” Si vous ne disposez pas de vos données, vous ne pouvez pas les utiliser “
Plus le jeu de données est volumineux, mieux c’est ! Telle est l’idée sous-jacente de nombreux projets d’analyse, également dans le domaine de la cybersécurité. C’est à ce niveau qu’une société comme NTT Security peut faire valoir son avance. ” Une grande partie du dorsal de l’Internet est gérée par nos soins. Nous constatons donc les attaques à un stade très précoce. ”
NTT Security est la filiale spécialisée en sécurité du NTT Group, l’une des plus grandes sociétés de télécoms et de technologie au monde, et par ailleurs pas vraiment une illustre inconnue chez nous. En effet, sa filiale Dimension Data est clairement une valeur sûre en Belgique. ” Nous sommes pourtant une marque ancienne, tient à préciser Kai Grunwitz, senior vice president EMEA de NTT Group. L’entreprise existe depuis 120 ans au Japon. Un atout sur lequel nous entendons capitaliser. ”
Cet objectif s’inscrit dans une stratégie visant à positionner l’entreprise comme un généraliste. Axée au départ sur les télécoms, entendez une sorte de Proximus japonaise, l’entreprise a enrichi son expertise ces dernières années grâce à la R&D et à différentes acquisitions. ” Nous offrons des solutions de bout en bout, ajoute Grunwitz. Nous travaillons sur la modernisation du métier et l’innovation, surtout via la R&D, le capital-risque dans des start-up, etc. Par ailleurs, nous participons activement à la transformation numérique de nos clients. ” Avec notamment de la consultance en développement d’applications, des outils numériques et du développement SAP, de l’intégration de systèmes avec Dimension Data, des centres de données et des services de communication ainsi que de la sécurité.
Nous laissons volontiers le client en paix.
Le bon grain et l’ivraie
C’est précisément cette activité de sécurité que Data News a visitée en Suède. NTT Security y dispose de l’un de ses SOC (Security Operations Centers) à Gothenborg, un site au départ duquel les analystes de l’entreprise gèrent la sécurité de différents clients en ‘managed security’. L’idée de base d’une telle sécurité gérée est que l’entreprise délègue en grande partie le monitoring proprement dit des réseaux, de même que les aspects de détection et de prévention. ” De nombreuses sociétés louent leur sécurité physique auprès d’un fournisseur spécialisé. Et pour la sécurité IT, c’est plus logique encore puisqu’il faut pour ce faire disposer de compétences pointues “, ajoute Fredrik Westerdahl, responsable de la gestion du SOC de Gothenborg. Tout comme pour la sécurité physique, nous recevons une alarme lorsque quelqu’un tente de pénétrer les systèmes. Mais il y en a énormément. Nos analystes examinent 10.000 alertes par jour. De ce nombre, il y en a peut-être 10 ou 15 qui sont des incidents pertinents. ”
La tâche des analystes consiste essentiellement à séparer le bon grain de l’ivraie. ” De nombreux fournisseurs proposent un produit de détection des menaces. Mais dans ce cas, l’entreprise reçoit souvent de nombreuses alertes et n’a pas la méthodologie nécessaire pour les gérer, estime Westerdahl. Car toutes les alertes reçues ne sont pas des menaces et il faut éviter que des alertes importantes sont ignorées parce que la liste est trop longue. C’est pourquoi nous laissons volontiers le client en paix. La sécurité est une question de confiance. Le client doit nous faire confiance et doit savoir que si nous ne disons rien, c’est que tout est bon, mais que si nous téléphonons, c’est qu’il s’agit d’un incident vraiment important. ”
Le SOC s’inscrit dans une offre plus vaste de sécurité qui, sans grande surprise, se veut de bout en bout. ” Nous voulons assurer une couverture complète, poursuit Grunwitz. Depuis la consultance jusqu’aux opérations. Avec un cycle complet, depuis la prévention jusqu’à la réponse. ” Tout comme au niveau de la transformation numérique, NTT Security se positionne comme un consultant stratégique, surtout pour les grandes entreprises. ” La plupart des organisations se focalisent sur l’aspect sécurité, mais la plupart des clients devraient mieux comprendre ce qui fait leur spécificité. Ceux-ci doivent évaluer leur profil de risque afin d’appliquer une sécurité adaptée, explique encore Grunwitz. Il n’est pas question d’acheter un élément de sécurité, mais de déployer une stratégie, ce qui implique beaucoup de travail de consultance. ”
Une grande partie du dorsal de l’Internet est géré par NTT. Nous constatons donc les attaques à un stade précoce.
