Luis Delabarre (Trend Micro) Le standard PCI-DSS est dans un marché encore hésitant
Les problématiques de sécurité des entreprises dépendent du budget qui leur est consacré. Passer au cloud peut aussi permettre de réduire les coûts.
Quelles entreprises sont intéressées par des solutions respectant la norme PCI-DSS ? Où en est le marché sur ce domaine ?
Les entreprises cibles du PCI-DSS sont évidemment les sociétés d'e-commerce, mais aussi les hébergeurs qui souhaitent protéger leurs serveurs ou bien quand ils souhaitent mettre en place du filtrage ou de l'IDS. Enfin, les sociétés du CAC 40 et les grands comptes, car ils ont un budget sécurité plus important et ils ne lésinent pas sur les moyens dans ce domaine.
La tendance est clairement à la virtualisation, cela a des avantages indéniables : financiers, provisionning... Même si les entreprises ont tendance à aller vers les datacenters dynamiques avant de passer au Cloud Computing. En effet, la norme PCI-DSS est dans un marché encore hésitant, car il y a beaucoup de normes et de standards à respecter. En fait, elle est indispensable seulement dans le cadre de la protection des données financières. Enfin, une nouvelle tendance émerge, le DLP, qui commence à susciter beaucoup d'interrogations, bien que très peu de projets en découlent.
En quoi consiste la solution de Trend Micro pour répondre aux problématiques PCI-DSS ?
"La tendance est à la virtualisation, ses avantages sont indéniables"
Ce sont des solutions de sécurisation qui répondent à la norme PCI-DSS. Deep Security vise à protéger les serveurs et les applications avec quatre fonctionnalités majeures. Tout d'abord le firewall, mais aussi le DPI qui analyse les paquets du trafic. Le DPI protège les serveurs Web, détecte les applications et peut dire s'il y a du mouvement. Par exemple, avec cet outil l'administrateur réseau sait si quelqu'un dans l'entreprise utilise de la messagerie instantanée. Puis on a le contrôle d'intégrité qui propose des profils de surveillance. Enfin, la quatrième fonction est l'analyse des journaux systèmes qui détecte les évènements critiques des logs. Les quatre fonctions sont faites par le même agent.
C'est donc une technologie qui est basée sur des agents, avec un administrateur qui définit les règles de manière centralisée. On a deux avantages par rapport aux autres offres du marché. Le produit permet aux clients de mettre la sécurité dans un évènement ESX. En collaboration avec VMWare, cela permet la mise en oeuvre du contrôle d'intégrité et l'analyse des journaux système au niveau ESX sans avoir un installeur au niveau des images. Et le second avantage est de pouvoir protéger les images entre elles. Ce qui assure un niveau minimal de sécurité quoi qu'il arrive.
Comment répond l'offre face aux nouvelles vulnérabilités ?
On fonctionne avec des patchs, avec d'une part, un mécanisme de recommandations. Il faut savoir que les mises à jour quotidiennes concernent les nouvelles menaces et les dernières vulnérabilités. Dès que la vulnérabilité est connue par les laboratoires de Trend Micro, les règles de protection sont poussées automatiquement et les systèmes sont virtuellement patchées. Et puis, en situation de mobilité, on peut instaurer des règles selon le lieu ou selon si l'utilisateur est connecté depuis le réseau de l'entreprise ou non.
Pour nos tests et nos mises à jour, le client peut en premier lieu tester si la nouvelle règle envoyée est satisfaisante, en mode préventif. Puis si elle rentre dans les normes de l'administrateur, il peut l'insérer automatiquement en mode prevent sur le serveur. Lorsqu'on analyse les journaux, on le fait au niveau de l'agent. Cela évite un trafic important au niveau du réseau. Le logiciel propose un système personnalisable pour l'administrateur afin de taguer les évènements, ce qui fait gagner du temps.
De plus, pour tout serveur Web disponible, on peut mettre des règles de filtrage. Par exemple, pour la mise en place des WAF, on a deux possibilités. Des concurrents comme Cisco, Deny All, utilisent un reverse proxy ce qui fait qu'il n'y a qu'un point de passage unique des requêtes. Trend Micro installe de son côté un agent sur le serveur Web, qui n'influe pas sur les performances, et qui présente un profil de protection identique. En fait, la vision embarquée sur le serveur a des avantages au niveau sécurité et exploitation.