Antimalwares et patch management : les fondamentaux de l’hygiène informatique

Régulièrement au sein des entreprises, se pose la question de l’intérêt de déployer des antivirus. Cette interrogation est encore plus d’actualité avec l’émergence de la mobilité et du cloud qui remettent en cause l’efficacité de ces outils. Pourtant, pour nos experts, on ne peut plus se passer d’antivirus sur le SI, ne serait-ce que pour se parer contre les virus les plus courants. Toutefois, ces outils ne sont qu’une pièce sur l’échiquier de la sécurité, car il est de plus en plus difficile de repérer les malwares les plus malveillants.

Pour Christophe Bianco, VP Ventes Europe, Qualys, il convient de rappeler dans un premier temps ce qu’est un malware. C’est un terme générique qui désigne une famille de programmes malveillants, allant du virus aux trojans, en passant par les adwares, les keyloggers… Les malwares se trouvent aujourd’hui au cœur d’un véritable marché parallèle. On peut louer, acheter n’importe quel type de malwares, ou simplement commander une attaque avec l’offre de services associée. C’est un business très juteux, qui se développe de façon exponentielle.

De son côté, le marché des antimalwares est victime d’un constat quasi-unanime : « la technologie n’est pas bonne et le support laisse souvent à désirer ». Toutefois, face aux nouveaux challenges que posent la virtualisation, le BYOD, la dépérimétrisation ou encore la mobilité, la tâche n’est pas simple. Malgré les techniques de signatures, de réputation et comportementales ajoutées aux antimalwares, leur champ d’action est de plus en plus limité. Ils fonctionnent généralement en mode agents, ce qui pose un réel souci quand on est incapable de faire état de son parc informatique. De plus, même si les technologies de détection utilisent aujourd’hui les avantages du cloud pour accroître leur proactivité, il ne faut pas perdre de vue que les malwares aussi !

« Le malware s’installe généralement parce que les entreprises ne sont pas en mode contrôle sur leur réseau », constate Christophe Bianco. « Toutefois, si vous ne connaissez pas quelque chose, comment voulez-vous le maîtriser ? » Face à ce constat, il recommande :
– Prenez le contrôle de votre réseau ;
– Identifiez toutes vos machines ;
– Maintenez un inventaire de votre parc ;
– Prioritisez vos correctifs (Qu’est ce qui est attaqué ?) ;
– Demandez à Microsoft de fournir les patches des autres vendeurs ;
– Pratiquez une politique de « Good Software Hygiene » : éliminez les vulnérabilités et renforcez vos configurations (regardez les options).
Pour être à jour, un poste de travail nécessite a minima un patching mensuel.

En 2010, Microsoft a publié 106 bulletins de sécurité (contre 84 en 2009), Adobe 30, et Apple 38 mises à jour de sécurité. Le nombre de correctifs est en augmentation constante, ce qui reflète bien la recrudescence du nombre de vulnérabilités. En 2004, sur 3 millions d’IPs scannés, 2 millions de vulnérabilités ont été découvertes. En 2009, sur 80 millions d’IPs scannés, 680 millions de vulnérabilités ont été identifiées, dont près de 72 millions de niveau critique.

Concernant les browsers, Qualys propose BrowserCheck (https://browsercheck.qualys.com), un outil gratuit qui permet aux entreprises de vérifier la sécurité de leurs navigateurs Web et de leurs plug-ins. Près de 20% des plug-ins qui viennent se faire tester sont vulnérables. Le service gratuit de Qualys « Malware Detection Service » analyse, quant à lui, plus de 5 millions de sites Web chaque jour, et a d’ores et déjà détecté plus de 30 millions de malwares.

