[Avis d'expert] Et si l’on appliquait le confinement des données pour stopper les virus informatiques…
Il est possible de couper la chaîne de propagation d’un virus informatique en confinant les ressources critiques dans un réseau séparé, protégé par un système garantissant l’unidirectionnalité du flux sur le principe de la diode électrique. Le niveau de sécurité ainsi obtenu est très supérieur à celui d’un pare-feu, assure Régis Fattori, directeur du Business Development Cybersécurité, chez Bertin IT.
![[Avis d'expert] Et si l’on appliquait le confinement des données pour stopper les virus informatiques…](/mediatheque/9/9/3/000929399_896x598_c.jpg)
Il existe une méthode efficace pour stopper la propagation d’un virus : le confinement. La crise sanitaire a permis d’en prendre conscience. De manière similaire, l’invasion actuelle des rançongiciels doit nous pousser à adopter des mesures de protection numérique contraignantes. C’est l’occasion de se demander comment faire un usage plus large de cette stratégie de défense qui utilisée à bon escient permet de contenir une attaque.
Nous avons aujourd’hui d’énormes capacités de traitement en temps réel : les données sont collectées en masse, traitées avec de l’IA, souvent dans le Cloud. C’est une réalité dans les applications grand public, mais également dans le monde industriel. Ceci favorise la propagation des virus et des rançongiciels, qui mettent régulièrement à mal des systèmes d’information. La 5G ne va pas freiner le phénomène.
En principe, il est possible de couper la chaîne de propagation en confinant les ressources critiques dans un réseau séparé, protégé par une rupture protocolaire et un système garantissant l’unidirectionnalité du flux : la datadiode. Le niveau de sécurité ainsi obtenu est très supérieur à celui d’un pare-feu. L’ANSSI recommande quelques principes de sécurité complémentaires, comme le contrôle d’accès, le durcissement des configurations et l’analyse des contenus. En combinant ces fonctionnalités, on obtient alors une « passerelle » ou un « système d’échange sécurisé », qui assure un confinement vivable : la communication réseau est bloquée, mais les échanges d’information continuent.
Le concept de confinement était déjà présent dans la littérature de cybersécurité, et certaines réglementations comme la LPM (loi de programmation militaire), la directive européenne NIS (Network and Information System Security) ou l’Instruction Interministérielle 901. Cependant il est assez mal appliqué dans la vie réelle, essentiellement parce qu’il suppose de repenser l’architecture du réseau. Réinvestir pour sécuriser un système en fonctionnement n’est pas une inclination naturelle. Et quand les sanctions ne sont pas dissuasives, il est tentant de repousser l’échéance…
Mais avons-nous vraiment le choix ? L’actualité sanitaire montre qu’une situation stable et contrôlée peut se transformer en crise aigüe en peu de temps. Mieux vaut donc un confinement sélectif préventif qu’un confinement total subi. Ce qui signifie organiser l’isolation des ressources critiques plutôt que couper le réseau en catastrophe.
Il faut donc s’équiper plus largement en passerelles d’échange sécurisées. Or les solutions disponibles sont chères, souvent développées sur mesure. Industrialiser un produit présente quelques obstacles :
Le cycle de la qualification d’un produit par l’ANSSI, particulièrement long et fastidieux, plombe les coûts de développement. En parallèle, la LPM puis la directive NIS, qui doivent fortement inciter les opérateurs critiques à s’équiper, entrent en vigueur de manière très progressive. En conséquence, confrontés à l’absence d’offre de produits qualifiés, les clients font homologuer (avec difficulté) un système d’échange spécifique coûteux à maintenir.
La standardisation des produits a également des limites : chaque métier a des contraintes propres, qui impliquent des adaptations (ex : dans la télévision la contrainte est la capacité de traitement, dans la banque c’est le nombre d’utilisateurs).
La solution consiste à proposer un produit qui réponde à deux logiques : la modularité et l’intégration.
- Intégration : combiner dans un seul équipement diode, filtrage et analyse du contenu, antivirus, haute disponibilité, gestion des accès, sur le principe qui a fait le succès des pare-feux multifonctions.
- Modularité : grâce à la virtualisation, le matériel est interchangeable et peut accueillir dans une machine virtuelle un filtre de sécurité métier en développement « agile », tout en conservant les propriétés de sécurité préalablement certifiées (la Trusted Computing Base).
En appliquant ces principes, nous avons donc une passerelle d’échange intégrée (que l’on peut également qualifier de « datadiode virtuelle »), qui offre des économies en matériel, en coûts d’administration et d’homologation pour le client. Elle pourra servir des cas d‘usages multiples dans des métiers différents
La sécurité des infrastructures exige des mesures fortes comme le confinement. Aujourd’hui, l’industrie sait développer des produits adaptés techniquement et économiquement grâce à la virtualisation, mais les conditions de marché sont difficiles : la réglementation impose peu aux utilisateurs qui prennent beaucoup de liberté et contraint fortement les fabricants avec des cycles de certification interminables. Malgré tout, nous sécurisons chaque année de nouveaux réseaux sensibles. Cela suffira-t-il à ce rythme pour nous préserver de la prochaine vague ?
Régis Fattori, directeur du Business Development Cybersécurité, chez Bertin IT
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.
[Avis d'expert] Et si l’on appliquait le confinement des données pour stopper les virus informatiques…
Tous les champs sont obligatoires
0Commentaire
Réagir
