Tribune Renaud Bidou – TrendMicro : « Le Magimix de technologies »
Pour protéger son système d’information, rien ne vaut le mix des technos de sécurité IT pour jouer sur la complémentarité. Eclairage de Renaud Bidou (TrendMicro).
Vers la fin des années 90, un concept de sécurité a fait son apparition au chapitre des « bonnes pratiques » : le mix de technologies.
Le principe est relativement simple : afin de pallier d’éventuelles failles dans les outils de sécurité mis en place (principalement des firewalls réseau à l’époque), il était vivement recommandé de mettre en place deux lignes de défense similaires.
Similaires, mais provenant d’éditeurs différents.
Une aubaine pour les éditeurs de solutions de sécurité, qui ont largement surfé sur cette vague de facilité pour augmenter notablement leur taux de succès commercial.
Ces dernières ont même rajouté un argument de poids : la garantie qu’en choisissant des éditeurs de nationalité différentes, les backdoors installées par les services de renseignement des pays d’origine de ces solutions seraient inopérantes.
Nous avons alors vu fleurir des doubles lignes de firewalls, en cluster pour en assurer pour la haute disponibilité. Ce sont donc des plateformes de quatre composants de sécurité, et d’autant d’équipements de répartition de charge, qui ont été mise en place pour assurer la protection des accès Internet.
Et bien entendu, chaque ligne était alors gérée par une console d’administration et de supervision différente.
Nul doute alors que les coûts liés à l’acquisition et aux ressources techniques, ainsi que les erreurs de configuration de ces équipements de filtrage aient, au final, bien plus nui aux entreprises que les éventuelles backdoors mise en place par la NSA et le Mossad.
Et si toutefois les différentes affaires d’espionnage récemment mises à jour peuvent fournir un début de justification du modèle (qui, semble-t-il, n’a pourtant rien empêché), ce dernier s’avère manquer cruellement de capacité de mise à l’échelle.
En effet, les entreprises disposent aujourd’hui de 20 à 40 solutions de sécurité différentes et avouent toutes que la complexité et les coûts d’administration de ces solutions sont considérables. Il devient alors évident que le fait de doubler ces plateformes est inenvisageable.
Le bon sens
Le véritable problème lié à l’assertion de base est une erreur de compréhension dont ont largement profité les éditeurs. Le principe du mix de technologies est un bon principe à partir du moment où il consiste à mettre en place des composants implémentant des technologies différentes, et non des solutions identiques provenant d’éditeurs différents. Nuance…
Ainsi, pour revenir à notre exemple des firewalls réseau, il était, à l’époque, cohérent de mettre en place une ligne de filtrage de paquets et une ligne de filtrage stateful. Chaque technologie permettant de couvrir les techniques de contournement auxquelles l’autre était exposée.
Aujourd’hui, cette même ligne de défense peut se contenter d’une technologie stateful, mais gagne à être enrichie de composants de filtrages applicatifs, lesquels font appel à tout autre type de technologies.
Sur un autre axe, il est cohérent de « mixer » les technologies réseau et les technologies basées sur les « hôtes ». Les premières sont à même de filtrer les menaces génériques, quand les secondes peuvent cibler les attaques précisément conçues pour viser les failles d’un système en particulier.
C’est un schéma identique qu’il convient d’appliquer pour la lutte contre les malware.
L’implémentation de solutions antivirales « statiques » différentes, c’est-à-dire reposant sur des bases de signatures, a-t-elle endiguée le flot de factures intégrant le malware Driddex ou la vague de cryptolockers ? Non.
L’analyse statique n’a aujourd’hui de sens que si elle est couplée à une analyse dynamique visant à étudier le comportement d’un fichier, dont la signature sera intégrée automatiquement aux moteurs d’analyse statique. Un vrai mix de technologie, dans le bon sens du terme.
L’implémentation des composants de sécurité doit donc être le résultat d’une matrice permettant d’identifier un ensemble de technologies complémentaires à mettre en place.
Une matrice à plusieurs dimensions dans la mesure où elle doit prendre en considération des critères tels que les fonctions de sécurité (filtrage des flux, filtrage des attaques, filtrage des malware, authentification, chiffrement, etc.), les technologies (stateful, reverse-proxy, analyse statique ou dynamique, SSO, OTP, etc.), ou encore les capacités de déploiement (réseau, hôte, environnement virtuel, cloud, mobiles, etc.).
Il ne reste alors qu’à croiser cette matrice avec l’ensemble des offres crédibles des éditeurs et à identifier la liste à minima. Il devient ainsi possible d’intégrer 20 à 40 solutions de sécurité différentes, administrées via seulement 3 ou 4 consoles : un gain évident en sécurité et en productivité, et une réduction inévitable des coûts pour qui sait négocier avec un éditeur…
Oui, la sécurité n’est finalement qu’une question de bon sens !
(Chronique libre de Renaud Bidou, Directeur Technique pour l’Europe du Sud chez Trend Micro (solutions de sécurité IT).
Retrouvez toutes ses contributions sur ITespresso.fr.