Depuis de nombreuses années, NextiraOne s’attache à mettre en place des systèmes de sécurité informatique permettant de contrôler ou de limiter le risque pour les entreprises européennes et plus particulièrement pour les sociétés luxembourgeoise.

Avec l’ouverture des systèmes d’information à ses clients, partenaires ou fournisseurs, il est devenu essentiel pour l’entreprise de connaître les menaces et les vulnérabilités qui pèsent sur ses ressources pour pouvoir les contrôler.
Le risque en terme de sécurité est généralement caractérisé par l’équation suivante :

« Nous opérons efficacement depuis de nombreuses années sur le dénominateur de l’équation risque en installant des systèmes de filtrage des données et de contrôle d’accès dans les infrastructures IT : Application Firewall, Intrusion Prevention system, Next Generation Firewall, relais Mail sécurisés et proxy Web faisant de l’analyse de contenu, système d’authentification forte, etc… », explique Frédéric Lavend’Homme, IT Security Business Consultant de NextiraOne (en photo).

« Il nous paraît primordial d’agir plus efficacement encore sur le numérateur de cette équation, non seulement en mettant en œuvre les systèmes classiques d’identification de vulnérabilité, mais plus encore en utilisant de nouvelles solutions qui permettent d’identifier les vulnérabilités et les vecteurs d’attaques qui seraient exploitables dans le contexte unique de l’infrastructure de l’entreprise et de les traiter en priorité ».

La RBA 12/544 de la CSSF

En juillet 2012, la CSSF a adressé une circulaire à tous les PSF de support afin d’optimiser la surveillance par une approche par les risques ; c’est la Risk-Based Approach ou RBA. Parmi tous les risques directs et indirects devant être évalués, une importante section concerne les risques associés aux systèmes d’information (risques D6 et I8).

« Comment avoir une vue exhaustive de son système d’information et comment pouvoir mettre en place une évaluation des risques face à la complexité sans cesse grandissante de ces systèmes et face à leur versatilité ? », interroge Frédéric Lavend’Homme. Pour NextiraOne, il devient indispensable de s’appuyer sur des solutions donnant un suivi quotidien des risques et permettant de les évaluer afin de les réduire.

« Pour déterminer la sécurité de son patrimoine IT, connecté à un réseau souvent complexe, il est indispensable d’avoir une compréhension claire de sa valeur, de l’impact d’une perte, et de l’exposition de ce patrimoine aux menaces et erreurs. Ce défi est d’autant plus important que les changements sont de plus en plus rapides et les dépendances de plus en plus complexes. De plus, les entreprises sont confrontées à un flux sans cesse grandissant de nouvelles découvertes de vulnérabilités et une complexité accrue dans la gestion des équipements et des contrôles. Aussi, pour identifier les risques sur le patrimoine IT et pouvoir les quantifier et qualifier, les informations sur le réseau, sur les équipements de sécurité, sur les contrôles, sur les politiques, sur les classifications des actifs et sur l’ensemble des vulnérabilités doivent pouvoir être corrélées et analysées pratiquement de manière continue tel que le demandent les régulations et des solutions pratiques doivent être établies et appliquées. »

Aussi les solutions automatiques et intelligentes d’analyse de risques sont incontournables. « Ces solutions trouvent automatiquement les expositions aux risques les plus critiques, tels que des Firewalls mal configurés, des politiques de sécurité violées et non conformes, ou l’exposition à des vulnérabilités présentes sur les réseaux et les machines de l’IT, note Frédéric Lavend’Homme. Les responsables de la sécurité du SI peuvent dès lors anticiper les risques les plus critiques, prendre les actions nécessaires en avance de phase afin de prévenir toutes brèches dans les données, des attaques ou des problèmes au regard des réglementations. Ils pourront alors suivre et documenter plus facilement le niveau des risques du SI afin de formaliser une évaluation globale. »

Les solutions automatiques permettent de constituer une image complète et précise du réseau, rendant possible la simulation de scénarios d’attaques et de comparer les réponses possibles, de détecter les risques réels les plus critiques, de détecter toute violation de conformité… « Cela réduit les erreurs humaines, fournit des tableaux de bord sur le niveau de sécurité et d’exposition aux risques et aux indisponibilités, et démontre clairement le respect ou non de la conformité des réglementations et des politiques de l’entreprise. »

La RBA exige la proactivité

Avec les outils automatisés, la gestion devient alors proactive et non plus seulement réactive par des actions menées pour résoudre incidents après incidents. « Cette approche permet de gagner du temps et de libérer les équipes sur des tâches plus stratégiques et permet d’avoir une vue mesurable des risques et de la sécurité mis en place de manière continue, estime Frédéric Lavend’Homme. Le retour sur investissement est dès lors très rapide, notamment grâce à la diminution du risque et aux économies de coûts opérationnels liés. »

