Des services tels que le PlayStation Network exploitent quotidiennement de gigantesques bases de clients qui, compte tenu de leur nature planétaire, doivent être disponibles 24 heures sur 24, 7 jours sur 7. À ce titre, elles représentent des cibles extrêmement tentantes pour les entités qui cherchent à créer des perturbations présentant un fort potentiel médiatique ou qui souhaitent subtiliser de grandes quantités d’informations détaillées concernant des utilisateurs.

Pour ces sociétés comme pour toutes les grandes entreprises, le défi est double :

– comment se défendre contre des menaces en constante évolution ?

– comment être efficace ?

De manière générale, les grands comptes s’appuient sur une approche « multicouches » qui comprend, primo, un niveau de défense basé sur le Cloud et qui est chargé de contrer les attaques volumétriques et, secundo, une couche de défense « sur site » dont le rôle est de protéger le périmètre réseau à l’aide de technologies telles que des pare-feu ou des systèmes de prévention des intrusions (IPS). Cette démarche représente ce que l’on appelle une « bonne pratique ».

Quelle stratégie pour des systèmes hétérogènes?

Le deuxième défi porte sur la mise en place d’une stratégie de protection efficace. Seul souci, les entreprises utilisent généralement plusieurs systèmes autonomes, avec pour corollaire un niveau d’intégration limité et certaines restrictions fonctionnelles clés à chaque couche. Par exemple, les solutions déployées sur le Cloud ne sont pas en mesure de traiter un trafic chiffré, sauf si l’entreprise accepte que son fournisseur de services Cloud ait accès à ses clés de certificat privées (ce qui n’est généralement pas le cas), si bien que ce trafic est ouvert à tous les vents.

Par conséquent, si une attaque est chiffrée, elle a déjà réussi à franchir la première couche de défense. La plupart des pare-feu installés sur site affichent la même limitation : le trafic chiffré est autorisé parce que le pare-feu ne dispose généralement pas des moyens nécessaires pour inspecter le trafic au niveau applicatif, de sorte que l’attaque transperce également les protections déployées sur site.

Enfin, si l’on ajoute la notion de volume à ces attaques ainsi qu’aux blended attacks qui combinent différents types d’agression, il n’est guère difficile de comprendre pourquoi les entreprises ont du mal à lutter.

La réponse à ces questions est la suivante : la défense contextuelle. En d’autres termes, il convient de mettre en œuvre des armes qui reconnaissent vos applications, connaissent leur mode de fonctionnement, et ont une visibilité du trafic entrant et sortant — y compris chiffré. Dans un monde idéal, cette « contextualisation » englobe les composants déployés sur le Cloud et sur site, avec à la clé une intégration accrue et de meilleures chances de contrer les attaques efficacement, c’est-à-dire avant qu’elles ne passent à l’action.

Laurent Pétroque,  Manager des Avant Ventes France, F5 Networks France