La cybersécurité est un facteur de productivité, de com- pétitivité et donc de croissance pour les entreprises. Quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité.

guide_cpme_bonnes_pratiques

Nous sommes ravis d’annoncer que nous avons été nommés autorité de numérotation CVE (CNA) dans le programme CVE, une norme internationale reconnue pour identifier et nommer les vulnérabilités de cybersécurité.

By Sophos France

Ce statut de CNA nous autorise à attribuer une identification CVE (Common Vulnerabilities and Exposures) à des vulnérabilités uniques dans le cadre de nos produits. Les chercheurs en sécurité peuvent désormais travailler directement avec Sophos afin d’ouvrir des CVE pour nos solutions, simplifiant ainsi le processus de signalement des problèmes et d’attribution des CVE.

Le programme CVE est un effort international qui tient à jour un registre de données ouvert regroupant les vulnérabilités, basé sur et dirigé par la communauté. Le programme répertorie les CVE dans un registre accessible au public, aux chercheurs en sécurité, aux divulgateurs de vulnérabilités et aux éditeurs IT. L’utilisation d’un identifiant commun facilite le partage et la vérification croisée des données, au sein du secteur, au niveau de plusieurs bases de données et outils de sécurité distincts qui permettent de suivre les vulnérabilités.

“Le nouveau statut de Sophos en tant que CNA est un autre exemple de notre engagement à être transparent, et avec cette capacité d’attribuer des CVE, nous pourrons fournir au secteur des informations pertinentes sur nos produits, et ce plus rapidement. Cette capacités permettront aux entreprises d’évaluer plus rapidement les problèmes de sécurité, de déterminer l’ampleur de l’urgence et de prioriser les mises à jour”.

Ross McKerchar, vice president and chief information security officer chez Sophos

Les CVE de Sophos seront également saisies au niveau des multiples bases de données CVE compatibles du secteur. En travaillant collectivement sur ces bases de données avec d’autres éditeurs et les gardiens des normes du secteur, nous pourrons ensemble améliorer les défenses contre les attaquants persistants.

“L’équipe Common Vulnerabilities and Exposures accueille Sophos en tant que nouvelle autorité de numérotation CVE. Sophos a la solide réputation de contribuer à la communauté mondiale de la cybersécurité, en proposant des solutions antivirus, de chiffrement et de cybersécurité depuis plus de 30 ans. Leur expérience apporte une réelle valeur au programme CVE. Nous sommes très heureux que Sophos soit un membre contributeur de l’équipe CVE”.

Kent Landfield, CVE board member.

À propos du programme CVE

Le programme CVE® (Common Vulnerabilities and Exposures) est un effort communautaire international qui tient à jour un registre de données de vulnérabilités ouvert, basé sur et dirigé par la communauté. Les ID des CVE attribuées via le registre permettent aux parties intégrées au programme de découvrir et de corréler rapidement les informations de vulnérabilité utilisées pour protéger les systèmes contre les attaques. Le programme CVE compte actuellement, au niveau mondial, 149 CNA dans 25 pays, pour les secteurs des technologies et des services.

Billet inspiré de Sophos is a CVE numbering authority, sur le Blog Sophos.

La cybersécurité est passée en peu de temps d’une tâche commune de la DSI à une priorité absolue pour les directions d’entreprise. Et pour cause : les attaques informatiques se multiplient et sont de plus en plus élaborées. Pire : leurs impacts sont bien plus coûteux, allant du vol de données personnelles ou confidentielles, à l’altération de contenu, en passant par la prise en otage de données. Pour s’en prémunir, et sauvegarder son image, les outils traditionnels ne suffisent plus.

Heureusement, si les attaques évoluent, la défense s’adapte avec de nouvelles approches, techniques et stratégies, parmi lesquelles le « sandboxing ». Xavier Poinsignon, Responsable marketing des offres de cybersécurité chez SFR Business nous éclaire sur ce sujet.

 

Qu’est-ce que le sandboxing exactement ?

XP : il s’agit d’un module technique de sécurité relativement récent qui existe depuis 4 à 5 ans, et qui augmente fortement le niveau de détection des malwares. Il faut le voir comme une sorte de « sas » qui analyse et trie les fichiers entrants, dans les emails, téléchargement ou consultation de sites web, avant qu’ils n’interagissent avec les postes de travail ou serveurs de l’entreprise.

N’est-ce justement pas le rôle de l’antivirus de filtrer les fichiers entrants ?
XP : en fait, le sandboxing complète le rôle de l’antivirus, car les deux outils fonctionnent très différemment. Pour être efficace, un antivirus dispose d’une base de signatures où sont référencées toutes les menaces du moment. Si une pièce jointe est identifiée en tant que menace par l’antivirus, elle sera aussitôt détectée et logiquement détruite. Le problème survient lorsqu’une nouvelle menace informatique n’a pas encore été identifiée et documentée. L’antivirus sera alors incapable de la filtrer et la laissera malheureusement s’exécuter sur un ordinateur. On estime aujourd’hui qu’un antivirus détecte 60 à 70% des menaces. C’est bien, mais très loin d’être suffisant. En y ajoutant une fonction de sandboxing, ce taux repasse alors à plus de 95%. Parce que les malwares actuels sont devenus de plus en plus polymorphiques ou modifiés volontairement pour chaque cible d’attaque, la défense doit s’adapter en conséquence.

Alors, comment fonctionne précisément le sandboxing ?
XP : il exécute les fichiers entrants dans un environnement virtualisé qui est totalement déconnecté des serveurs internes de l’entreprise. Le principe est donc simple : la sandbox « lance » le fichier suspect et regarde ce qu’il se passe. Prenons un exemple : une pièce jointe en PDF dans un mail. Si son comportement est tout à fait normal, le fichier est noté comme sain, et est alors transféré au destinataire. En revanche, si ce PDF commence à chercher à se connecter à un site distant douteux pour lui transmettre des informations, à chiffrer des données localement, à télécharger un contenu sur Internet ou encore à se dupliquer pour chercher à se recopier sur des équipements du réseau, il sera aussitôt identifié comme une vraie menace. En s’exécutant ainsi sur la sandbox (= bac à sable littéralement) et non sur l’ordinateur final, la menace est totalement maîtrisée avant qu’elle ne réalise ses dégâts.

Combien de temps prend cette analyse ?
XP : toutes les sandboxes sont dimensionnables et paramétrables selon les attentes de l’entreprise. En général, aujourd’hui cinq minutes suffisent pour tester profondément le fichier qui permet ensuite de prendre une décision pour le délivrer ou non. Un laps de temps très court qui protège les actifs de l’entreprise, parfaitement acceptable pour des flux d’emails ou du téléchargement de fichiers sur le Web.

Mais il est même possible d’aller plus loin. Les pirates commencent à connaitre le principe de ces sandbox, et imaginons qu’un pirate intègre un retardateur dans son fichier d’attaque. Son action malveillante est alors programmée pour ne s’exécuter par exemple qu’une heure après l’ouverture du fichier. Au sein des sandbox, ces techniques d’évitement sont connues, et elles savent « accélérer le temps » virtuellement pour parer à toutes ces astuces.

Pourquoi parle-t-on beaucoup de sandboxing en ce moment ?
XP : parce que c’est une technologie très efficace qui a fait ses preuves et dont les usages se démocratisent. Grâce à la baisse des coûts régulière de la virtualisation et la croissance du cloud, la technologies utilisés par les sandboxes sont plus facilement accessibles et mutualisables. Le coût d’entrée est donc fortement réduit et toutes les questions liées à la gestion de la puissance de traitement et à l’opérationnalité du processus sont externalisées grâce au Cloud. Une solution qui favorise la scalabilité : en cas de croissance forte du trafic à analyser, quelques minutes suffisent pour adapter la puissance de sa sandbox.

On parle beaucoup du cloud, mais toutes les entreprises ne souhaitent pas y voir envoyer des fichiers sensibles…
XP : c’est exact, et ce n’est pas un problème. Le sandboxing fonctionne sur des cloud publics (pour le prix/puissance) , un cloud privé (pour plus de confidentialité) ou encore une configuration locale, dédiée, on-premise pour un totale isolement avec l’extérieur. C’est une solution qui s’adapte à toutes les situations, budgets et selon les stratégies et les prises de décisions de l’entreprise.

Une sandbox seule est-elle suffisante pour assurer la sécurité ?
XP : en matière de cybermenace, la pluralité des attaques et des moyens d’action nécessite une diversité de moyens de défense. La sandbox est aujourd’hui extrêmement efficace, mais elle ne remplacera pas tout, comme l’antivirus installé sur l’ordinateur d’un utilisateur qui le protègera des menaces venant de l’interne ou par une simple clef USB contaminé (on commence même à retrouver les techniques de détections des sandbox comme module intégrés dans les agents de protections avancés des postes utilisateurs ou serveurs : Endpoint protection) . C’est donc une ligne de défense supplémentaire qui travaille en coordination avec l’antivirus (qui fera le premier « écrémage » des menaces classiques) et le firewall, l’IPS, le filtrage web, l’antispam, etc.

Comment implémenter une sandbox dans son entreprise ?
XP : la première chose à faire est de définir les besoins. Quels types de flux souhaitez-vous surveiller : web, mail, autre ? Est-ce que tout doit passer par la sandbox ou avez-vous une liste blanche de sources autorisés ? On peut également choisir quels sont les environnements que la sandbox va virtualiser ? Une version particulière de Windows ? Un environnement macOS ? Linux Serveur ? Quelles sont ensuite les règles de traitement des fichiers douteux à mettre en place ? Le niveau de sensibilité ?

Une fois que cette phase de paramétrage est terminée, l’implémentation prend moins d’une heure pour une version de sandbox dans le cloud et quelques jours pour une configuration on-premise.

La question du budget est évidemment centrale. Combien coûte une sandbox ?
XP : si je prends le cas le plus commun, celui d’une analyse sandbox dans le cloud, c’est un système d’abonnement en mode AaS (As a Service). Le coût dépend de la puissance et de la capacité de traitement de la sandbox. Plus celle-ci sera importante, plus l’analyse sera rapide ou traitera un plus gros flux. Aujourd’hui, on peut s’ajouter une analyse par Sandbox pour moins de 100 euros par mois sur un accès Internet de 100 Mb/s. Le sandboxing avait la réputation d’être une technologie très chère, mais ce n’est plus le cas aujourd’hui grâce au Cloud.

Le mot de la fin sur le sandboxing ?
XP : SFR Business a choisi d’intégrer parmi les premiers des options d’analyse par sandbox sur plusieurs de ses offres standardisées de sécurité à destination des entreprises. C’est une fonctionnalité qui s’intègre dans nos packages destinés aux professionnels, même pour les PME, avec un coût vraiment réduit par rapport aux bénéfices apportés. N’hésitez pas à nous contacter si vous souhaitez en savoir plus sur le sujet.

 

Publié par : Xavier Poinsignon
source : https://www.sfrbusiness.fr/room/securite/sandboxing-securite-contre-attaques-informatiques.html