Face à face Symantec / Check Point : les nouvelles menaces Eric Soares (Symantec) : "L'approche classique ne suffit plus face à des attaques commes celles de Bercy"

Menace persistante avancée, fuite de données sensibles, Wikileaks, Stuxnet, sécurisation de flotte de plus en plus hétérogène : les experts de deux fournisseurs de solutions de sécurité informatique commentent les dernières grandes actualités bouleversant leur secteur et en décryptent les enjeux.

david darmon est directeur général france de check point (à gauche). eric soares
David Darmon est directeur général France de Check Point (à gauche). Eric Soares est vice-président et General Manager Europe de l'Ouest de Symantec. © Check Point/ Symantec

JDNSolutions. Bercy a récemment fait l'objet d'une attaque très médiatisée. Vos solutions auraient-elles pu l'empêcher ?

Eric Soares - Symantec. Nous n'avons pas vu le code ayant permis cette attaque. Et nous n'avons finalement que peu d'informations techniques. Nous ne pouvons donc pas connaître son degré de complexité.

Cependant, il semble qu'il s'agit d'un code qui n'était pas dans les bases de signatures de l'antivirus déployé à Bercy. Peut-être même a-t-il été écrit uniquement pour cette attaque. Il est donc plus difficile de repérer l'intrusion d'un tel malware.  

L'approche classique, via une base de signatures, qui détermine une liste noire et une liste blanche, ne peut en tout cas plus suffire face à ce type d'attaque. La longue traîne, entre ces deux listes, nécessite une nouvelle approche.

Nous y travaillons, notamment en peaufinant Insight, notre moteur de réputation de tous les fichiers exécutables. Les utilisateurs de nos solutions seront mis à contribution pour juger la dangerosité des fichiers téléchargés.

Mais évidemment d'autres critères feront également partie de l'algorithme, comme sa date de création ou sa rareté. Des politiques restrictives peuvent ensuite être déterminées pour empêcher le téléchargement d'un .exe qui n'a pas encore reçu assez d'approbations.

La fonction est intégrée dans la version Norton grand public et le sera dans la prochaine version professionnelle de Symantec, Endpoint Protection 12, imminente.

David Darmon - Check Point. Même si Bercy a fait preuve d'une transparence louable en révélant ainsi avoir été attaqué, nous n'avons pas non plus pas pu voir le code du programme malveillant, ni eu des précisions sur les informations subtilisées. C'est donc difficile de répondre.

Mais compte tenu du niveau de sécurité du système d'information de Bercy,  l'attaque a dû être relativement sophistiquée. En revanche, Check Point avait bien pu protéger ses clients contre Aurora.

"La lutte contre les fuites d'informations n'est pas vaine. Mais les technologies ne suffisent pas."

Mais cette attaque à Bercy met en effet  bien en lumière les lacunes des antivirus, qui restent nécessaires, mais insuffisants face à certaines menaces.

Notre offre Check Point 3D Security intègre une nouvelle approche de la sécurité, plus holistique.  La sécurité est redéfinie en soulignant l'importance de trois dimensions : le facteur humain, les politiques de sécurité et leur mise en application.  

Le périmètre à protéger inclut réseau, données et terminaux. Le but est de mieux cerner les comportements suspects en les analysant, de mieux prévenir les fuites d'informations et aussi de mieux corréler certains événement entre eux. C'est bien plus qu'une base de signature antivirus.

Concernant l'attaque de Bercy, il s'agit également d'une fuite de données, comme celle à l'origine de la tout aussi médiatisée affaire Wikileaks. Vous proposez également des solutions pour prévenir les fuites de données... Cette affaire Wikileaks ne montre-t-elle pas que cette lutte contre les fuites d'informations, même très sensibles et protégées, est vaine ?

David Darmon – Check Point. La lutte n'est pas vaine. Aucune entreprise ne peut tolérer les fuites de certaines informations. Mais les technologies ne suffisent pas. Il faut associer les utilisateurs à cette technologie.

Nous mettons l'utilisateur au centre de notre solution de Data Loss Prevention (DLP). Il faut l'éduquer et le responsabiliser et finalement le mettre au centre du processus. Il ne faut pas oublier que certaines fuites sont involontaires.

"Les DSI ne connaissent pas toujours précisément l'usage de toutes les données sensibles"

Par ailleurs, il est sans doute trop difficile pour les DSI de classer et protéger tous les documents existants. En revanche, il est plus aisé de classer et protéger les nouvelles données. Leur accès peut être ensuite restreint, et leur sortie du SI mieux bloquée.

Eric Soares – Symantec. Il y a un problème essentiel :  très souvent, les DSI et les RSSI ne connaissent pas précisément l'usage de toutes les données sensibles, ni même parfois leur localisation, au sein de l'entreprise. Les départements métiers le savent souvent mieux.

C'est la raison pour laquelle lorsque nous mettons en place un projet de DLP, il faut impérativement que les directions métiers soient aussi autour de la table, sinon, à nos yeux, le projet ne peut tout simplement pas se faire. Il ne faut pas oublier qu'il y a 6 phases dans un tel projet DLP, et la mise en place de la solution elle-même n'est que la 5ème. Il y a donc un essentiel travail en amont.

Par ailleurs, il faut aussi souligner que dans le cas de Wikileaks, les informations n'étaient pas cryptées, alors qu'elles auraient sans doute pu et dû l'être. Il faut également insister sur le fait que la négligence est aussi à l'origine de nombreuses fuites d'informations. C'est un facteur à aussi prendre très au sérieux.

Ensuite, prévenir les fuites d'information peut sembler fastidieux car il faut souvent classer toutes les informations. Pour cela, il peut être opportun de réaliser des échantillonnages d'informations à protéger et ensuite de bâtir des règles afin d'automatiser ensuite la protection.

Suivant