des machines infectées ; ajouté aux vulnérabilités humaines (intégration d’un outil OSINT, programme de faux phishing). Un véritable outil crée par des hackers contre les pirates.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants