|
| |
| SECURITE |
| Thierry Evangelista (McAfee) : "Nous sommes entrés de plain pied dans l'analyse de risque" |
| Après les rachats d'Intrushield, d'Entercept et de Foundstone, la revente de Sniffer et le changement de nom de la société, le point sur la stratégie de McAfee avec l'ingénieur d'affaires et expert des systèmes anti-intrusion Thierry Evangelista.
(14/09/2004) |
|
Ingénieur d'affaires en charge des partenaires de l'éditeur de solutions de sécurité, Thierry Evangelista est aussi expert en système de détection et de prévention d'intrusions (IDS et IPS). Il a d'ailleurs consacré un ouvrage au sujet : "Les IDS" (Dunod, 2004).
Il revient ici sur le récent recentrage stratégique opéré par McAfee, sur ses choix technologiques et sur sa dernière acquisition, Foundstone, sans oublier de parler des confrères ne recourant pas aux bases de signatures...
JDN
Solutions. Network Associates - issu de la fusion en 1997 de Mc Afee Associates et de Network General - s'appelle désormais McAfee. Pourquoi ce changement de nom ?
 Thierry Evangelista. Le changement de nom correspond à un recentrage stratégique de l'entreprise. Auparavant, nous étions positionnés sur trois secteurs d'activités, à savoir la sécurité des systèmes, l'analyse de réseau / qualité de service - avec Sniffer, qui est maintenant complètement autonome - et le help desk, avec Magic que nous avons revendu fin 2003 à BMC.
Parallèlement, nous avons racheté Intrushield et Entercept - respectivement solutions IDS et IPS - en août 2003, car beaucoup de changements s'étaient produits dans le monde de l' intrusion. Au délà des formes d'intrusion les plus connues, dont celles basées sur le contenu, qui sont composées à 99% de virus -, on assiste aujourd'hui à la prolifération des formes basées sur le contenant.
Ces formes de hacking de systèmes peuvent provenir de pirates en herbe - les script kiddies -, mais aussi de criminels organisés comme les spammeurs qui cherchent à se créer des réseaux de relais ouverts, ou de bandes mafieuses qui organisent des dénis de service contre des sites Web ou, enfin, de pirates spécialisés en intelligence économique. D'ailleurs, si vous allez sur le site du Clusif, vous trouverez de nombreux exemples, notamment en ce qui concerne Airbus et Boeing.
Face à cette prolifération de formes intrusives, quelle stratégie de protection préconisez-vous ?
Le périmètre de sécurité de l'entreprise s'est considérablement élargi, de par l'existence du télétravail, des PDA, du Wi-Fi, des applications distribuées, du grid computing, des téléphones Java, etc. Pour ces derniers, un "proof of concept" [NDLR : preuve expérimentale qu'un virus fonctionne] est d'ailleurs récemment paru.
| "Les seules techniques heuristiques sont insuffisantes pour protéger un système" |
Notre conception est que l'approche multicouches fonctionne bien. Elle s'applique à la protection du réseau - IPS, filtrage de contenu, pare-feu - et du système - anti-virus, pare-feu applicatif et host IPS. Mais il ne faut pas tomber dans l'anarchie quand on parle d'une telle approche. Pour cela, une politique de sécurité écrite est nécessaire, où les processus organisationnels sont écrits noir sur blanc.
Nous possédons aujourd'hui toutes ces briques mais nous avons voulu aller plus loin dans la démarche, en rachetant Foundstone. Grâce à sa solution d'analyse de vulnérabilités pour machines et réseaux - FoundScan -, nous sommes ainsi entrés de plain pied dans l'analyse de risque, ce que nous faisions depuis 1998 avec Cybercop mais de façon très allégée.
Que pensez-vous des anti-virus
reposant à 100% sur des techniques heuristiques, c'est-à-dire ne recourant à aucune base de signatures ?
Je pense que les seules techniques heuristiques sont insuffisantes pour protéger un système. Dans nos solutions, nous utilisons des analyses protocolaires - sur plus de 100 protocoles -, des analyses applicatives mais aussi comportementales, qui reposent sur la création de modèles statistiques qui, quand on en dévie trop, génèrent des alertes. Mais les signatures sont dans tous les cas nécessaires.
A titre
d'exemple,
lorsque MyDoom a frappé,
les
alertes ont fonctionné, grâce à un
fichier
DLL suspect, mais
nous avons quand même créé une signature pour donner un nom à ce virus. C'est bien beau d'être alerté, encore faut-il savoir ce qui attaque... Plus les mécanismes sont nombreux, et harmonisés, mieux on se porte ! |
|
|
 |
Dossier 