Les malwares font donc aujourd’hui indéniablement partie du paysage. Comment peut-on alors vivre avec en entreprise ? Pour Christophe Bianco, le problème n’est plus, à l’heure actuelle, de pouvoir se prémunir de ce type d’attaque, mais plutôt de savoir comment réagir. La stratégie de défense doit évoluer, car chacun sait que l’attaque, un jour, réussira. La question est de savoir comment devra-t-on réagir à ce moment-là ? Néanmoins, peu d’entreprises ont sorti les antimalwares de leurs infrastructures, on ne peut donc pas dire qu’ils n’ont plus aucun intérêt. Ils font partie de l’hygiène informatique. Enfin, il faut arrêter de faire peur aux gens, et revenir aux basics et fondamentaux, à commencer par le déploiement des patchs.

Du SSO à la Fédération d’Identités

Les projets d’IAM sont souvent considérés par les RSSI comme leur « bête noire ». En effet, ces projets sont longs à mettre en œuvre parce qu’ils nécessitent de nombreux efforts de communication, de diplomatie et de psychologie. Sans compter les phases de déploiement qui prennent du temps. Pourtant, aujourd’hui les outils techniques sont matures et, aux dires des experts, le SSO et l’authentification forte sont de bons moyens pour augmenter le niveau de sécurité des entreprises. Si des déploiements sont aujourd’hui réalisés en France, la fédération d’identités reste, quant à elle, encore au niveau de projet. L’avènement du Cloud Computing et de la mobilité pourrait relancer la fédération d’identités, sans compter le développement fulgurant du e-commerce. Le bout du tunnel pour le SSO et la fédération d’identités se trouve-t-il dans les nuages ?

Pour Guillaume Guerrin, Ingénieur Avant-Vente chez Ilex, c’est un tunnel à multi-sorties. Souvent, on parle de fédération d’identités comme quelque chose de relativement utopique, alors que son intérêt est bien réel et que la mise en œuvre de ce type de solution parfaitement opérationnelle.

Nous sommes aujourd’hui dans un contexte mouvant de fusions/acquisitions et de réorganisation permanente dans les entreprises. Elles doivent, de plus, jongler avec l’ouverture du SI, le Cloud Computing, la tendance à l’externalisation, les réseaux sociaux… tout en assurant un maximum de sécurité avec une optimisation des coûts et de l’expérience utilisateur.

En quoi la fédération d’identités peut-elle, selon lui, répondre à ce nouveau paradigme ?
– En termes de sécurité, elle permet de contrôler les accès et les habilitations, de sécuriser et anonymiser les échanges, mais aussi de fournir un système normalisé et sécurisé d’échange de données d’identités numériques entre domaines distincts.
– Dans un système de fédération d’identités, chacun garde la maîtrise et la gestion de ses propres identités. Il simplifie les architectures communes. La mise en œuvre des applications communes permet, en outre, de réduire les coûts d’administration.
– La fédération d’identités améliore l’expérience utilisateur : grâce à une authentification unique, elle facilite l’accès aux services applicatifs.
– Enfin, concernant la traçabilité, l’identité de l’utilisateur côté partenaire pouvant rester masquée ou non, chacun conserve la maîtrise de l’attribution des rôles.

« Il est essentiel d’avoir une approche sécurité », souligne Guillaume Guerrin, « mais aussi business de ces solutions. Un travail autour de l’ergonomie des solutions doit également être fait de manière à limiter les contournements de sécurité ».

La fédération d’identités est aujourd’hui une alternative concrète et opérationnelle. Des solutions déjà mises en œuvre existent. D’ailleurs, il a fait deux démonstrations concrètes de passage du SSO à la fédération d’identités dans des cadres BtoB et BtoC.

Code sécurisé : les failles de sécurité doivent être traitées au niveau du développement

Le test d’intrusion est un passage obligé pour toute entreprise, d’autant que les réglementations l’imposent dans leur processus d’évaluation du niveau de sécurité. Pour nos experts, le test de vulnérabilité ne peut se faire qu’à la main. C’est une véritable affaire d’artisan qui allie la technique à des astuces métiers. Pour nos experts, les outils automatisés de tests ne peuvent qu’être une aide pour trouver les vulnérabilités les plus courantes.

Le problème de sécurité des applications Web est une réalité et un véritable fléau, constate Michel Tiberini, PDG de Quotium Technologies. Les applications et sites Web sont attaqués en permanence. Selon le « Verizon Report » d’avril 2011, chaque application Web dans le monde subirait en moyenne 30 attaques par heure 24H/24, 7J/7. Un chiffre peu rassurant dans la mesure où près de 90% des applications Web seraient vulnérables (OWASP). Le National Institute for Standards and Technology (NIST) estime, quant à lui, que 92% des vulnérabilités exploitables auraient pour origine le code source de l’application.

Pourquoi un tel acharnement sur les applications ? Tout bonnement, parce qu’elles sont un chemin direct vers les données. La sécurisation du code dès son développement représente donc un enjeu majeur en entreprise. Plus un bug sera découvert tard dans le cycle de développement du code, plus cela coûtera cher à l’entreprise. Le test d’intrusion fait partie de la protection des applications Web. L’avantage est qu’il combine des tests techniques et métier. Le problème est qu’il vient à la fin du cycle de développement, juste avant la mise en production. Son intervention est donc tardive dans le processus de sécurisation de l’application. De plus, il assure uniquement une présentation de l’application à un instant donné.

Aucune solution miracle ne permet aujourd’hui de créer du code sécurisé, souligne Frédéric Patouly, Directeur des Opérations chez Quotium Technologies. Différentes approches existent, telles que le SAST (Stats application Security Testing) ou le DAST (Dynamic Application Security Testing), cependant elles présentent un taux de faux positifs assez élevé. De plus, le SAST offre une analyse statique d’une application et nécessite d’accéder au code source, ce qui peut poser des problèmes de confidentialité. De son côté, le DAST n’apporte pas une vue exhaustive des vulnérabilités, en raison d’un nombre élevé de faux négatifs, et les résultats sont difficilement exploitables par des non spécialistes de la sécurité. Enfin, ces approches ne permettent pas aujourd’hui de détecter automatiquement les failles qui portent atteinte aux données.

Afin de contrer ces écueils, Quotium propose une approche IAST (Interactive Application Security Testing), au travers de sa solution Seeker. Cet outil de test de sécurité des applications identifie les risques pour les vulnérabilités critiques, celles qui permettent l’accès aux données. Seeker détermine si une vulnérabilité est exploitable et où elle se trouve dans le code source, sans y avoir accès pour conduire cette analyse. La solution s’intègre tout au long du cycle de développement de l’application.

L’outil doit être utilisable dans les phases amont de développement de l’application, afin de gagner en temps, en efficacité et en sécurité. L’objectif est de faire en sorte qu’une faille de sécurité soit traitée au niveau du développeur, au même titre et de la même façon qu’une anomalie fonctionnelle.
Dans le cycle de développement de code sécurisé, la technologie IAST vient ainsi s’intégrer dans les environnements de qualification et de développement, ce qui permet de développer un code fiable et sécurisé. Les tests d’intrusion s’inscrivent en complément dans les phases de pré-production et de production, afin de découvrir des failles spécifiques ou des failles métier.

La technologie est pertinente, mais la partie management et psychologie est également très importante. Il faut d’abord identifier les vulnérabilités critiques pour l’entreprise, dans la mesure où elles n’ont pas toutes la même sensibilité, puis apprendre aux développeurs les façons de corriger son code en fonction de telle ou telle vulnérabilité. La sensibilisation et la formation sont essentielles dans cette démarche. Enfin, il faut garder à l’esprit que le test d’intrusion ne se positionne pas en opposition avec ce type d’outil, mais bien comme un complément.

PCI-DSS et norme 27001 face aux enjeux de sécurité…

Les normes ont le vent en poupe cette année, les méthodes EBIOS et MEHARI ont été totalement remises à jour, l’ISO 27005 est de plus en plus utilisée dans les grandes entreprises pour les aider à améliorer leur niveau de sécurité. Le PCI-DSS devient, quant à lui, incontournable… Les normes sont-elles pour autant un gage de réussite ? Comment les appliquer ?

La sécurité se trouve aujourd’hui au cœur des points stratégiques des entreprises pour accroître leur compétitivité, souligne Gérard Graffagnino, IBM IT Security Consultant – PCI QSA. Face aux nouveaux challenges sécurité, les standards, de type PCI-DSS ou ISO/IEC 27001, se proposent d’accompagner les entreprises dans leurs démarches.

ISO/IEC 27001 est un standard de gestion de la sécurité des informations, qui précise les exigences pour établir, mettre en œuvre, traiter, gérer, revoir, maintenir et améliorer le système de gestion de la sécurité des informations dans un contexte de gestion des risques business. L’objectif de l’ISO/IEC 27001 est d’aider les organisations à établir et maintenir un Système de Management de la Sécurité des Informations (SMSI).
Le standard PCI-DSS a, quant à lui, été développé dans le but de renforcer la sécurité des données des titulaires de cartes et de faciliter l’adoption de mesures de sécurité uniformes à l’échelle mondiale. Il sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de cartes, et s’applique à toutes les entités impliquées dans le traitement des cartes de paiement.
Toutefois, PCI a été conçu sur les bases du standard ISO 27001. L’un permet donc de capitaliser sur l’autre.

Pour Gérard Graffagnino, l’objectif des standards pour une entreprise est d’être préparée aux attaques, de connaître les risques, d’établir des contre-mesures, et de pouvoir les contrôler. Dans sa démarche, IBM se propose d’accompagner les entreprises dans leur approche ISO, PCI DSS et leur projet de certification.

Cependant, il ne faut pas perdre de vue qu’une certification n’est pas une garantie de sécurité en soi. Comme le souligne Luc Mensah, Directeur Technique de NSIT, « la certification est à la sécurité ce que le contrôle technique est à l’automobile ».

Les challenges liés à la mobilité

En quelques années, le marché des Smartphones, tablettes… a littéralement explosé, offrant une connectivité inégalée à ce jour, tout en accélérant la dépérimétrisation des SI. Ainsi, les utilisateurs peuvent à tout moment et en tout endroit se connecter au système d’information de leur société. Le nombre d’utilisateurs distants et mobiles dans le monde connaît une croissance exponentielle. Il devrait d’ailleurs atteindre les 1,2 milliard en 2013.

Toutefois, ces accès distants induisent de nouveaux challenges, explique Laurent Pétroque, Avant-Vente chez F5 Networks, tels que :
– Permettre aux utilisateurs d’accéder aux applications en contrôlant les autorisations et les niveaux de sécurité ;
– Assurer les chiffrements et le contrôle des informations échangées ;
– Optimiser le trafic entre ces périphériques mobiles et les applications.

Pour contrôler les accès distants, F5 Networks propose BIG-IP Edge Gateway. Ce boîtier réunit sur une plate-forme les dispositifs d’accès distant sécurisé VPN SSL, d’optimisation de trafic (optimisation WAN) et d’accélération applicative (optimisation Web). BIG-IP Edge Gateway optimise l’accès entre les clients, passerelles et les Data Centers, permettant aux utilisateurs « mobiles » de profiter de performances optimisées, indépendamment de leur emplacement.

Au niveau de la sécurité des applications, F5 dispose de l’offre BIG-IP Application Security Manager, un Firewall pour les applications Web. Cette solution protège, entre autres, les applications des attaques Dos et DDoS, renforce le fonctionnement des applications Web, protège les flux XML, SMTP et FTP…

« Notre objectif est de proposer une offre globale qui protège l’infrastructure dans son ensemble », conclut-il.