Christophe Perrin (Cisco) : "La sécurité doit pouvoir aider une entreprise à ouvrir son réseau pour déployer des technologies innovantes"

Chat Christophe Perrin (Cisco) Attaques sur la messagerie ou en déni de service, normalisation ISO 27001, mutations des réseaux zombies, sensibilisation des utilisateurs, budgets sécurité en période de crise : le responsable sécurité de Cisco fait le point.

Je connais Cisco pour les réseaux, mais pas du tout sur la sécurité. Que faites-vous concrètement dans ce domaine ?

Nous avons une suite d'équipements dédiés combinée à des fonctions de sécurité intégrées dans les routeurs et les commutateurs. Nous couvrons les thèmes de la sécurité du poste client, le contrôle d'accès au réseau, les firewall/IPS, les technologies VPN, la sécurité mail et Web, et le pilotage sécurité. Une offre vaste !

Quelle part de votre chiffre d'affaires représente la sécurité ?

Le volume d'affaires généré par les offres sécurité est de plus de deux milliards de dollars au niveau mondial, et par an. Mais il y a également des fonctions de sécurité dans les routeurs, commutateurs, et autres équipements d'infrastructure, qui ne sont pas comptabilisées dans ce chiffre...

Cisco est régulièrement cité pour les prix élevés de ses produits. Cela ne vous ennuie pas ?

Mon expérience chez les clients sur le sujet sécurité démontre que nous sommes bien positionnés en termes de coût total de possession. Et nous avons beaucoup de fonctions innovantes qui justifient un budget R&D très élevé sur le sujet sécurité.

0812 chatjdn christophe perrin debise 011
"On est passé du virus attaché par mail à des menaces combinées." © Cécile Debise / Benchmark Group

De plus en plus d'acteurs se positionnent sur la sécurité de la messagerie. Pourtant les virus de messagerie ont considérablement diminué. Est-ce cohérent ? Etes-vous sur ce marché aussi ?

Les menaces entrant dans les réseaux via le mail changent. On est passé du virus attaché par mail à des menaces combinées, qui redirigent l'utilisateur vers un site Web malicieux. Il reste donc beaucoup à faire sur la sécurité de la messagerie. D'autant plus que c'est un des principaux vecteurs de la fuite de données (volontaire ou non), pour les entreprises.

Qui n'a jamais envoyé un mail par erreur avec les fonctions d'autocomplétion du logiciel de messagerie ? Cisco est donc présent, via sa filiale IronPort, sur la sécurité de la messagerie : Anti-spam, anti-malware, prévention de la fuite d'information, chiffrement des emails.

Envisagez-vous une évolution des menaces en 2009 ?

Les menaces évoluent continuellement, notamment en remontant toujours plus haut dans les couches applicatives, et en utilisant des techniques innovantes. Par exemple les réseaux de machines zombies (les fameux botnets) utilisent aujourd'hui des mécanismes peer-to-peer pour communiquer et se propager (il ne suffit plus de couper la "tête"). Les équipements de sécurité doivent tenir compte de ce contexte.

Quid du devenir d'IronPort et de son intégration au sein de Cisco ?

IronPort est aujourd'hui une business unit de Cisco, avec sa propre force de vente et son propre canal de distribution. Cela tient à plusieurs facteurs, et notamment au fait que beaucoup de ventes se font via une évaluation chez le client.

Des synergies se font systématiquement entre les équipes Cisco et IronPort/Cisco, à la fois sur les projets, mais également en R&D avec des ponts technologiques à venir. A moyen terme, IronPort sera totalement intégré dans la famille Cisco.

Les botnets vont-ils foncièrement changer l'année prochaine ? De quelles façons ?

Le monde des botnets se professionnalise de plus en plus. Les plus grands réseaux de botnet ont des mécanismes d'auto-réplication (campagnes de recrutement), et sont de plus en plus disponibles à la location pour des personnes malintentionnées. Ils vont de plus en plus utiliser des techniques "web2.0" (peer-to-peer, messages http/xml pour communiquer...)

Selon vous, quel est le plus gros risque pour une entreprise ?

Le grand défi des entreprises est de concilier l'ouverture du réseau nécessaire au business et la sécurisation des données. L'enjeu majeur est donc le contrôle et la disponibilité de l'information, ce qui explique les nombreux débats actuels autour du DLP (prévention de la fuite d'information).

Y-a-t-il un véritable moyen pour démanteler les botnets ou se protéger contre une attaque en déni de service ?

Décomposons la question en deux parties. Se protéger d'une attaque en déni de service (DoS ou DDoS), passe par l'utilisation de technologies de détection d'anomalie, qui bien souvent se basent sur les informations remontées par les routeurs (via la technologie Netflow).

Une fois détectée, encore faut-il être capable de l'arrêter ou au moins d'en réduire les conséquences. Hors, si le lien qui relie l'entreprise à l'opérateur est saturé, il faut que l'opérateur place une règle de filtrage sur le routeur. Et là, encore faut-il savoir qui appeler et que la procédure soit en place !

Quant au fait de démanteler les botnets, c'est une lutte complexe, qui requiert des mesures techniques et légales. Or, au même titre qu'il existe des paradis fiscaux, il existe de l'hébergement offshore...

0812 chatjdn christophe perrin debise 002
"Au même titre qu'il existe des paradis fiscaux, il existe de l'hébergement offshore..." © Cécile Debise / Benchmark Group

Dans les entreprises où vous vous rendez, quelles sont les attaques rencontrées le plus souvent, et qui n'ont pas forcément quelque chose de spectaculaire ?

On rencontre des incidents divers et variés, qui ont très souvent pour conséquence une fuite d'information ou un déni de service partiel. Et bien souvent, ces attaques ont lieu soit à cause de l'ignorance des utilisateurs, soit parce que des technologies de sécurité ont été déployées mais mal configurées.

Je pense par exemple à une entreprise dans lequel un PC portable au canada avait été infecté et avait lui même infecté une machine de production dans une usine en France alors qu'en théorie un firewall isolait le réseau de production de l'usine...

Le déni de service est-il réellement un risque ? Les entreprises concernées par ce type d'attaque est plus que réduit à mon sens.

Pour beaucoup d'entreprises, la continuité d'activité est clé. Si l'ERP est par exemple indisponible, cela peut avoir de graves conséquences pour une entreprise... Or, un déni de service peut être intentionnel, mais également lié à une erreur d'un administrateur ou encore être la conséquence d'un code malicieux qui ferait tomber un serveur. C'est donc une préoccupation importante, même si ce n'est pas la seule.

Les principales solutions pour se prémunir contre la majorité des risques, quelles sont-elles pour vous ?

Si une chose est sûre, c'est qu'elles ne sont pas que techniques. La sécurité est un processus, dans lequel l'éducation et la sensibilisation des utilisateurs est clé. Et on ajoute à cette sensibilisation des mesures techniques de protection et de contrôle.

Chaque projet dans l'entreprise doit alors comporter son volet sécurité. Par exemple, un déploiement de téléphonie IP ou d'outils de collaboration ne doit pas se faire sans l'implication des équipes sécurité.

Lorsque j'entends parler de sécurité, c'est presque exclusivement par des approches produits et des réponses technologiques. Ne serait-il pas temps de parler rationalisation et méthodologie ?

Absolument ! Il faut arrêter de vouloir ajouter des briques sans arrêt et rationaliser l'approche. Il existe aujourd'hui des normes pouvant aider à la mise en place d'une stratégie sécurité (je pense par exemple aux normes ISO27xxx) : sans forcément chercher à tout prix la certification, elles donnent un cadre de travail.

Et les outils de sécurité sont alors déployés là ou c'est nécessaire, et là ou l'impact en termes de réduction du risque sera maximal. Et ce que l'on constate, c'est que bien souvent, il suffit d'activer des fonctions de sécurité déjà disponibles, dans les routeurs par exemple, avec l'ajout d'un ou deux équipements spécialisés. Enfin, il faut être capable de mesurer l'efficacité de ce qui a été déployé...

Suivez-vous et promouvez-vous la normalisation ISO 2700x ?

Certaines parties (fonctionnelles et géographiques) de Cisco sont certifiées ISO27001, et Cisco a pour but d'atteindre une certification globale au niveau mondial. C'est un bon cadre de travail, même si d'autres normes, spécifiques à certains environnements (je pense à PCI par exemple) sont également à regarder.

Quelles solutions recommandez-vous pour mesurer l'efficacité d'une politique de sécurité ?

Il faut rentrer dans un processus continu d'amélioration. Pour cela, il faut avoir des indicateurs qui mesurent les progrès et avoir des outils de gestion des événements de sécurité (outils de corrélation et d'aide à l'analyse) qui permettent de créer ces tableaux de bord.

A titre d'exemple, Cisco MARS est une plateforme globale de gestion des incidents de sécurité (récoltant les événements provenant des équipements Cisco et non Cisco) qui permet d'aider à la gestion des incidents et à la création de ces tableaux de bord.

0812 chatjdn christophe perrin debise 008
"Il est cohérent aujourd'hui d'unifier certaines fonctions, par exemple à la périphérie du réseau" © Cécile Debise / Benchmark Group

Etant acteur des réseaux, êtes-vous favorable à une approche par des produits unifiant la sécurité ? Par exemple un boîtier unique combinant Switch, IPS, VPN, etc.

Bonne question, pour laquelle il n'y a pas de réponse unique. En effet, il est cohérent aujourd'hui d'unifier certaines fonctions, par exemple à la périphérie du réseau : Firewall, IPS, VPN IPSec, VPN SSL. Mais l'intégration de ces fonctions ne doit pas se faire au détriment des performances et surtout de la qualité des fonctions intégrées.

C'est pour cela que l'approche choisie par Cisco est d'avoir un hardware dédié pour certaines fonctions exigeantes (par exemple l'IPS) lorsqu'on les intègre dans un firewall (module IPS dans l'ASA) ou dans un commutateur (module IPS du catalyst 6500).

Quel est le plus grand risque à éviter lors du déploiement d'une solution de sécurité (firewall/IPS) ?

Lors d'un déploiement de ce type d'équipement, il ne faut pas courir après la complexité : plus la configuration sera complexe, plus le risque d'erreur sera grand. Par exemple, je préfère un firewall unique avec un bon IPS intégré à la périphérie plutôt que deux firewalls de deux constructeurs différents qui ajoutent selon moi trop de complexité.

Avec la crise économique, ne craignez-vous pas que les entreprises préfèrent mettre leur budget dans d'autres domaines que la sécurité ?

Nous verrons cela l'année prochaine, mais des conversations que j'ai pu avoir avec les responsables sécurité de nos clients, la sécurité et la prévention de la fuite d'information restent des priorités. La sécurité doit pouvoir aider une entreprise à ouvrir son réseau pour déployer des technologies innovantes qui lui donneront un avantage concurrentiel...

Il y a 2-3 ans, les éditeurs ne juraient plus que par le NAC. Où en est-on depuis ?

On a effectivement dit beaucoup de choses autour du NAC, et utilisé cet acronyme pour couvrir des choses très différentes... Aujourd'hui, la demande des clients concerne d'abord l'identité : je veux savoir qui se connecte au réseau, et isoler (ou mettre dans un VLAN invité) les personnes qui n'ont pas le droit de se connecter. Il existe une technologie pour faire cela, c'est 802.1x.

Nous avons donc beaucoup de déploiements 802.1x (identité), qui sont la première étape vers une solution NAC complète (avec vérification du niveau d'antivirus, etc.). Il y a quand même des besoins NAC sur des zones précises (flotte nomade, connexion partenaire), sur lesquelles on peut réaliser un déploiement simple et rapide avec une appliance dédiée pour cela.

Le gros problème du contrôle d'accès est le manque de standardisation entre les vendeurs. Des progrès en ce sens ont-ils été réalisés ?

Sur l'identité, il y a le standard 802.1x qui permet de faire un déploiement efficace dans un cadre normalisé. Sur le NAC, des progrès sont en cours, soit via des relations entre constructeurs (par exemple l'architecture d'interopérabilité NAP-NAC entre Cisco et Microsoft) mais également via un groupe de travail à l'IETF sur le sujet. Mais la normalisation complète prendra du temps.

Cisco a investi 22 millions de dollars lors d'une levée de fonds de Finjan dans les passerelles de sécurité. Préparez-vous une acquisition dans un domaine ou McAfee a justement racheté Secure Computing ?

Cisco a procédé à l'acquisition d'IronPort l'an dernier, ce qui constitue une entrée forte de Cisco dans le domaine de la sécurité du contenu email et Web, et nous positionne d'une façon assez exceptionnelle pour rapprocher sécurité réseau et sécurité du contenu.

Mais nous restons bien évidemment à l'affût de technologies innovantes pour compléter notre approche. Ce qui est clair, c'est que Cisco n'a jamais fait de rachats de concurrents : notre mission, c'est l'innovation.

La première lacune des entreprises, en général, en matière de sécurité, c'est quoi selon vous ?

La sécurité est celle de son maillon le plus faible. Et bien souvent, il s'agit de l'utilisateur final... Cet aspect ne doit absolument pas être négligé.

Etiez-vous favorable à l'amendement Marini permettant de déduire ses pertes en bourse ? Cela aurait pu éventuellement vous permettre de compenser une moins-value sur les titres Cisco...

Vous vous doutez bien que je ne suis pas habilité à me prononcer sur le sujet, et je garderai mon avis personnel pour moi ! Cisco doit continuer à innover pour conserver et renforcer sa place de leader sur le marché de la sécurité.

Merci à tous. Au revoir.

Routeur / Paradis fiscaux