Bâtir plusieurs lignes de défense

ill(Las Vegas) – Bilhar (Bill) Mann est vice-président principal, Gestion de la sécurité, chez CA Technologies (1). C’est un expert de classe mondiale qui en a long à dire sur les «méchants» (les «bad guys»), des individus à la mine pas toujours patibulaire qui sont de mieux en mieux outillés et de plus en plus sophistiqués. Mais en même temps, il est bien au fait de la panoplie d’outils conçus pour rendre à ces malfaiteurs la vie la plus difficile possible.

Quand je lui raconte l’histoire des étudiants français qui ont récemment bafoué quinze logiciels antivirus avec du code malveillant à peine évolué, il ne bronche pas. Je lui aurais annoncé qu’il avait plu hier à Londres qu’il n’aurait pas manifesté plus d’étonnement. Est-ce dire que ce genre de produit ressemble à un cataplasme de matante, une sorte de «bizou bobo» ? Oui et non. Oui parce qu’il est vrai que ces logiciels sont faciles à déjouer; non parce qu’ils constituent déjà une première ligne de défense.

illEn 2010, on ne peut se fier seulement à un logiciel antivirus. Il est vrai que le terme virus a perdu son sens des années 80. Il est devenu, avec les années, une compilations de code sulfureux destiné, ultimement si on regarde sa raison d’être, à voler ce qui est le plus cher aux entreprises, sa propriété intellectuelle. Pour se financer à ces fins, les «méchants» doivent générer de l’argent ailleurs et autrement, beaucoup d’argent (p. ex. vol d’identité, vol de numéros de carte, vol de mots de passe, etc.) D’où les continuelles tentatives d’arnaque par courriel, par messagerie, par réseautage social. D’où les méthodes ingénieuses pour blanchir de l’argent, dont les petites annonces du type «faites fortune en travaillant à la maison».

Sachant cela, la seule façon qu’ont les entreprises de se prémunir de façon bien étanche, soutient Bilhar Mann, c’est de déployer une stratégie complexe basée sur plusieurs lignes de défense, question de compliquer la vie aux bandits. Par analogie, ce sont des molosses en liberté dans une propriété clôturée, appuyés par un système d’alarme aux portes et fenêtres, des détecteurs de mouvement à l’intérieur de la résidence, sans oublier un leurre pour camoufler le coffre-fort, lequel, à la fine pointe de l’inviolabilité, sert à garder le Saint Graal. Si une ligne flanche, il y a les autres pour continuer.

ill«C’est de plus en plus compliqué», dit-il, de plus en plus dangereux. Les «méchants» ont l’argent nécessaire et la techno la plus pointue. De plus, ils brouillent constamment leurs traces ce qui les rend littéralement insaisissables. Sans compter qu’ils disposent d’un réseau d’experts, de redoutables geeks, qui, très souvent, ignorent eux-mêmes… être en réseau. Le pire, c’est que certains ne savent même pas qu’ils font un travail pour des hors-la-loi; ils croient avoir décoché un bout de contrat légitime pour le compte d’un sous-traitant qui paie vite, bien et, parfois, légalement, incluant les déductions à la source. Du reste, personne, sauf les initiateurs eux-mêmes, n’ont une vision du tableau d’ensemble. C’est dire combien les forces de l’ordre en arrachent.

Un autre facteur à considérer est le mutisme des victimes. Les entreprises qui se font défoncer gardent le silence et refusent de servir de cas d’exemple. Leurs actionnaires fuiraient en grand nombre. C’est un mal en recrudescence dont on ne parle pas et qu’on tend à affronter seul. Comme les gens n’en entendent que très rarement parler, le journaliste qui cite un expert lui ayant raconté une partie de ce qu’il sait, se fait souvent accuser d’exagération (ça me rappelle un récent débat). Évidemment, cela n’incite pas les gens à bien se protéger et à cesser de cliquer sur n’importe quoi.

«D’où l’importance pour les entreprises d’avoir une stratégie de défense en profondeur», une stratégie basée sur l’évaluation et la gestion du risque et de la menace, la mise en place des meilleurs contrôles possibles, un système de gestion des identités avec contrôle rigoureux des privilèges, un ensemble de politiques adaptées sur mesure, etc.

On a compris que CA Technologies faisait dans les grandes solutions d’entreprise et n’était pas vraiment active sur la scène consommateur. Le coffret de sécurité qu’elle destinait à ce créneau n’a jamais eu la réputation d’être, disons poliment, exemplaire. Quant à l’actuel, ne l’ayant pas testé, je réserve mes commentaires.

ligne.jpg
(1) CA Technologies est le nouveau nom de la multinationale new-yorkaise, tel qu’annoncé hier. Quoi qu’il en soit, c’est elle qui paie mes dépenses professionnelles dans le cadre de cette série d’articles sur le CA World 2010.

ligne.jpg

Avis : j’utilise personnellement des machines sous Windows, Mac OS X et Linux et je n’ai aucune préférence; en fait j’ai une relation d’amour-haine avec chacune. Si vous croyez que je suis parti-pris envers l’une ou l’autre de ces plates-formes, je vous soumets respectueusement que vous avez tort et ne peux vous recommander que de consulter mes chroniques antérieures.
Publicités

12 réflexions sur “Bâtir plusieurs lignes de défense

  1. « …le journaliste qui cite un expert lui ayant raconté une partie de ce qu’il sait, se fait souvent accuser d’exagération. »

    Et l’expert qui en parle dans son entourage passe pour un alarmiste, en empêcheur de tourner en rond, un parano, ou pire, un chasseur de sorcières, mais bon, j’ai l’habitude.

    Pour ceux que ça intéresse vraiment, le SANS Institute tient un journal (« diary ») en anglais d’évènements significatifs en sécurité au isc.sans.org, très instructifs.

    Eric Deschênes

  2. Peut-on installer 2 logiciels anti virus sur un ordi, genre MS Security Essentials et AVG ? Cela créera-t-il des conflits ? Merci aux assidus pour une réponse et bonne journée à tous.

  3. Les participants ont apporté leur programmes malveillants dans une clé USB afin de les copier sur chacune des machines virtuelles.

    Une cle USB… wow … méchant exploit !

    L’école d’ingénieurs doivent avoir Visual Basic 6 pour les Nuls comme livre de cours …

  4. le principe de protection requiert non seulement une strategie de sécurité « oignon » mais aussi de ne pas baser celle ci sur un seul vecteur. La sécurité doit reposer, sur les controles, l’infrastructure, les solutions logicielles et physiques. L’idée de l’oignon est la suivante: Il n’existe pas de sécurité absolue, n’importe quel vendeur vous le proposant est à ramener au niveau de l’armateur du Titanic..

    Il faut donc multiplier les couches et les associer à des mécanismes d’alertes, leur multiplication permettant d’augmenter de maniere statistique la probabilité de declencher un evenement.

    Ensuite , les moyens logiciels doivent non seulement etre validé sur des elements « virtuels » (encryption et autre) mais aussi sur une infrastructure physique.

    Encore une fois, le principe est de rendre l’effort et le risque pour atteindre l’information supérieure à la valeur de cette information.

    Le plus grand danger, du coté des facteurs humains doit etre contre balancé par un modele administratif qui va separer les roles et garantir la tracabilité.

    Voici résumé en quelques lignes ce qui pourrait etre contenu en quelques ouvrages. A ce propos, je recommende les ouvrages de formation du CISSP, meme si vous ne visez pas la certification, ils sont une excellente source d’information si vous avez à gerer des elements de seçurité.

  5. username123 : « Une cle USB… wow … méchant exploit ! »

    L’idée était de tester les mesures de défenses des antivirus quand un logiciel malveillant tente de s’installer ou se répandre. Il ne s’agissait pas d’attaquer des PC à distance pour en prendre possession, mais bien de vérifier comment les antivirus répondraient. Ce qui a été assez clair dans la démonstration. Dans ce contexte, expliquez-moi la différence entre un fichier téléchargé et un fichier qu’on copie sur le PC à l’aide d’une clé USB?

  6. @benoitdm Il ne faut pas non plus oublier le maillon le plus faible de toute la chaine… c’est a dire l’usager. Combien de fois ais-je vu de superbes constructions défensives bafouées par un employé négligeant qui laisse trainer son iPod avec ses fichiers de travail dedans…

  7. Convaincu par leur standard atteint chez Virus Bulletin par le produit gratuit chinois Rising Sun, voilà-tu pas que je suis tout content de ma découverte car j’ai réussi à bien le configurer pour le courrier électronique en modifiant le port choisi afin de réussir à envoyer mes ‘mails’ à partir d’ OE et Bell; ce qui ne m’aura pas aidé à surmonter mes soupçons dignes d’une douce paranoïa. Juste pour vérifier le tout avant de braguer haut et fort voilà-tu pas qu’il ne réussit même pas le classique test eicar. Oups.

  8. @cloud9

    2 anti-virus: pas conseillé jusqu’à récemment en tout cas

    2 anti-malware: certains le conseillent

    Le meilleur des anti-problèmes: la prudence

  9. @mantis : la gestion des supports mobiles fait partie de la gestion de la strategie. Une strategie (parmis d’autre) est de n’accepter qu’une clef encryptée ou sinon ne la laisser qu’en lecture seule. Donc le principe est d’empecher la dissemination d’informations ou de la laisser passer que par des canaux qui sont controlés.

    On ne peut pas empecher un utilisateur de mettre son mot de passe sur un postit sous son clavier.. mais on peut rendre comme minimum l’impact de l’intrusion sur son poste.

    @claude_c: dans un contexte d’entreprise, les deux (fichier telechargé, fichier copié sur usb) sont tres differents. Dans le premier cas, il aura du passer à travers l’infra reseau qui est encadrée (ex typique, filtre a la websense + proxy + HIPS sur poste) , le second via la gestion des supports mobiles / HIPS / antivirus / GPO windows)

    La politique de l’entreprise ou je travaille est l’interdiction d’avoir des données confidentielles sur un support mobile meme encrypté. Des moyens sont mis en oeuvres tant d’un point de vue controle (humain, via les processus de gestion des acces), que logique (logiciels, infra) pour le garantir.

    Dans le cas de l’article de Nelson, il ne fait que rappeler un concept de base que trop de personnes (et de gestionnaires) oublient.

  10. Pendant que vous êtes à Las Vegas vous souviens-t-il d’avoir discuté avec un chauffeur de taxi de la valeur des propriétés dans le village. Qu’en est-il advenu ?

    Juste pour le suivi en la matière …

  11. @ username123

    Grâce à une clef USB infectée, j’ai eu la chance de formater à 3 reprises* le même s’tie de vieux pc. Une cochonnerie qui infectait les .exe. A fallu une couple de logiciels fonctionnant à l’ouverture, sans installation, pour m’en débarrasser.

    Je confirme que la clef USB est un excellent vecteur de chtouille virtuelle.

    Alex

    * les copies de logiciels que j’avais sur mon Mac étaient bien entendu infectées, mais indétectables…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s