Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Bernard Montel (RSA) : « Le hacker est bien plus patient aujourd’hui »

Entretien avec le directeur technique pour la France, la Russie et l’Europe de l’Est de la division sécurité de l'éditeur EMC, spécialisé dans les logiciels d'archivage des données et de stockage en Cloud, Big Data et Trust.

Quelles sont les méthodes des hackers pour s’immiscer dans nos systèmes d’information ?
Il n’y a pas si longtemps, pour réussir une cyberattaque, il fallait opérer le plus rapidement possible. Les hackers identifiaient un ou plusieurs points faibles (vulnérabilités) dans les mécanismes de défense de leurs cibles et ils s’en servaient comme vecteur d’attaque, la plupart du temps sous la forme de campagnes de dénis de service. Le temps que les ressources de l’organisation s’organisent pour mettre au point une défense, le mal était fait. Si la phase de reconnaissance pouvait durer plusieurs jours ou semaines, l’attaque en elle-même et l’extorsion d’information prenaient quelques minutes seulement en moyenne.

C’est, en quelque sorte, l’idée du prédateur tapi dans la brousse et prêt à bondir… Quelle est désormais sa stratégie d’attaque ?
Nous avons longtemps pensé qu’un niveau minimum de sécurité « faisait l’affaire ». En compliquant la tâche au hacker, on le dissuadait de perpétrer une attaque qui lui prendrait trop de temps et d’énergie. Mais le hacker est bien plus patient aujourd’hui. S’il convoite quelque chose qui vous appartient, il ou elle prendra le temps qu’il faut pour contourner ou tromper votre ligne de défense. A mesure que le marché de la sécurité a gagné en maturité et que des contre-mesures plus sophistiquées ont été déployées, une nouvelle méthodologie d’attaque est apparue, qui dépendait beaucoup moins cette fois du critère de ‘rapidité’. En effet, contrairement aux stratégies suivies jusque-là, les attaques de nouvelle génération s’étendent sur de plus longues périodes, l’idée étant qu’en procédant très lentement sur plusieurs semaines ou plusieurs mois, le trafic réseau paraîtrait normal et aucune alarme ne se déclencherait.

Aujourd’hui, les flux des données sont beaucoup plus massifs qu’hier. Quel est l’impact sur la sécurisation des données ?
Avec le Big Data, l’Internet des objets et autres réseaux virtualisés, l’efficacité d’une solution de sécurité dépend de sa capacité à passer au crible d’énormes quantités de données structurées et non structurées. Il faut aussi qu’elle piste les flux de données sur de longues périodes pour déceler les « signaux faibles » élaborés pour tromper les produits de sécurité ponctuels. Sachant qu’une voiture de Formule 1 typique embarque 240 capteurs qui génèrent 25 mégaoctets de données par tour, qu’un téléchargement de film HD fait entre 3 et 4,5 Go et qu’un salarié envoie et reçoit plus de 250 e-mails avec pièce jointe par jour en moyenne… Autant chercher une aiguille dans une botte de foin !

Est-il désormais vraiment possible de se prémunir contre ces attaques ?
Les solutions de sécurité les plus efficaces aujourd’hui suivent une approche différente. En déployant des capteurs en plusieurs points du réseau distribué, il est possible de capturer les données en différentes positions et examiner les flux en circulation d’où que viennent les données et où qu’elles aillent. Des techniques avancées de corrélation de ces flux de données disparates aident à atténuer l’ampleur de la tâche. La botte de foin est réduite à une poignée de brins si bien que l’administrateur peut auditer plus facilement les données. Selon le type de violation détecté, il est possible de créer des règles de hiérarchisation des niveaux de réaction, bloquer le trafic nuisible ou simplement déclencher une alarme. Le fait d’observer les données sur de longues périodes et en différents points permet aussi d’accélérer l’identification et de lutter plus efficacement contre ces attaques qui font des ravages dans les entreprises.

Ségolène Kahn

Commentez

Participez à la discussion