Jeux de données
Le message de NTT Security est par ailleurs renforcé par les autres composantes du groupe. ” Voici 20 ans, des pare-feux suffisaient pour gérer la sécurité, note Patrick Shraut, VP consulting Europe chez NTT Group. A l’époque, la prévention était suffisante, mais tel n’est plus le cas aujourd’hui. Désormais, il faut également détecter les problèmes et pouvoir y réagir. ” C’est alors qu’intervient le telco. ” Nous avons le grand avantage de gérer une grande partie du trafic Internet, dixit Shraut. Nous sommes un ISP tier 1. S’il y a un ‘exploit’, nous pouvons voir s’il est utilisé. ”
” Nous utilisons de grands jeux de données, ajoute Charles Bovy, director MSS Pre-Sales, EMEA. Nous analysons chaque année 6,1 trilliards de fichiers ‘log’. Nous voyons également 40% du trafic Internet global. Une grande partie du dorsal de l’Internet est géré par NTT. Nous constatons donc les attaques à un stade très précoce. ”
Si NTT gère certes un dorsal de l’Internet, Bovy enchaîne d’emblée que la société ne peut pas voir le contenu du trafic. A quoi ces analyses servent-elles ? ” A la détection de ‘botnets’ notamment, explique Bovy. Nous pouvons savoir qui va de A à B avec ce type d’application. Nous ne voyons pas le ‘payload’, mais pouvons visualiser les flux pour ainsi construire un graphique du trafic Internet suspect. ” L’idée sous-jacente est que si une attaque ou une alerte émane d’une adresse IP suspecte, l’analyse puisse procéder à une analyse sur base du graphique, afin de voir si cette adresse essaie également de communiquer avec d’autres clients de NTT. ” S’il s’agit d’un ‘bot’ ou d’un ‘botnet’, nous pouvons alors essayer de cartographier la situation et même tenter de trouver le ‘botmaster’. ”
Toutes ces activités sont complémentées par un partage de connaissances avec d’autres spécialistes en sécurité, par un ‘honeypot’ maison, à savoir une série d’emplacements réseau que l’entreprise utilise pour tenter de déjouer les attaques. ” Si vous ne disposez pas de vos données, vous ne pouvez pas les utiliser, estime toujours Bovy. Nous utilisons dès lors les données de clients pour nous améliorer. Par ailleurs, nous exploitons également des données dont nous savons qu’elles sont malveillantes. Nous utilisons quelque 600 ‘honeypots’ et recevons chaque mois de l’ordre de 10.000 échantillons de maliciels que nous analysons. ”
Votre usine est-elle sécurisée ?
Dans la liste des éléments de sécurité ‘cycle complet’, on retrouve toujours plus souvent l’Operational Technology, entendez la sécurisation des ensembles industriels et autres infrastructures. Songez en l’occurrence aux centrales électriques et grandes unités de production qui ont chacune leurs spécificités. ” Des appareils comme les ‘laptops’ sont remplacés après quelques années et sont dotés à chaque fois d’un nouveau logiciel de sécurité. Mais une machine d’usine tourne encore souvent sous Windows 95 sans aucune mise à niveau. Car si elles procèdent à une mise à niveau, les entreprises craignent de voir leur production être paralysée “, explique Patrick Shraut qui estime que pour les grandes usines, la disponibilité de leur outil de production est souvent plus importante que sa sécurisation.
Dans ces conditions, la sécurité OT apparaît comme particulièrement spécifique. ” Il s’agit de déployer des processus, enchaîne Shraut. Car si l’on met en place un système de détection et qu’un virus est trouvé ou qu’un maliciel apparaît, va-t-on arrêter la production ? En général, le département IT n’a pas ce pouvoir, tandis que le responsable d’usine préférera souvent ne pas paralyser la production. Dès lors, pourquoi investir dans la détection ? ” Toujours pour Shraut, la sécurité OT doit dès lors être prévue très tôt afin de pouvoir intervenir de manière efficace. ” L’une des possibilités est la segmentation, explique-t-il. Veillez à pousser l’attaquant dans un coin de votre réseau sans que l’ensemble du réseau et l’environnement de production ne soient vulnérables. A ce niveau, il y a encore beaucoup de pain sur la planche. Plus de 50% des entreprises ont encore un réseau ‘plat’, alors que la technologie existe depuis des années déjà. ”
NTT en chiffres
283.000
collaborateurs à l’échelle mondiale
120
ans d’existence
106
milliards de dollars de revenus par an
3,6
milliards de dollars d’investissements en recherche et développement
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici