LE CERCLE. À l’heure des Big data, comment ces nouvelles ressources vont permettre aux entreprises à dépasser les niveaux de sécurité classique (détection des menaces connues et inconnues) ?
Le cycle de vie de la sécurité informatique repose aujourd’hui sur deux étapes principales. Dans un premier temps, l’entreprise se protège contre les menaces connues – virus, malwares, etc. Ce premier niveau de sécurité a été adopté par la totalité des entreprises aujourd’hui. Il est même devenu une commodité. Dans un second temps, l’entreprise s’efforce d’identifier et de se protéger en temps réel contre des menaces inconnues, notamment via des technologies de « sandboxing » (1) . Celles-ci exécutent le code dans un environnement contrôlé afin de l’interpréter et de décider s’il est malicieux ou légitime. Ici encore, la plupart des entreprises commencent à s’équiper.
Mais aujourd’hui, la question n’est plus de savoir si son entreprise va être attaquée, mais de savoir quand et comment. Et de ce fait, ces deux étapes sont insuffisantes pour offrir une protection réellement efficace… Une troisième étape consiste à évaluer l’impact que la menace détectée a eu sur l’infrastructure et implique donc que l’entreprise ait la capacité de remonter le passé. Les technologies en place aujourd’hui n’offrent qu’une vision parcellaire, alors que les entreprises ont besoin de disposer d’une visibilité complète et exacte sur tout ce qui transite dans leurs réseaux. Et c’est ici que les Big data interviennent.
Une analogie aide à mieux comprendre le principe. Un policier arrive sur une scène de crime. Il n’y a pas de témoin. Il cherche donc si dans le quartier, une caméra de vidéoprotection n’aurait pas enregistré les faits. S’il en trouve une, il devient capable de visionner la scène de crime et d’accumuler les preuves afin de confondre le ou les auteur(s). C’est exactement ce dont ont besoin les entreprises en matière de sécurité informatique : enregistrer le trafic qui transite par leurs réseaux pour traquer le cheminement de la menace qu’on vient de repérer et développer des mesures en conséquence.
Au-delà de la capacité à rejouer des scènes antérieures, que l’on appellera « sécurité analytique », le système permet parallèlement de confirmer la conformité du système d’information. Par exemple, l’entreprise est légalement tenue d’empêcher la fuite de numéros de cartes bleues, elle doit donc savoir si des informations ont déjà fuité et être capable de réaliser ce type d’analyse post-mortem.
Mais la collecte et le stockage d’un tel volume de données ne sont pas si simples. L’entreprise doit dans un premier temps fixer les règles de collecte et de conservation, puis analyser ces énormes volumes de données pour comprendre ce qui s’est passé de manière explicite, c’est-à-dire en reconstruisant les sessions et les fichiers concernés. La difficulté consiste également à analyser les volumes massifs de données ainsi collectés. L’entreprise a besoin de corréler des sources extrêmement variées d’informations, internes comme externes. Et surtout elle doit savoir quelles questions se poser.
Si elles ne sont évidemment pas une fin en soi, les Big data vont aider l’entreprise à renforcer ses trois niveaux de protection. Leur intégration dans l’architecture globale de sécurité va permettre non seulement de remonter à la source de la menace et de faire en sorte qu’elle ne puisse pas frapper à nouveau, mais également de rapprocher les différentes équipes en charge des trois niveaux de protection dont nous parlions plus haut, tout en disposant d’une vue globale des risques auxquels l’entreprise est confrontée (2).
Les entreprises ont désormais pris conscience que quelles que soient les technologies qu’elles utilisent et leur degré de sophistication, elles seront un jour attaquées. Elles sont conscientes en outre que la sécurité ne doit pas être un frein, mais un accélérateur de productivité. Plutôt que de chercher à éviter à tout prix ce type d’attaque en plaçant des barrières génériques qui au final perturbent leur activité, elles devraient investir dans un système leur permettant de comprendre comment elles ont été attaquées et ce qui a été volé. Cette technologie existe aujourd’hui. Elle permet de capturer le trafic, de stocker les données, puis les analyser et reconstruire les sessions comme elles étaient lors de l’attaque à partir d’une question, par exemple : qui a utilisé tel ou tel fichier ?
À l’heure où absolument aucune entreprise ne doit se sentir protégée complètement contre les attaques, la sécurité analytique est absolument critique. Mais elle n’est pleinement efficace qu’à la condition qu’elle soit intégrée avec les solutions assurant les deux premiers niveaux de protection. Il est fondamental qu’elles puissent communiquer afin de s’enrichir mutuellement.
(1) http://fr.wikipedia.org/wiki/Sandbox_%28s%C3%A9curit%C3%A9_informatique%29
(2) http://business-analytics-info.fr/archives/3358/les-big-analytics-pour-lutter-contre-les-cyber-menaces/
Par Dominique Loiselet, Directeur France BLUE COAT
Source : lecercle.lesechos.fr