Depuis la qualification de deux sondes de détections en avril 2019 par l’ANSSI, le monde de la cybersécurité n’a que ce mot à la bouche. Serait-ce la solution miracle annoncée pour protéger son réseau ? Rien n’est moins sûr ; explications.
Depuis quelques mois, les sondes de sécurité sont présentées comme un nouveau rempart face aux cybermenaces, en particulier dans le monde industriel. En avril dernier, la qualification par l’ANSSI des sondes made in France de Thales et de son rival Gatewatcher a renforcé les hostilités sur le marché de la cybersécurité. Sur la scène internationale, les start-ups positionnées sur le marché ont le vent en poupe, comme Sentryo, pépite française récemment approchée par Cisco. En parallèle, les levées de fonds abondent, notamment pour l’entreprise italiano-suisse Nozomi et son concurrent israélien, Claroty.
Pour autant, la qualification des premières sondes ne s’est pas faite en un jour. Il a fallu quatre ans à l’ANSSI pour qualifier les premières sondes souveraines depuis l’apparition de ce terme dans la Loi de programmation militaire (LPM) de 2015. Destinées prioritairement aux Opérateurs d’Importance Vitale (OIV) – ainsi qu’aux Opérateurs de Services Essentiels (OSE), issus de la directive européenne Network and Information System Security (NIS) de novembre 2018 –, ces sondes ont été testées autour de deux axes : la robustesse et la capacité à garantir la confidentialité.
Mais tout ce qui porte le terme « sonde » ne remplit pas les mêmes usages.
Une sonde, c’est quoi ?
« C’est un terme un peu fourre-tout qui est souvent mis à toutes les sauces », prévient Robert Wakim, Offers Manager chez Stormshield, avant d’ajouter : « En matière de cybersécurité, il faut parler de sonde de détection réseau. C’est un équipement passif qui va écouter le flux d’un réseau et faire remonter des informations et des alertes en fonction de son point d’installation ».
Cet équipement doit être capable de repérer les signaux faibles générés par une cyberattaque. Contrairement à un antivirus ou un firewall, elle laisse passer l’ensemble des flux de données librement.
Pour fonctionner, une sonde de détection réseau doit être installée de façon transparente, en port d’écoute (port mirroring) – en opposition à une installation en coupure. Cette utilisation consiste à créer des réseaux supplémentaires : chaque flux est dupliqué et renvoyé vers la sonde. En cas d’attaque sur le réseau original, la sonde va l’identifier et la remonter au travers de logs d’anomalies.
Une sonde ne peut pas contenir l’infection de la machine ni la mettre en quarantaine
Robert Wakim, Offers Manager Stormshield
En cas de détection d’anomalie par une sonde réseau, deux cas de figure se présentent.
-
- Votre entreprise possède un SOC (Security Operations Center). Alerté par la sonde (en prenant en compte le temps de calcul de la sonde pour estimer s’il y a infection ou non), il va prendre la main pour juguler l’attaque dans la limite de sa capacité de réaction.
- Vous n’avez pas de SOC. La bonne nouvelle ? C’est que la sonde vous indique que votre réseau a été attaqué. La mauvaise ? Si l’attaque vise à détruire votre infrastructure, il est déjà trop tard.
« Le parallèle avec une tique est approprié pour parler des sondes de détection réseau. Lorsque vous vous faites mordre par une tique, l'information peut venir de plusieurs facteurs – que ce soit vos doigts qui rencontrent une aspérité qui n’était pas là avant, votre peau qui vous démange, ou vos yeux qui la repèrent. Mais pour autant, aucun ne pourra empêcher la propagation des maladies dans votre sang. C’est exactement la même chose avec une sonde. Elle ne peut pas contenir l’infection de la machine ni la mettre en quarantaine », souligne Robert Wakim.
Détection vs. Protection
Les sondes ont également bonne presse, grâce à leur intégration en simple port d’écoute, notamment dans le monde industriel. Il y a encore quelques années, les réseaux industriels n’étaient pas du tout protégés car isolés du monde extérieur et de ses menaces. Mais avec l’avènement de l’industrie du futur, la convergence IT-OT instaure une connexion des réseaux industriels vers le monde extérieur. Face à ces cyber-menaces, il faut donc désormais mettre en place les solutions de sécurité adéquates.
En cas d’attaque détectée sur le réseau, c’est toute la production qui peut être arrêtée – avec des conséquences économiques importantes. Et le risque avec un équipement de sécurité dit-de coupure est de bloquer la production non pas à cause d’une cyberattaque mais à cause d’une anomalie ou d’un « faux positif », c’est-à-dire un comportement sur le réseau considéré à tort comme participant à une cyberattaque.
« La sonde a ce côté rassurant pour les industriels, car comme elle ne fait que de la détection, il n’y pas de risque d’arrêt de production, indique Julien Paffumi, Product Portfolio Manager chez Stormshield. Dans un monde idéal, on aurait un firewall en coupure avec un IPS intégré pour bloquer les cyberattaques détectées de façon certaine et une sonde réseau en parallèle pour identifier et alerter sur les suspicions de menaces ».
Le nécessaire firewall qualifié
Avec la LPM en France et la NIS à l’échelle européenne, il existe une obligation réglementaire pour les OIV en France et une forte recommandation pour les OSE en Europe autour du déploiement de solutions de sondes qualifiées. Mais dans la trousse à outils idéale de ces entreprises et collectivités, aux côtés de ces sondes, il ne faut pas oublier les firewalls qualifiés. En parallèle de la détection, mission première de la sonde, ils sont en charge de la protection concrète des réseaux, en bloquant les cyberattaques.
Mais comment intégrer un tel équipement en coupure ? Certains d’entre eux, à l’image de notre firewall SNi40, peuvent fonctionner en mode IPS/IDS : en cas de défaillance importante, ils laissent passer le flux (fail-safe). Enfin, « il y a toujours une solution pour mitiger les inconvénients des équipements mis en coupure, souligne Julien Paffumi, comme les boîtiers en Haute Disponibilité, qui sont synchronisés et qui prennent le relais entre eux en cas de problème ».