Pour étoffer son expertise, NextiraOne a choisi de mettre en œuvre une des solutions automatiques et continues à l’approche unique et complète : Skybox Security. « Skybox crée automatiquement un modèle sur la base des configurations des équipements réseaux et des résultats des scanners de vulnérabilités du marché et des CMDB de l’entreprise afin de créer une topologie complète du système d’information et d’analyser l’ensemble des vulnérabilités présentes. Le modèle permet alors d’être enrichi par la définition et la valorisation des impacts métiers (confidentialité, intégrité, disponibilité) et/ou des contraintes réglementaires (NOX, PCI, etc). Les dépendances entre applications et systèmes peuvent être également définies afin de détecter les impacts indirects. Ceci permet de pouvoir définir un modèle de suivi pour les risques D6 et I8 de la circulaire CSSF 12/544, et d’avoir une cartographie réelle des équipements et de faciliter la documentation du patrimoine IT. »

Skybox, la boîte pour une RBA

« Skybox utilise les données collectées pour effectuer une simulation d’attaques non intrusive et calculer le risque induit par ces vulnérabilités. Elle dresse la topologie du réseau et les accès permis aux différents serveurs applicatifs. Cette analyse qui corrèle donc l’état des vulnérabilités présentes sur le réseau, la topologie de ce dernier et l’analyse de risque se rapportant aux serveurs applicatifs, est donc très précise. »

L’analyse contextuelle de Skybox est effectuée à l’aide d’algorithmes de simulation d’attaques qui est une technologie avancée propre à l’éditeur. Skybox permet dorénavant de détecter ces vulnérabilités qui sont celles qui sont réellement importantes dans le contexte technique et métier de l’entreprise. « Son calcul prend en considération l’analyse de risque établie en termes d’impacts CIA (Confidentialité, Intégrité et Disponibilité (Availability), ajoute Frédéric Lavend’Homme. Des solutions pratiques et adaptées seront alors proposées afin d’atténuer le risque dans un processus de suivi du changement via la gestion de ticket, exigences que nous retrouvons dans la circulaire du CSSF. Skybox Security aide alors à synthétiser les risques et leur niveau sur l’ensemble du système d’information de l’entreprise. Il sera alors possible de quantifier et qualifier le risque afin d’établir le rapport d’analyse de risque de la circulaire du CSSF. »

[colored_box color=”red”]

C’est dans la boîte

Skybox Security associe la modélisation du réseau, la détection des failles de sécurité sans intrusion, l’analyse prédictive et la simulation d’attaques pour définir des priorités et éliminer les risques

Les faits d’armes de SkyBox

Le retour sur investissement mesuré et rapporté par les clients est important :

• Réaliser plus d’économies

– Quantifier l’impact du risque et réduire de plus de 90% les couts d’évaluation des risques
– Réduire les coûts de gestion des correctifs de 80% par an
– Réduire les coûts de gestion de la conformité de 90%
– Diminuer de 95% le temps consacré à la résolution d’incidents
– Réduire de 80% le temps nécessaire à la gestion des pare-feux et modifications
– Diminuer les besoins en scans de vulnérabilités et les coûts associés.
– Réduire les couts d’audits et de pentests externes

• Réduire le risque métier

– Surveiller et conserver les niveaux de conformité voulus
– Réduire la durée d’exposition aux risques critiques à moins de 24H au lieu de plusieurs semaines, voire plusieurs mois.
– Automatiser la gestion des failles de sécurité afin de respecter les exigences des régulations.
– Assurer un time to market sécurisé des nouveaux services métiers
– Réduire proactivement le risque de cyber-attaque qui a couté 5.5 millions $ en moyenne à une entreprise en 2011 (étude du Ponemon Institute – 2011 cost of a data breach)

• Améliorer les processus

– Informations régulières sur les risques pour faciliter la prise de décision
– Simplifier les règles et les politiques de sécurité
– Réaliser l’analyse des routes en 10 secondes
– Optimiser et mieux utiliser les ressources sécurité
– Justifier des investissements en sécurité
– Réduire la dépendance aux compétences/savoir-faire spécialisés

• Améliorer la communication

– Entre les équipes
– Avec le conseil d’administration
– Avec les auditeurs (documenter et démontrer la conformité sur demande)

En conclusion, en réponse aux points importants de la circulaire, il sera possible de créer :

– Une gestion des risques de sécurité du patrimoine IT
– Une gestion des vulnérabilités tout en réduisant l’exposition aux risques de manière proactive
– Assurer une disponibilité métier avec une gestion du changement et la possibilité de simuler des scénarii
– Analyser la conformité des équipements de sécurité et du réseau de l’entreprise
– Avoir une gestion du changement assurant une conformité et une analyse des risques continue

[/colored_box]