306 Members 597 Posts

Open Community

RSA 2013, tendances, urgences et enjeux politiques !

Posted by Laurent H. - Arkoon in interne

Comme annoncé dans mon dernier billet, je reviens aujourd’hui pour tenter de décrypter pour vous les grandes tendances et les idées majeures de RSA Conférence 2013. L’exercice n’est pas facile tant la conférence est riche de sujets, autant sur les aspects techniques que sur les aspects de gouvernance de la sécurité ou de la gestion des risques. Ajoutez à ça une bonne dose de marketing des plus grandes sociétés de la planète et vous comprendrez la difficulté de l’exercice !

L’an passé le mot clef sur toutes les bouches était « APT » (Advanced Persistent Threat). Littéralement, APT se traduirait en Menaces Persistantes Avancées. L’actualité alors était les attaques déroulées avec succès sur l’entreprise RSA elle-même et qui avaient permis d’atteindre des cibles plus importantes comme Lockeed Martin.

Cette année, le buzzword reste le même, mais la maturité face à la menace s’affine :

  • A comme Advanced : Il devient de plus en plus évident pour toute la communauté que les solutions classiques de protection des postes de travail sont dépassées. Les antivirus fournissent un service nécessaire de nettoyage face aux attaques massives, mais ils ne sont plus efficaces lors d’une attaque ciblée. Les attaquants sont souvent très bien armés et intègrent très rapidement les dernières failles. Ils disposent de logiciels industriels pour mener leurs opérations. Ils utilisent des failles 0 Day, inconnues jusqu’alors. Nuançons tout de même, dans de nombreux cas, la propagation des attaques est facilitée par la négligence des administrateurs et le manque d’investissement dans la formation du personnel et les mesures régulières de contrôles et de supervision.
  • P comme Persistent : Ne pensez plus que l’attaquant est à l’extérieur, il est déjà à l’intérieur de votre réseau. C’est le motto entendu toute la semaine à San Francisco. Les exemples fleurissent d’entreprises ayant mis plusieurs mois pour découvrir les intrus… et bien souvent par erreur lors d’une simple panne ! Ainsi, plusieurs startups s’intéressent à la détection des menaces intérieures ainsi qu’à la détection des communications vers les centres de contrôles (serveurs C&C).

Ce constat entraine un sentiment d’urgence partagé par le secteur public et privé. Ils cherchent ensemble des solutions, et les discours entendus dans les séances plénières étaient mobilisateurs : n’attendons pas, armons nous et défendez vos familles entreprises. Nous sommes donc au far-west de la cyber sécurité !

Pour se défendre, plusieurs tendances se dégagent :

  • Le Big Data est dans toutes les têtes. L’idée est séduisante. Il s’agit d’agréger l’ensemble des données des systèmes, de savoir les gérer avec des technologies (dont le fameux Hadoop) permettant des calculs sur un somme considérable de données, et de pouvoir ainsi mieux analyser les faits réels. A titre exemple simplifié, si l’on sait qu’un utilisateur se connecte à 8H00, qu’il utilise les serveurs de comptabilité, un évènement où il se connecterait à 4H00 du matin, depuis l’étranger pour tenter une connexion sur un serveur R&D est étrange. Ce qui me semble important c’est de pouvoir mesurer et voir des faits réels. Trop souvent il existe un écart important entre la perception et la réalité à propos de votre cyber sécurité. Bruce Schneier, l’explique sur son blog : Security is both a feeling and a reality, and they're different. You can feel secure even though you're not, and you can be secure even though you don't feel it. There are two different concepts mapped onto the same word -- the English language isn't working very well for us here -- and it can be hard to know which one we're talking about when we use the word. Le Big Data appliqué à la cyber securité nous aidera-t-il à combler ce gap ?
  • D’autant plus qu’une autre tendance forte s’affirme cette année : Security Intelligence. Au-delà des données techniques qui sont souvent mis en avant dans notre monde d’ingénieurs, d’administrateurs, de développeurs. Il s’agit de savoir qui est l’attaquant et pourquoi il est malveillant. Quelles données va-t-il chercher à extraire de votre entreprise ? C’est une approche à 360° qui n’est pas uniquement technique. Les produits et les services d’aujourd’hui devront évoluer pour prendre en compte cette dimension.
  • Un autre mouvement semble se dessiner : face aux enjeux colossaux en matière de cyber-sécurité, au « pillage » généralisé des entreprises américaines, le mot d’ordre semble être à la collaboration. Dans un pays anglo-saxon, où la culture libérale est très ancrée, il est étrange de voir autant de volonté du gouvernement et du privé de dépendre des uns et des autres en échangeant des informations, en diffusant des « Indicateur de Compromission » (IoC). Les attaquants accèdent à un marché noir des attaques, et se vendent des informations extrêmement utiles. La connaissance de ces attaques, des vecteurs d’infection, des méthodes de propagation ou d’exfiltration est essentielle.
  • Dernier tendance notable, le Cloud se banalise. Certes on entend encore dans les conférences toutes les problématiques concrètes qu’il peut soulever, mais il me semble que la panique première et l’aspect psychologique a été remplacé par un certain pragmatisme. Les données seront probablement plus sûres chez un fournisseur de confiance, à condition de lui imposer certains clauses clefs dans le contrat de service. Pour les européens, il faut toutefois veiller à la localisation de son datacenter et à l’origine des capitaux, le Patriot Act permettant à l’administration américaine de consulter les données sans démarche judiciaire poussée.

Pour conclure, il m’apparait évident que les Etats Unis et certains pays du monde ont pris conscience de l’ampleur du « problème » : la cyber sécurité n’est pas un gadget pour passionné de technologies. C’est la position des USA comme première puissance économique qui est en jeu et pour la classe politique américaine (Démocrate ou Républicain), c’est les emplois et les budgets de l’américain moyen. J’aimerais autant de détermination politique en Europe !

La cyber-sécurité deviendra-t-elle une préoccupation politique ?

To post a comment, please log in.

Alert messages