Ces derniers mois, le chiffrement est au cœur de l’actualité : que ce soit sur les backdoors de sécurité sollicitées par certains élus français et allemands, les allégations de « dé » chiffrement par la CIA ou encore la requête de l’ANSSI de déclarer toute application apparaissant sur l’App Store français. Le débat est vaste et la menace de sécurité reste maximale, comme le prouvent les derniers chiffres publiés par le spécialiste en la matière TrendMicro. Ce dernier révèle en effet une croissance de 748 % des nouvelles familles de ransomware ayant conduit à des pertes de près d’un milliard de dollars pour les entreprises dans le monde : menace numéro 1 listée en 2016, l’extorsion en ligne, soit une méthode de vol de données par chiffrement de ces dernières.

Le chiffrement est une arme à double tranchant. Tandis que le protocole SSL / TLS est adapté pour la protection de la vie privée, il dissimule également parfaitement les menaces. Un indéniable casse-tête sur le point de voir des transformations drastiques…pour le meilleur.

Le déchiffrement SSL est désormais au cœur des préoccupations dans de nombreuses organisations. Les équipes de sécurité font en effet face à des défis opérationnels de taille, parmi lesquels la détection de communications chiffrées de commande et de contrôle avec un serveur interne infecté, la gestion du risque lié à l’utilisation inappropriée des offres SaaS ou encore celui lié au téléchargement d’informations propriétaires / confidentielles sur des sites spécialisés. En outre, elles doivent être en mesure d’identifier la manière dont les mécanismes d’inspection SSL s’adaptent aux codes plus récents, et nécessitant un support de déchiffrement SSL en ligne, et mettre en œuvre une approche évolutive pour gérer un trafic chiffré croissant.

Pour répondre à ces enjeux, il est essentiel que les entreprises soient capables de déchiffrer le trafic ou d’obtenir un flux de trafic déchiffré. Pour cela, elles ont besoin d’avoir une visibilité complète sur les données en mouvement à l’intérieur du réseau à travers un système de direction du trafic à analyser vers les outils de sécurité adaptés. Cela permet alors une analyse immédiate visant à contenir toute menace potentielle, et ce de manière proactive. Comme l’ont compris depuis bien longtemps les équipes en charge des procédures d’exploitation de sécurité confrontées à la gestion de volumes de données chiffrés croissants, on ne peut pas sécuriser ce que l’on ne voit pas. C’est pourquoi ce type de technologie leur est aujourd’hui indispensable.

Toutefois, le déchiffrement SSL est coûteux en termes de calcul et, bien que de nombreux outils puissent remplir cette fonction, une approche outil par outil est aussi peu raisonnable que rentable. En effet, pourquoi prendre de 30 à 80 % de leur puissance de performance pour du déchiffrement SSL s’il existe une meilleure solution ? Etant par nature une fonction riche en calculs, la centralisation du déchiffrement SSL via une plateforme de visibilité est incontournable car elle permet de libérer les capacités de traitement des outils de sécurité et ainsi de se concentrer sur leurs fonctions initiales. Dès lors, les entreprises peuvent éviter les sessions de chiffrement/déchiffrement SSL inutiles et via des outils non adaptés, tels que les pare-feu par exemple, et contourner ainsi l’accumulation d’appliances aussi coûteuses et complexes que superflues, et parfois responsables de latences sur le réseau.

Les pirates informatiques n’ont pas fini d’innover pour voler toujours plus d’informations aux organisations. Comme le démontrent les résultats de l’étude TrendMicro, de nombreuses menaces malveillantes avancées utilisent des canaux de commande et de contrôle chiffrés capables d’exploiter les réseaux sociaux ou sites web, et empêchent souvent de confirmer la légitimité d’une page. Ainsi, la seule façon de le savoir est de « casser » le SSL et voir ce qui se trouve à l’intérieur. Il n’y a pas, et n’existera probablement jamais, d’outil de sécurité si parfait qu’il permettrait de tout gérer. Cependant, si les fournisseurs de solutions disent qu’ils peuvent tout faire sauf SSL et que le trafic d’une entreprise est 80 % SSL, cela signifie d’une part que leurs outils de sécurité ne peuvent voir que 20 % du trafic, et d’autre part que l’entreprise n’est pas sécurisée. Aujourd’hui rien n’est infaillible et les hackers sont à l’affût de la moindre vulnérabilité, raison pour laquelle les organisations doivent prendre toutes les mesures nécessaires pour protéger leurs données et leur infrastructure.

 

___________
Pascal Beurel est Directeur Technique Europe du Sud, chez Gigamon