Dans le passé, la sécurité informatique reposait principalement sur la vérification du contenu. Aujourd’hui, il s’agit d’une combinaison de réputation, de comportement et de contenu. Lorsque les services Internet sont utilisés, diverses méthodes sont utilisées pour protéger les utilisateurs contre les logiciels malveillants et le vol de données.
Lorsque les premiers logiciels malveillants tels que les virus sont apparus, les mécanismes de sécurité basés sur le contenu tels que les scanners antivirus étaient le premier choix pour éviter les menaces. Dans les systèmes modernes, outre les signatures antivirus, des algorithmes heuristiques, des requêtes en temps réel basées sur le Cloud et des émulations de sandbox sont également utilisés. Le problème reste toutefois le même: Il est nécessaire de vérifier le contenu des données de chaque connexion. Cela coûte beaucoup de temps et d’énergie. Imaginez si chaque voiture devait être arrêtée à la douane et que tout son contenu devait être déchargé et contrôlé. Il en résulterait des embouteillages et personne n’atteindrait sa destination à l’heure. Avec le volume de données actuel, une méthode basée sur le contenu n’est plus appropriée comme fonction de protection primaire, même dans les PME.
La réputation est importante !
À l’origine, les filtres de réputation étaient utilisés comme un pur outil de triage pour bloquer directement les distributeurs de logiciels malveillants connus de longue date et alimenter ensuite tout le reste dans des outils basés sur le contenu. Parmi les plus connues figurent les « listes noires DNS » (DNS Black Lists) dans le trafic de messagerie. Entretemps, les filtres de réputation tels que les filtres URL/IP ou les filtres de botnet sont passés à la position principale de défense contre les logiciels malveillants et le vol de données. Les filtres de réputation ne sont plus des listes purement statiques d’adresses IP et d’URL potentiellement dangereuses. Les entreprises spécialisées scannent et analysent des millions de sites web, de services, de mails et de flux de données et les classent dans d’énormes bases de données. Des valeurs de réputation sont définies et interrogées par les pare-feu pour chaque connexion ouverte par les utilisateurs. Ceci permet de distinguer rapidement et efficacement les composés potentiellement dangereux de ceux qui ont une réputation irréprochable. La réputation ou la dangerosité de certaines cibles sur Internet est constamment vérifiée. S’il y a un changement, il est détecté par les pare-feu dans un délai très court et l’accès est empêché. Les sources sans valeur de réputation sont considérées comme potentiellement dangereuses et sont soit bloquées, soit analysées plus en détail.
Bon et mauvais comportement
Non seulement les utilisateurs ouvrent des connexions potentiellement dangereuses, mais aussi les programmes se connectent automatiquement aux services sur Internet. Des outils de sécurité basés sur le comportement surveillent ces connexions et interviennent si le comportement s’écarte du standard habituel. Si des centaines de tentatives de connexion sont détectées sur une connexion de protocole de bureau distant en quelques secondes, ou si diverses données de profil client sont interrogées à partir d’une seule adresse IP dans une boutique en ligne, cela est détecté et la connexion est interrompue pour éviter une attaque ou une mauvaise utilisation des données. Des systèmes de prévention de détection d’intrusion, de détection d’anomalie d’application web et d’empreintes numériques d’application sont utilisés ici. Les systèmes fonctionnent soit avec des modèles prédéfinis (une signature du comportement standard est stockée), soit avec des systèmes d’auto-apprentissage qui reconnaissent le comportement normal sur une certaine période de temps en fonction de l’utilisation actuelle.
La protection basée sur le contenu, de l’histoire ancienne ?
Clairement non. La sécurité basée sur le contenu avec des mécanismes anti-malware et sandbox est toujours nécessaire, mais le domaine d’application a changé. Les filtres de réputation et de comportement ont pris la première place dans les mécanismes de sécurité ; ils portent le principal fardeau de la sécurité. L’approche fondée sur le contenu est ajoutée et appliquée de manière sélective à certains composés.
«Il faut un concept de sécurité comme les filets paravalanche en montagne»
14.08.2019 | Interview | M. Fraefel
En Suisse, les PME sont confrontées à diverses menaces en matière de sécurité. Manuel Fraefel, Product Manager Security chez Studerus, explique dans cette interview à quoi pourrait ressembler un concept de sécurité à plusieurs niveaux.
Quelles sont actuellement les majeurs menaces informatiques pour les entreprises suisses ?
Manuel Fraefel : En Suisse, il existe deux types de menaces différentes pour les PME. Le premier concerne les attaques par ransomware, qui consiste à crypter les ordinateurs et les données de l’entreprise afin d’extorquer de l’argent. En règle générale, cela ne se fait pas de manière ciblée, mais le système recherche des systèmes mal sécurisés ou non sécurisés. C’est comme un voleur qui n’essaie pas d’ouvrir une voiture spécifique dans une rangée de voitures garées, mais simplement de voir si les portes de toutes les voitures sont déverrouillées. Menacée par ransomware ou rançongiciel sont avant tout des entreprises qui ne disposent pas au moins d’une protection de base avec un filtre de réputation et des sauvegardes régulières des données. La deuxième menace concerne les attaques ciblées contre les entreprises qui tentent d’accéder à des comptes bancaires. Il ne s’agit pas seulement d’attaques techniques telles que l’infiltration de chevaux de Troie ou de porte dérobée, mais aussi de tentatives ciblées de « piratage » des employés, c’est-à-dire le recours à l’ingénierie sociale pour avoir accès aux mots de passe des employés. Dans ce domaine, en plus de la sécurité actuelle supervisée, une formation et une sensibilisation des employés sont nécessaires.
Comment la défense informatique a-t-elle évolué ces dernières années ?
Par le passé, un pare-feu réseau et un programme antivirus sur les ordinateurs étaient généralement suffisants pour protéger une entreprise. Aujourd’hui, la protection de base exige déjà des mécanismes de sécurité à plusieurs niveaux qui, comme les filets paravalanche en montagne, atténuent les attaques en plusieurs étapes avant de définitivement les arrêter. D’autres vecteurs d’attaques ont également été ajoutés – aujourd’hui, la VoIP est utilisée pour la téléphonie et les données de l’entreprise sont accessibles de partout.
Quels sont les avantages des approches fondées sur le comportement ou sur la réputation par rapport aux modèles précédents ?
La sécurité basée sur la réputation est très performante et permet d’économiser des ressources par rapport à l’approche basée sur le contenu. Cela permet l’utilisation des solutions de pare-feu rentables pour les PME de toutes tailles. Les données basées sur le Cloud pour les filtres de réputation couvrent un large spectre de menaces et constituent la colonne vertébrale de la protection de base moderne de l’entreprise. Les mécanismes comportementaux permettent de réagir à des dangers et des attaques encore inconnus.
Les approches fondées sur la signature sont-elles devenues obsolètes ?
L’efficacité des mécanismes purement fondés sur la signature est très limitée pour les menaces actuelles, mais elle n’est pas complètement dépassée. La détection basée sur la signature est toujours utilisée comme composant et complément dans des mécanismes tels que l’anti-malware, mais sa pondération est plutôt subordonnée.
Quelle est la cyberdéfense optimale pour les PME ?
Elles ont besoin d’un réseau de mécanismes à plusieurs niveaux. Le pare-feu supporte la charge principale de la sécurité par des filtres basés sur la réputation et le comportement. Les connexions particulièrement critiques sont en outre protégées par des mécanismes basés sur le contenu. Une solution de sécurité endpoint installée sur les ordinateurs clients constitue un niveau supplémentaire dans le réseau. En outre, des sauvegardes régulières des données et une sensibilisation des employés au traitement des données et des mots de passe sont nécessaires. Enfin, toutes ces mesures de sécurité doivent être contrôlées et régulièrement adaptées à la situation de menace. C’est le moyen le plus efficace d’obtenir la sécurité en tant que service d’un partenaire de sécurité géré compétent.
(Cette interview a été réalisée en allemand par Coen Kaat et est parue dans le magazine IT-Markt (it-markt.ch). La chronique est également parue dans la publication susmentionnée.)