Stephen Trilling, le directeur technique de Symantec durant la conférence RSA qui se déroule à Amsterdam cette semaine, a déploré le manque de communication des systèmes de sécurité entre eux. Mais le cloud pourrait peut être finir par résoudre les problèmes.
Avec des dizaines de nouveautés de sécurité toutes les semaines, on pensait que les entreprises finiraient toutes par être bien équipées un jour pour se défendre de manière efficace. Mais selon le directeur technique de Symantec, la réalité s’avère malheureusement complètement différente.
A la conférence RSA Europe à Amsterdam hier, Stephen Trilling, de Symantec, démontrait que les meilleurs logiciels sur le marché, s’ils permettent d’identifier et bloquer certaines attaques, sont généralement incapables de converser avec leurs pairs et d’arrêter des malwares que d’autres auraient déjà repérés.
« Les solutions existantes sont très coûteuses à exploiter et personne n’a encore une vision globale lorsqu’il s’agit d’étudier les évènements critiques chaque semaine et c’est pire encore sur un ou plusieurs mois. Les entreprises n’ont pas assez de spécialistes pour effectuer « à la main » les corrélations entre les différents évènements et l’analyse à postériori ne fait rêver personne. Beaucoup de systèmes « ratent » de nombreuses attaques car ils sont comme « myopes » face à des malwares de plus en plus élaborés et dédiés à une cible. Les bons outils exigeraient une intégration logicielle importante et un suivi que seules certaines banques très concernées peuvent s’offrir.
« La majorité de ces produits se présente comme des « îles », qui essayent de détecter les attaques, isolément, sans l’aide de tout autre produit », enchérissait le CTO, créant une forme d’inquiétudes amusées, les solutions de Symantec n’étant pas épargnées dans ce panorama apocalyptique. « Il va finir par nous annoncer qu’il démissionne de Symantec à la fin de son speech » susurraient des concurrents sarcastiques.
La solution est dans le cloud
« Les solutions » d’extrémités ignorent souvent ce qui se passe dans le réseau « étendu » , tandis que les pare-feu ne sont pas au courant des risques des « end points » , ajoutait Stephen Trilling . De même , les outils d’analyse du courrier électronique et les navigateurs du Web voient leurs données scannées qu’il s’agisse des mails entrants et des pages Web , mais les outils de détection n’ont aucune idée de ce que ces objets deviennent dés qu’ils sont à l’intérieur de l’entreprise. « Imaginez une bouteille de coca et une boite de bonbons Mentos qui passeraient avec succès séparément les services de sécurité d’un aéroport. Réunis à l’intérieur de l’avion, dans la même bouteille, leur réaction chimique les transforme instantanément en explosif dangereux pour un avion pressurisé ».
«Quand un logiciel de sécurité du serveur détecte un échec de connexion, il ne se souvient même pas que le navigateur du même ordinateur a visité un site suspect quelques minutes avant » ajoutait, plein de sincérité, Stephen Trilling. Le manque « de concertation » entre logiciels est devenu pathétique.
Le SIEM sans mise à jour ne sert à rien
On aurait pu penser que le système de gestion d’un incident de sécurité et d’événements (SIEM) serait à même de contrecarrer ce genre de situation de logiciel « myope » à défaut d’être complètement aveugle, mais ceux-ci ne fonctionnent qu’avec les données « prédigérées » qu’ils recueillent. De plus les systèmes SIEM classiques sont incapables de gérer de très grandes quantités de données stratégiques qui peuvent parfois s’étendre sur des semaines, voire des mois ou des années.
Pour Stephen Trilling, la mise en place d’un énorme référentiel de mesures hébergé sur le cloud est la seule solution pour résoudre les dilemmes de la sécurité infomatique.
Massif, ultra « corrélé », interfacé sur de nombreuses bases de données, le système de rêve dans le cloud serait une véritable mine d’or pour le big data. Il serait idéal pour détecter les menaces qui ne se distinguent pas immédiatement, mais deviennent décelables après un certain temps. Cette approche permettrait également, selon Stephen Trilling, à différentes organisations au sein des mêmes secteurs industriels de collaborer et de partager leurs expériences face aux derniers dangers.
En conclusion, Stephen soulignait que, comme des attaques très ciblées deviennent la norme, « il nous faut un système avec une vision globale du monde – qui fusionne les données au sein de sa propre organisation. Il devrait aussi se pencher également sur l’intelligence des autres entreprises, des industries afin de détecter les menaces qui resteraient autrement invisibles».
Une suite plus encourageante est à prévoir
Ce plaidoyer pour une base de sécurité dans le cloud ne fait que renforcer l’idée qu’en terme de sécurité, seule la coopération serait à même d’endiguer la prolifération des malwares. Les discussions avec RSA étant en cours depuis des mois, on peut facilement imaginer sans être grand devin, que des annonces de partage de référentiels multiples sont en cours de finalisation. Le principe des annonces de sécurité est souvent le même. Dans un premier temps, on décrit une situation ou un problème terrible et puis quelques minutes après, on vous montre la solution miracle qui va pouvoir les résoudre .
Là, Symantec n’a pas encore dévoilé toutes ses cartouches mais gageons que c’est bien engagé. Dans le domaine de la virtualisation, la firme propose déjà avec un certain succès des méthodes de développement d’architectures d’entreprise standard, définies par The Open Group Architecture Framework (TOGAF), afin d’accélérer l’intégration d’applications virtualisées. Dans la sécurité pure, la firme attend peut être de s’appuyer sur les travaux de normalisation poursuivies par l’agence nationale de sécurité américaine, le NIST.