[Avis d'expert] Et si l’on appliquait le confinement des données pour stopper les virus informatiques…

Il est possible de couper la chaîne de propagation d’un virus informatique en confinant les ressources critiques dans un réseau séparé, protégé par un système garantissant l’unidirectionnalité du flux sur le principe de la diode électrique. Le niveau de sécurité ainsi obtenu est très supérieur à celui d’un pare-feu, assure Régis Fattori, directeur du Business Development Cybersécurité, chez Bertin IT.

Partager

[Avis d'expert] Et si l’on appliquait le confinement des données pour stopper les virus informatiques…
Régis Fattori, directeur du Business Development Cybersécurité chez Bertin IT

Il existe une méthode efficace pour stopper la propagation d’un virus : le confinement. La crise sanitaire a permis d’en prendre conscience. De manière similaire, l’invasion actuelle des rançongiciels doit nous pousser à adopter des mesures de protection numérique contraignantes. C’est l’occasion de se demander comment faire un usage plus large de cette stratégie de défense qui utilisée à bon escient permet de contenir une attaque.

Nous avons aujourd’hui d’énormes capacités de traitement en temps réel : les données sont collectées en masse, traitées avec de l’IA, souvent dans le Cloud. C’est une réalité dans les applications grand public, mais également dans le monde industriel. Ceci favorise la propagation des virus et des rançongiciels, qui mettent régulièrement à mal des systèmes d’information. La 5G ne va pas freiner le phénomène.
En principe, il est possible de couper la chaîne de propagation en confinant les ressources critiques dans un réseau séparé, protégé par une rupture protocolaire et un système garantissant l’unidirectionnalité du flux : la datadiode. Le niveau de sécurité ainsi obtenu est très supérieur à celui d’un pare-feu. L’ANSSI recommande quelques principes de sécurité complémentaires, comme le contrôle d’accès, le durcissement des configurations et l’analyse des contenus. En combinant ces fonctionnalités, on obtient alors une « passerelle » ou un « système d’échange sécurisé », qui assure un confinement vivable : la communication réseau est bloquée, mais les échanges d’information continuent.

Le concept de confinement était déjà présent dans la littérature de cybersécurité, et certaines réglementations comme la LPM (loi de programmation militaire), la directive européenne NIS (Network and Information System Security) ou l’Instruction Interministérielle 901. Cependant il est assez mal appliqué dans la vie réelle, essentiellement parce qu’il suppose de repenser l’architecture du réseau. Réinvestir pour sécuriser un système en fonctionnement n’est pas une inclination naturelle. Et quand les sanctions ne sont pas dissuasives, il est tentant de repousser l’échéance…
Mais avons-nous vraiment le choix ? L’actualité sanitaire montre qu’une situation stable et contrôlée peut se transformer en crise aigüe en peu de temps. Mieux vaut donc un confinement sélectif préventif qu’un confinement total subi. Ce qui signifie organiser l’isolation des ressources critiques plutôt que couper le réseau en catastrophe.
Il faut donc s’équiper plus largement en passerelles d’échange sécurisées. Or les solutions disponibles sont chères, souvent développées sur mesure. Industrialiser un produit présente quelques obstacles :
Le cycle de la qualification d’un produit par l’ANSSI, particulièrement long et fastidieux, plombe les coûts de développement. En parallèle, la LPM puis la directive NIS, qui doivent fortement inciter les opérateurs critiques à s’équiper, entrent en vigueur de manière très progressive. En conséquence, confrontés à l’absence d’offre de produits qualifiés, les clients font homologuer (avec difficulté) un système d’échange spécifique coûteux à maintenir.
La standardisation des produits a également des limites : chaque métier a des contraintes propres, qui impliquent des adaptations (ex : dans la télévision la contrainte est la capacité de traitement, dans la banque c’est le nombre d’utilisateurs).

La solution consiste à proposer un produit qui réponde à deux logiques : la modularité et l’intégration.

- Intégration : combiner dans un seul équipement diode, filtrage et analyse du contenu, antivirus, haute disponibilité, gestion des accès, sur le principe qui a fait le succès des pare-feux multifonctions.
- Modularité : grâce à la virtualisation, le matériel est interchangeable et peut accueillir dans une machine virtuelle un filtre de sécurité métier en développement « agile », tout en conservant les propriétés de sécurité préalablement certifiées (la Trusted Computing Base).

En appliquant ces principes, nous avons donc une passerelle d’échange intégrée (que l’on peut également qualifier de « datadiode virtuelle »), qui offre des économies en matériel, en coûts d’administration et d’homologation pour le client. Elle pourra servir des cas d‘usages multiples dans des métiers différents
La sécurité des infrastructures exige des mesures fortes comme le confinement. Aujourd’hui, l’industrie sait développer des produits adaptés techniquement et économiquement grâce à la virtualisation, mais les conditions de marché sont difficiles : la réglementation impose peu aux utilisateurs qui prennent beaucoup de liberté et contraint fortement les fabricants avec des cycles de certification interminables. Malgré tout, nous sécurisons chaque année de nouveaux réseaux sensibles. Cela suffira-t-il à ce rythme pour nous préserver de la prochaine vague ?

Régis Fattori, directeur du Business Development Cybersécurité, chez Bertin IT

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Partager

LES ÉVÉNEMENTS L'USINE NOUVELLE

Trophée

TROPHÉES DES USINES 2021

100% digital , live et replay - 27 mai 2021

Gestion industrielle et Production

Déposez votre dossier avant le 5 mars pour concourir aux trophées des usines 2021

Conférence

MATINÉE INDUSTRIE DU FUTUR

100% digital , live et replay - 27 mai 2021

Gestion industrielle et Production

Comment rebondir après la crise 2020 et créer des opportunités pour vos usines

Formation

Espace de travail et bien-être des salariés

Classe virtuelle - 01 juin 2021

Services Généraux

Optimiser l’aménagement du bureau

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS