La sécurité toujours en avance sur les cybercriminels
La cybercriminalité aurait causé en 2019 entre 4 et 7 milliards de failles de sécurité – selon les sources consultées. Le secteur de sécurité réagit de différentes manières.
La sécurité reste un jeu du chat et de la souris : les cybercriminels tentent constamment de contourner les dernières solutions de sécurité, tandis que les fournisseurs imaginent de nouveaux produits, et ainsi de suite. La course est effrénée pour garder une longueur d’avance, ce qui vaut également pour les entreprises menacées. Et les nouvelles législations – comme le RGPD – ajoutent une pression supplémentaire. Dans le même temps, cette situation induit un effet pervers dans la mesure où les grandes entreprises ne se soucient pas vraiment de la problématique, préférant payer les amendes réclamées. Et pour leur part, les plus petites sociétés risquent de faire faillite en cas d’amende, ce qui ne fait que renforcer les grandes entreprises.
Nous assurons la sécurité des données avec cryptage pendant l’utilisation des données
Chasse ouverte
Clairement, le paysage évolue extrêmement vite. Le secteur de la sécurité continue en outre à rechercher activement de nouvelles solutions pour écarter – du moins temporairement – les cybercriminels. ” Autrefois, une seule solution suffisait pour offrir une bonne protection “, précise Brian Dye, ‘chief product officer’ de Corelight, une start-up en sécurité de San Francisco. Mais comme les maliciels passaient parfois à travers les mailles du filet, l’attention s’est portée voici une dizaine d’années sur la détection. ” Or même ces solutions ne sont pas parfaites. C’est pourquoi nous préférons parler désormais de ‘chasse aux menaces’, entendez de rechercher les dangers potentiels qui malgré tout pénétreraient sur le réseau. ”
Le problème se situe en grande partie dans une question de taille. ” Je connais l’exemple d’une grande entreprise qui bloque 30 milliards d’attaques sur base annuelle, explique Brian Dye. Il en résulte 30.000 signalements de problème potentiel. Sur ce nombre, 3.000 sont de véritables incidents. ” Pour bloquer ces 30 milliards d’attaques, il faut évidemment des systèmes automatisés. ” Il faut alors surtout s’intéresser aux ‘faux positifs’, à savoir les alertes qui perturbent le métier sans que cela ne soit nécessaire. Et quand bien même il reste encore 3.000 incidents au final, il est en principe possible de les résoudre moyennant un budget et de la main-d’oeuvre supplémentaires. ” Le défi majeur est que pour ces 30.000 signalements recensés de problème potentiel, il faut s’intéresser aux ‘faux négatifs’, ces indications qui sont considérées à tort comme sûres. ” Et cette question n’est pas réglée simplement avec un budget supplémentaire. Pour la chasse aux menaces, il faut d’autres profils. ”
Interpréter les données
Une effraction de réseau ne se produit qu’une seule fois. C’est pourquoi un tel acte ne se remarque pas facilement. ” Mais par la suite, le pirate procède à toutes sortes d’actions, poursuit Brian Dye. Ainsi, il va rechercher des données, prendre contact avec sa base et tenter de s’approprier des informations. En tant que ‘chasseur’, vous aurez de nombreuses occasions de prendre le voleur sur le vif. Le noeud du problème consiste cependant à pouvoir distinguer une activité normale et anormale. ” Ceci exige une bonne connaissance de l’environnement de l’entreprise et de pouvoir analyser soigneusement les actions potentiellement suspectes. ” En confirmant ce qui est faux et en automatisant les résultats de ces interventions, vous pouvez construire un système d’avertissement. ”
Corelight base dès lors son approche sur une solution qui existe depuis 20 ans déjà, à savoir le produit à code source ouvert Bro dont la réputation s’est forgée sur son utilisation à partir des années 90 au sein des services publics américains et des grands labos de sécurité. Dès lors, Corelight lance désormais sous le nom Zeke une solution adaptée également aux entreprises ‘classiques’. ” Zeke traduit le trafic réseau brut en ‘logs’ en temps réel compréhensibles “, explique Gregory Bell, CEO de Corelight. Les ‘data lakes’ et autres SIEM ressemblent trop souvent à une cave mal rangée : des tas de boîtes partout, mais rien de classé et étiqueté. ” Pourtant, la disponibilité de données est essentielle à la gestion de la sécurité, poursuit Gregory Bell. Des données mises à jour sur l’activité sur le réseau représentent la base de la gestion de la sécurité, tant pour les personnes que les systèmes. ”
Cryptage homomorphique
Chez ShieldIO, le message est quelque peu différent. Au cours des 10 dernières années, cette start-up américaine a développé une nouvelle technologie qu’elle commercialise désormais – après 2 ans de ‘stealth mode’. L’entreprise apporte une réponse à une demande de sécurité plus importante et de meilleure qualité grâce au ‘cryptage homomorphique’. ” Nous assurons la sécurité des données grâce à un cryptage alors même que les données sont utilisées, explique AJ Jennings, CEO et cofondateur. Nous le faisons sans ‘keystore’ et sans latence, indépendamment de la base de données utilisée et indépendamment du fait que l’infrastructure soit sur-site ou dans le cloud. ” Les techniques de ‘encryption-in-use’ et de ‘key- store-less encryption’ sont entre-temps brevetées par ShieldIO.
Le cryptage classique s’appuie sur un verrouillage des données. Cette méthode garantit la sécurité, mais constitue aussi un frein à l’utilisation des données. ” Les données sont l’actif le plus important d’une entreprise. Pourtant, elles restent encore souvent sous-exploitées. Pour apporter de la valeur ajoutée à des données cryptées, il faut à chaque fois les décrypter puis les réencrypter. ” Et pour ce faire, une clé est nécessaire. Celle-ci se trouve dans un ‘keystore’, une armoire à clés. ” Or cette solution n’est pas sûre à 100%, considère AJ Jennings. Le ‘keystore’ est un élément particulièrement vulnérable dans une entreprise. En outre, les méthodes de protection utilisées sont souvent dépassées. ” Avec une conséquence guère surprenante : les cybercriminels fracturent l’armoire à clés et peuvent utiliser les clés dérobées pour décrypter sans difficulté les données de l’entreprise.
Pas de clé, pas de voleur
Mais comment fonctionne exactement le cryptage homomorphique en temps réel de ShieldIO ? ” Nous éliminons simplement le point sensible, à savoir le ‘keystore'”, précise AJ Jennings. Le secret de la solution réside dans l’utilisation de clés ‘éphémères’, des clés qui ne sont valables qu’une seule fois et durant un bref laps de temps. ShieldIO crypte jusqu’au niveau du sous-champ de la base de données à l’aide du cryptage AES-256 standard. Pour chaque bit crypté, la solution génère une clé unique grâce à son propre algorithme IA, avec un nombre pratiquement illimité de combinaisons cryptographiques aléatoires. ShieldIO détruit ensuite la clé directement après usage. ” Car tel est le coeur du problème, fait remarquer AJ Jennings. Pour réussir, les pirates ne volent pas le cryptage, mais bien les clés. Or nous faisons encore qu’il n’y ait pas de clés. ”
ShieldIO apporte une réponse à la vulnérabilité et à la latence du cryptage classique. ” Cela signifie qu’il est désormais possible d’utiliser les données cryptées de manière sécurisée, sans devoir d’abord les décrypter. ” L’environnement de test d’une entreprise peut par exemple parfaitement utiliser en temps réel de véritables données cryptées sans courir le risque d’une fuite de données. ShieldIO commercialise sa solution par le biais de partenaires comme Oracle et Teradata. C’est ainsi que via l’Oracle Cloud Infrastructure, la solution ShieldIO est disponible à un prix fixe par heure et par CPU. ” Ce faisant, nous abaissons le seuil d’accès à notre technologie, conclut AJ Jennings. Car quand un produit est trop complexe, les entreprises finissent quand même par ne plus l’utiliser. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici