Didier Guibal

Didier Guibal en introduction a montré pourquoi il était de plus en plus difficile de protéger les données des entreprises. Selon, lui, on est passé de données structurées à l’apparition de données déstructurées qui se retrouvent dans de nombreux endroit de l’IT. Cette situqtion permet aux pirates informatiques d’avoir plusieurs points d’entrée pour effectuer leurs attaques. De plus, les attaques en spear phishing ciblent de plus en plus les CIO a-t-il affirmé. Par ailleurs, 92% des mails reçus chaque jour contiennent des liens qui mènent à des pages infectées. Aujourd’hui tout le monde sait que les antivirus classiques ne peuvent contenir l’ensemble des menaces. « Face à cet état de fait, nous devons être mieux informés des menaces et nous méfier. Il faut sensibiliser les utilisateurs et déployer des solutions qui ne brident pas le business. Nous devons aussi réduire la complexité de l’IT afin de réduire les fenêtres d’attaques. C’est votre Job de simplifier le SI. Attention ! Votre ennemi est dans votre « angle mort » et il se servira de toutes vos faiblesses pour voler vos données. » s’est-il exclamé devant l’auditoire composé de RSSI, intégrateurs, partenaires… Il a rappelé que les antivirus basés sur les signatures ne peuvent au mieux repérer que 40 à 50% des malwares. Il a noté l’évolution de nombre de malwares non détecté par les anti-virus par jour est passé en 2008 de 153 à 641 en 2011. Ceci montre que les pirates créent de plus en plus de virus difficile à contrer par des solutions classique. Après cette introduction il a cédé la parole à Martin Jordan Director of Information Protection de KPMG.

Martin Jordan, KPMG

Martin Jordan a présenté en introduction une petite étude qui montre qu’il y a plus d’américains qui dorment avec leur Blackberry allumé qu’avec leur épouse…. Aujourd’hui, les attaques sur les entreprises sont multi-formes et n’épargnent aucune sociétés y compris celle qui proposent des solutions de sécurité, Nortel, Intel, Versign… ont toutes subi récemment des attaques et perdu des données. Ainsi, il a cité le CEO de Nortel qui « ne croyait à l’attaque qu’il avait subi alors qu’il avait les preuves sous les yeux… » Cette remarque montre que les problèmes sur le web sont sous-estimés même au plus haut niveau. Tous les pays sont à la fois sous la menace même aussi émetteurs de menaces. Dans ce palmarès des pays émetteurs de spam, on trouve la Russie, la Chine, le Brésil, l’Inde… mais aussi de nombreux pays européens de la CE. Il a décrit rapidement les différents mécanismes utilisés par les spammeurs pour récolter des informations, en particulier les spams qui contiennent des liens malicieux, des PDF ou encore des images infectés. Très souvent ces malwares installent comme par magie, à l’insu de leur victimes, des keyloggers qui permettent d’aspirer les données sur le PC, de récupérer des mots de passes… Afin d’étayer sa démonstration, il a cliqué sur un PDF infecté et montré en live la manière dont agissent les malwares. En quelques secondes le keylogger était installé et a commencé à « travailler » sur le poste… En parallèle, il a passé en revue plusieurs anti-virus du marché, un seul avait repéré le virus… En conclusion, il a recommandé de vérifier son SI et l’état de son réseau, l’efficacité de sa PKI … et bien sûr de faire appel à des professionnels.

Tom Clarke

Triton 7.7 s’enrichit de 10 nouvelles défenses en mettant l’accent sur la fuite de données…

Tom Clarke, Senior Director Product Marketing de Websense a présenté Triton 7.7. Cette version est bien sûr comme les autres basée sur la signature, mais combine aussi une analyse de contenu en temps réel, une analyse contextuel et des options supplémentaires comme la protection contre les menaces du WiFi… Elle protège contre le phishing, les redirections, les Kit d’Exploit, le vol de données… les menaces en provenance des e-mails, du Web des réseaux sociaux… elle analyse les navigateurs, les liens, propose une analyse dynamique des DNS, protège contre les botnets… et propose une analyse forensic des attaques en donnant des rapports. Bien sûr, elle comprend une console d’administration centralisée avec la fourniture de rapport exploitable et conforme aux différentes règlementations en vigueur PCI-DSS… La grande nouveauté de cette version c’est : ACE Advanced Classification Engine, un moteur de classification qui contient 10 nouvelles défenses : 3 sont conçues pour renforcer la sécurité et 7 pour lutter contre la fuite de données. Dans cette nouvelle version on trouve une solution pour lutter contre les malwares Payloads, les malwares chiffrés, les malwares « Command Control », OCR (Optical Character Recognition) pour reconnaitre des textes avec des images malicieuses, un outil pour repérer les places de marché mobile infectées, une solution de prévention contre les effets malicieux de la géolocalisation… Concernant la DLP Websense a intégré plusieurs outils parmi lesquels : un système pour détecter les fichiers chiffrer par un système non reconnu par l’entreprise, un second pour lutter contre la fuite d’information au « goutte à goutte » afin de juguler à la source la fuite d’information… Il faut noter que le moteur de DLP fonctionne par auto-apprentissage, de ce fait la classification est simplifiée. De plus, il propose des règles de classification automatique parmi lesquels sont inclus la notion de durée. Ainsi, les informations peuvent être classées confidentielles pour une durée déterminée.
Triton 7.7 fournit aussi pour la première fois un tableau bord qui donne des informations sur les incidents avec la mention des postes infectés, les malwares, les types de données volées. Cet outil peut incrémenter la plupart des solutions de SIEM du marché. Cette version contient un service de « Sandbox » en ligne et un outil dans le Cloud de lutte contre le Spear Phishing..
_ Selon Didier Guibal, Websense depuis le lancement de Triton il y a quatre ans environ, aurait investi 5.000.000 $ en R&D pour arriver à cette nouvelle version.

Carl Leonard

La gamme CSI, un service de veille en sécurité dédié aux grands comptes

Carl Leonard, Senior Manager Security Research a décrit le service de Cyber Security Intelligence (CSI) de Websense proposé par le laboratoire de Recherche en malware de Websense. Deux services ont été mis en place :

– « CSI On Demand » fournit un état des menaces, une analyse dans un Sandbox des malwares, un accès prioritaire à des outils de recherches, un service de Vidéo-On Demand qui présente l’état des recherches, des formations sur les menaces avec par exemple une analyse des menaces sur les mobiles, comment remédier aux problèmes de Javascript, comment analyser de façon dynamique les fichiers malicieux… les principales informations des analyses issue du nouveau service ACE, des informations sur les cycles de vie des infections … Ce service est proposé soit en mode Cloud soit en déploiement sur des serveurs de l’entreprise. Par contre, quelque soit le choix ddu client un sauvegarde en mode Cloud est automatiquement effectuée.

– « CSI Live » est un service de Hot Line qui propose des conseils en ligne, 3 jours de formation aux techniques de sécurité, une aide à la configuration des politiques de sécurité avec une révision deux fois par an, un service de forsensic… CSI Live n’est disponible que pour les clients qui sont abonnées aux autres solutions de Websense et est proposé au prix de 80.000$/an. Autant dire qu’il ne cible que les grands comptes qui ont besoin d’une veille permanente.

En conclusion il a montré qu’entre le début et la fin de sa présentation soit 40 minutes environ plusieurs foyers infectieux se sont développés dans le monde… Un dernier clin d’œil à son service de veille…