Stephen Trilling, directeur technique de Symantec a, durant la dernière conférence RSA, déploré le manque de communication des systèmes de sécurité entre eux. Mais le Cloud pourrait être la solution.

Avec des dizaines de nouveautés de sécurité toutes les semaines, on pensait que les entreprises finiraient toutes par être bien équipées un jour pour se défendre de manière efficace. Mais selon le directeur technique de Symantec, la réalité s’avère malheureusement complètement différente.

A la conférence RSA Europe d’Amsterdam la semaine dernière, Stephen Trilling, de Symantec, démontrait que les meilleurs logiciels sur le marché, s’ils permettent d’identifier et bloquer certaines attaques, sont généralement incapables de converser avec leurs pairs et d’arrêter des malwares que d’autres auraient déjà repérés.

« Les solutions existantes sont très coûteuses à exploiter et personne n’a encore une vision globale lorsqu’il s’agit d’étudier les évènements critiques chaque semaine et c’est pire encore sur un ou plusieurs mois. Les entreprises n’ont pas assez de spécialistes pour effectuer « à la main » les corrélations entre les différents évènements et l’analyse à postériori ne fait rêver personne. Beaucoup de systèmes « ratent » de nombreuses attaques car ils sont comme «  myopes » face à des malwares de plus en plus élaborés et dédiés à une cible. Les bons outils exigeraient une intégration logicielle importante et un suivi que seules certaines banques très concernées peuvent s’offrir.

« La majorité de ces produits se présente comme des « îles », qui essayent de détecter les attaques, isolément, sans l’aide de tout autre produit », enchérissait le CTO, créant une forme d’inquiétudes amusées, les solutions de Symantec n’étant pas épargnées dans ce panorama apocalyptique. « Il va finir par nous annoncer qu’il démissionne de Symantec à la fin de son speech » susurraient des concurrents sarcastiques.

La solution est dans le cloud

« Les solutions » d’extrémités ignorent souvent ce qui se passe dans le réseau «  étendu » , tandis que les pare-feu ne sont pas au courant des risques des « end points » ,  ajoutait Stephen Trilling . De même , les outils d’analyse du courrier électronique et  les navigateurs du Web voient leurs données scannées qu’il s’agisse des mails entrants et des pages Web , mais les outils de détection n’ont aucune idée de ce que ces objets deviennent dés qu’ils sont à l’intérieur de l’entreprise. «  Imaginez une bouteille de coca et une boite de bonbons Mentos qui passeraient  avec succès séparément les services de sécurité d’un aéroport. Réunis à l’intérieur de l’avion, dans la même bouteille, leur réaction chimique les transforme instantanément en explosif dangereux pour un avion pressurisé ».

«Quand un logiciel de sécurité du serveur détecte un échec de connexion, il ne se souvient même pas que le navigateur du même ordinateur a visité un site suspect quelques minutes avant » ajoutait, plein de sincérité,  Stephen Trilling. Le manque « de concertation » entre logiciels est devenu pathétique.

Le SIEM sans mise à jour ne sert à rien

On aurait pu penser que le système de gestion d’un incident de sécurité et d’événements (SIEM) serait à même de contrecarrer ce genre de situation de logiciel « myope » à défaut d’être complètement aveugle, mais ceux-ci ne fonctionnent qu’avec les données  « prédigérées » qu’ils recueillent. De plus les systèmes SIEM classiques sont incapables de gérer de très grandes quantités de données stratégiques qui peuvent parfois s’étendre sur des semaines, voire des mois ou des années.

Pour Stephen Trilling, la mise en place d’un énorme référentiel de mesures hébergé sur le cloud est la seule solution pour résoudre les dilemmes de la sécurité infomatique.

Massif, ultra « corrélé », interfacé sur de nombreuses bases de données, le système de rêve dans le cloud serait  une véritable mine d’or pour le big data. Il serait idéal pour détecter les menaces qui ne se distinguent pas immédiatement, mais deviennent décelables après un certain temps. Cette approche permettrait également, selon Stephen Trilling, à différentes organisations au sein des mêmes secteurs industriels de collaborer et de partager leurs expériences face aux derniers dangers.

En conclusion, Stephen soulignait que, comme des attaques très ciblées deviennent la norme, «  il nous faut un système avec une vision globale du monde – qui fusionne les données au sein de sa propre organisation. Il devrait aussi se pencher également sur l’intelligence des autres entreprises, des industries afin de détecter les menaces qui resteraient autrement invisibles».

Une suite plus encourageante est à prévoir

Ce plaidoyer pour une base de sécurité dans le cloud ne fait que renforcer l’idée qu’en terme de sécurité, seule la coopération serait à même d’endiguer la prolifération des malwares. Les discussions avec RSA étant en cours depuis des mois, on peut facilement imaginer sans être grand devin, que des annonces de partage de référentiels multiples sont en cours de finalisation. Le principe des annonces de sécurité est souvent le même. Dans un premier temps,  on décrit une  situation ou un problème terrible et puis quelques minutes  après, on vous montre la solution miracle qui va pouvoir les résoudre .

Là, Symantec n’a pas encore dévoilé toutes ses cartouches mais gageons que c’est bien engagé. Dans le domaine de la virtualisation, la firme propose déjà avec un certain succès des méthodes de développement d’architectures d’entreprise standard, définies par The Open Group Architecture Framework (TOGAF), afin d’accélérer l’intégration d’applications virtualisées. Dans la sécurité pure, la firme attend peut être de s’appuyer sur les travaux de normalisation poursuivies par l’agence nationale de sécurité américaine, le NIST.

 

Egalement sur InformatiqueNews :

HGST dévoile les premiers disques durs à l’hélium

Radiographie de l’usage des technologies d’hadoop

 

Nos lecteurs ont lu ensuite


Symantec s’immisce dans la course avec Williams F1
La protection des données concerne désormais tous les secteurs économiques même ceux auxquels on n’aurait pas pensé spontanément. Pour preuve le contrat que vient de signer l’écurie de Formule 1 Williams Martini Racing avec l’éditeur...

Les APT, ou quand des menaces banales se font ciblées
RSA, Turbomeca, Bercy, Google… Quel est le point commun entre ces différentes organisations ? Elles ont été victimes d’attaques informatiques très ciblées, conduisant à la compromission de données sensibles....

20 années d’attaques DDoS
Arbor Networks, la division sécurité de Netscout, résume 20 années d’attaques DDoS ciblant la disponibilité des réseaux des fournisseurs d’accès Internet (FAI). En septembre 1996, le premier FAI de New York, Panix, a été frappé...

Polémique sur la sécurité des tokens d’authentification
Des chercheurs de l’Inria prévoient de présenter cet été, à Santa Barbara, sur Crypto 2012, des travaux qui mettent en évidence des vecteurs de compromission de tokens d’authentification sécurisée – dont ceux de RSA....

2014 : Inévitables prévisions
Le début de chaque année est l’occasion de prévisions des événements qui vont arriver ou des tendances qui se feront jour. Nous proposons un pot-pourri de prévisions dans différents domaines....