Mais c’est une approche qui ne fonctionne plus. Les hackeurs deviennent de plus en plus professionnels : ce ne sont plus des script kiddies qui s’introduisent dans nos réseaux, mais de vrais professionnels, qui sont engagés par des organisations criminelles ou des services de renseignements. Est-ce que ça rapporte ? Énormément. Selon les estimations, les hackeurs ont amassé pas moins d’un milliard de dollars en 2018. Pour aggraver les choses, les nouveaux protocoles de cryptage (DNSoH, TLSv1.3) affaiblissent les mécanismes de sécurité des réseaux existants (filtrage web, détection des intrusions, antimaliciels sur les réseaux, etc.). Ce sont des protocoles qui sécurisent la communication des utilisateurs, mais qui entravent aussi les mécanismes de protection qui lisent les paquets du réseau, et créent ainsi des failles. Et les hackeurs en profitent, puisque leurs attaques sont en plus ciblées.

Chez Dstny, nous savons que la course à l’armement fait rage. Les criminels s'échinent à pénétrer les imposantes défenses de nos pare-feux à des niveaux supérieurs, ce qui veut dire que nous devons sans cesse renforcer nos défenses. Mais nous savons mieux que quiconque qu’en matière de décryptage, l’analyse TLS et DNS ne suffira pas. Nous devons mettre au point des méthodes alternatives pour sécuriser nos réseaux, mais avant toute chose, utiliser notre bon sens et renforcer les mesures de sécurité existantes.

• Par exemple, instaurer des dispositifs d'authentification forts ou séparer les droits et les autorisations.

• Investir davantage dans la sécurité finale, parce que ces mécanismes fonctionnent avec le système d’exploitation et ne nécessitent aucun décodage réseau.

• Concevoir des produits qui font appel à l’intelligence artificielle afin d’identifier les anomalies dans le réseau (et qui ne nécessitent pas de décodage réseau). Si l’IPS et les autres mécanismes qui permettent d’inspecter le contenu des réseaux perdent en efficacité, c’est une manière de compenser le retard.

L'une des solutions les plus efficaces en matière de sécurité des réseaux est ce qu’on appelle le « next-generation firewall » (NGFW), de PaloAlto. Ce n’est évidemment pas la seule entreprise à proposer des pare-feux, mais elle s’est imposée comme une valeur sure sur le marché. En outre, PaloAlto a été le premier acteur en sécurité qui a intégré la « user & application awareness », à savoir la possibilité de créer des filtres sur la base de l'identité de l’utilisateur et du nom de l’application (plutôt que des adresses IP et des ports TCP/UDP). Cette application a drastiquement changé la façon de concevoir les politiques de pare-feux. En outre, PaloAlto a été la première entreprise à connecter un bac à sable à un pare-feu - un bac à sable est une sorte d'espace de quarantaine où l’on peut effectuer une analyse approfondie des fichiers ; si l'objet est infecté par un logiciel malveillant, il y a de fortes chances que vous le détectiez, même s'il s'agit d'un maliciel de type "zero day". Plus important encore : l’infection virtuelle ne touchera que l’environnement du sandbox, qui sera simplement supprimé après analyse. Le reste du réseau est ainsi préservé. En résumé, PaloAlto a rendu les pare-feux plus solides et surtout plus intelligents au cours de ces dernières années.

Aujourd'hui encore, c’est une entreprise qui donne le ton sur le marché : c’est le premier fournisseur de pare-feux de nouvelle génération à combiner l'intelligence artificielle avec un pare-feu et son propre produit final, à savoir la plateforme antimaliciels Cortex XDR. Elle détecte les comportements suspects, tels que l'injection de code exécutable dans des segments de mémoire. Il recueille et regroupe également toutes les failles de sécurité possibles provenant des plateformes de pare-feu et de leurs agents endpoint. Grâce à une analyse statistique des évènements et mécanismes d’enrichissement des données, nous pouvons envoyer des alertes pertinentes basées sur le comportement des utilisateurs - tout en excluant la plupart des faux positifs, le pire cauchemar des gestionnaires en sécurité. De plus, les alertes sont personnalisées, en ce sens que nous connaissons le nom d’utilisateur et le processus ID de la personne à l’origine de l’action suspecte. Nous savons aussi quand elle s’est produite grâce à un timestamp et nous connaissons la machine précise, l’adresse IP et le lieu, mais aussi la séquence et la description des évènements suspects. Tous ces éléments nous permettent de poser un diagnostic précis et de proposer des opérations de récupération plus ciblées. Nous devons donc moins faire appel au décryptage du trafic pour détecter les attaques et les maliciels.

Grâce à Palo Alto, l’avenir semble beaucoup moins noir pour les ingénieurs en sécurité. La course à l'armement est loin d’être terminée, mais nos défenses se trouvent renforcées, du moins pendant un temps.