Votre réseau a-t-il besoin d’un sentinelle ?
Ça y est, vous avez décidé d’ouvrir un bar. Vous faites appel au meilleur décorateur, vous sélectionnez les meilleures bouteilles imaginables et embauchez le meilleur barman que vous puissiez trouver. A son ouverture, les critiques ne tarissent pas d’éloges et votre établissement devient immédiatement l’endroit le plus branché de la ville.
Mais il ferme en moins d’un mois. Il s’avère que laisser entrer (et sortir) à peu près n’importe qui n’est pas une bonne pratique commerciale.
C’est d’autant plus vrai en matière de cybersécurité : imaginez ce qui arriverait si votre entreprise se satisfaisait de n’avoir aucune visibilité sur une source courante de problèmes et de non-conformité. Malheureusement, c’est peut-être déjà le cas puisque l’inspection du trafic chiffré ne fait toujours pas partie des priorités pour bon nombre d’entreprises.
Tout d’abord, commençons par définir les menaces chiffrées : pour faire simple, le protocole SSL (Secure Sockets Layer) peut créer un tunnel chiffré pour sécuriser les données dans le cadre d’une connexion Internet. Le protocole TLS (Transport Layer Security) est une version plus récente et plus sécurisée du protocole SSL.
Bien que les protocoles TLS et SSL fournissent des avantages légitimes en matière de sécurité lors de sessions sur le Web et de connexions à Internet, les cybercriminels utilisent de plus en plus ces normes de chiffrement pour cacher des malwares ou des ransomwares, préparer une attaque zero-day et autres. A l’heure actuelle, on estime que 35 % des menaces sont chiffrées, et ce taux est à la hausse (source : Gartner).
Malheureusement, il existe une peur de la complexité et une méconnaissance de la nécessité d’inspecter de manière responsable le trafic SSL et TLS à la recherche de cyberattaques, notamment en réalisant une inspection approfondie des paquets (DPI de l’anglais Deep packet Inspection). Un tel comportement s’avère particulièrement dangereux, car les contrôles de sécurité traditionnels n’ont pas la capacité ni la puissance de traitement nécessaires pour détecter, inspecter et déjouer les cyberattaques envoyées via le trafic HTTPS.
Dans le cas de notre bar théorique, employer un sentinelle aurait fait toute la différence en vous permettant de continuer vos affaires florissantes plutôt que d’avoir à fermer (volontairement ou non) à cause d’un contrôle insuffisant, voire inexistant de la clientèle.
De même, le nombre de menaces chiffrées n’ayant de cesse d’augmenter, examiner les échanges chiffrés pourrait faire la différence entre une menace détectée et bloquée d’une part, et devoir ramasser les pots cassés à la suite d’une cyberattaque réussie d’autre part.
Imaginez que votre bar exige une tenue correcte. Peu importe que vous exigiez une tenue de soirée à la mode ou un costume avec cravate, sans gardien ni sentinelle, vous n’avez aucun moyen de faire appliquer cette règle. Pire encore, si personne ne contrôle les vestes, vous ne savez pas qui peut porter un maillot de hockey ou un t-shirt scandaleux à caractère politique sous son imperméable kaki.
L’interaction entre les solutions de filtrage de contenu et le trafic chiffré est comparable. Etant donné que 80 à 90 % des échanges proviennent maintenant de connexions chiffrées qui utilisent le protocole HTTPS, vos solutions de filtrage de contenu sont totalement inappropriées (source : rapport sur la transparence de Google). Leur efficacité est limitée lorsqu’il s’agit d’identifier la page Web de destination et de décider comment gérer les menaces potentielles. Sans la capacité à voir ce qu’il se passe sous la surface, des menaces pourraient se concrétiser sournoisement.
De même, les solutions de sandboxing ont une utilité limitée face aux menaces chiffrées. Si un cybercriminel réussit à établir une connexion chiffrée entre le contrôleur de l’acteur de la menace et un terminal, il pourrait transférer des fichiers dans un sens comme dans l’autre, y compris des malwares supplémentaires. La plupart du temps, les entreprises disposent d’une seule solution de sandboxing qui est en mesure d’analyser tous les fichiers et de garantir qu’ils ne sont pas malveillants avant de les autoriser.
Mais si la communication est chiffrée, alors la solution de sandboxing devient inutile, parce que vous n’êtes pas capable de capturer les fichiers transmis entre un serveur CC et le terminal. La solution voit que des échanges chiffrés ont lieu entre deux adresses IP, mais elle n’a aucune visibilité sur ce qu’il se passe à l’intérieur.
Reprenons l’exemple de notre sentinelle et imaginez que vous ayez affaire à un professionnel chevronné. Grâce à ses vingt années d’expérience, il a en tête une liste de fauteurs de troubles et peut en repérer un à des kilomètres à la ronde. Mais sans personne à la porte pour reconnaître ceux qui deviendront une menace pour eux-mêmes et pour autrui, ces personnes peuvent entrer sans problème. Pour quelqu’un dont ce n’est pas le métier, il s’agit simplement d’un client comme les autres jusqu’à ce qu’il soit trop tard.
Néanmoins, le problème n’entre pas toujours dans le bar (ou sur votre réseau) : il peut parfois en sortir. De nombreuses solutions de sécurité sont conçues pour prévenir la perte de données, mais le chiffrement permet de masquer complètement cette partie. Cette faculté permet aux acteurs malveillants (situés à l’intérieur comme à l’extérieur de l’entreprise) de voler des données personnelles ou confidentielles sans que personne ne s’en aperçoive. Quand ils en savent suffisamment pour vous faire du chantage, ils déploient généralement des ransomwares.
Malheureusement, si le matériel de passerelle standard ne dispose d’aucun système de déchiffrement activé, il ne voit pas du tout ces échanges. Les risques s’étendent au-delà des chevaux de Troie, ransomwares et malwares : vous pourriez aussi perdre votre conformité à des réglementations telles que la loi américaine HIPAA, la norme PCI ou le règlement européen RGPD suite à l’exfiltration de données, et être amené à payer de lourdes amendes.
Votre bar a-t-il fermé à cause de clients qui partaient avec des verres à la main ou à cause d’employés qui faisaient sortir des bouteilles en douce dans un sac à main ? Ils sont en infraction avec la loi, et vous plongent avec eux dans l’illégalité. Qu’il s’agisse d’arrêtés locaux pour les bars ou de règles de conformité nationales applicables aux grandes entreprises, les sanctions pour non-conformité peuvent parfois menacer des entreprises, voire entraîner leur fermeture.
Dans les deux cas de figure, la réponse est la même : un protecteur courageux et efficace, suffisamment intelligent pour savoir qui laisser entrer et qui refouler, mais aussi suffisamment musclé pour se faire respecter sans créer de goulot d’étranglement à la porte.
Pour en savoir plus sur ce dont vous avez besoin pour inspecter le trafic chiffré de votre entreprise, cliquez ici afin de vous inscrire au tout dernier webinaire Mindhunter : « Votre réseau a-t-il besoin d’un sentinelle ? » le 22 avril 2021, à 10h00 CET