Close
  • Français
  • English

30/04/2013RSA 2013, tendances, urgences et enjeux politiques ! [Par Thierry Rouquet et Laurent Hausermann, Arkoon]

De retour de la RSA Conférence à San Francisco il nous semble utile de faire un bref retour sur ce qui est le plus gros événement de la Cyber sécurité et qui permet de prendre le pouls de cette industrie à son épicentre.

1°) Plus de 20.000 participants, 350 Exposants et des dizaines de conférences

Même si  nous y allons  tous les ans nous sommes toujours impressionnés par l’énergie et le dynamisme de ce secteur qui croit à une vitesse remarquable : un tiers des exposants n’était pas présent il y a 2 ans. Le nombre de startup ne cesse de se multiplier notamment autour des thèmes APT et Big Data (le thème de RSA était cette année « Security is Knowledge) aidé en cela par une activité M&A intense et le succès des dernières IPO (PaloAlto, Splunk…). A ce propos tout le monde attend celle de la société « hype » du moment –  FireEye – pour plusieurs Milliards de dollars de capitalisation,  FireEye est un pionnier de ce que Gartner qualifie de « Next Generation Threat Protection Solution » (NGTP).  Nous ne résistons pas à l’envie de signaler qu’Arkoon met au point  une solution de NGTP  sur la base de son logiciel StormShield avec le concours du FSN (projet Midas).

2°) Le gouvernement US y était pour la première fois omniprésent 

Key notes du Secrétaire du DHS et du coordinateur Cyber à la Maison Blanche sur le thème « New directions from the White House » commentant largement  l’« Executive Order Cyber » promulgué par Barack Obama en Janvier ;
Deux membres du congrès Mike Rogers et C.A Dutch Rupperberger auteurs du « Cyber Intelligence Sharing  & Protection Act (CISPA) » honorés pour leur contribution dans le domaine des « public affairs » ;
Key notes de conclusion du Dr Condoleeza Rice ;
Plusieurs gros stands dans l’expo de la NSA, du FBI et du DHS.

Les  représentants du gouvernement étaient tous très offensifs (dans la lignée du rapport Mandiant) par rapport à la Chine avec un discours très martial. Mrs Rice, qui n’est plus membre du gouvernement mais dont il se dit qu’elle pourrait briguer l’investiture républicaine aux prochaines élections) considère que l’effort que doit faire le pays en 2013 pour se préparer à la menace Cyber et du même niveau que celui qu’a fait le pays après le 9/11. Il  semble que sur ce sujet  le Congrès soit à l’unisson et qu’il faille s’attendre à des décisions  dans les mois qui viennent en faveur d’un effort massif.

Dans la lignée de l’Executive Order ils ont également mis beaucoup d’emphase sur l’importance de la création des conditions de collaboration public / privé en matière de partage d’information.

Le monde de la Cyber est ici considéré par le gouvernement comme une « Industry » en tant que tel et elle n’est pas noyée dans les autres segments de la sécurité (civile, maritime, physique …) comme trop souvent chez nous. Elle est jugée hautement stratégique et la collaboration public / privé en matière d’échange d’information est un des principaux volets de l’Executive Order présidentiel traitant notamment des problèmes de responsabilités, particulièrement important dans le monde anglo-saxon, induits par le partage d’information très sensible.

3°) Les Allemands très présents

Même si l’événement est avant tout Amérique du Nord il y avait beaucoup d’exposants et de visiteurs Asiatiques, Sud-Américains et dans une moindre mesure Européens. Très peu de Français malheureusement, Oberthur, Qosmos, Thales e-security comme exposants, très peu de visiteur.  Nos amis Allemand étaient Gold Sponsor de la conférence et disposait d’un énorme stand sous la bannière TeleTrust (le réseau IT Security Germany)) et Ministère de l’économie et de la technologie  exposant une douzaine d’entreprise avec le label  « IT Security made in Germany »

4°) Les tendances

Décrypter les grandes tendances et les idées majeures de RSA Conférence 2013 n’est pas un exercice facile tant la conférence est riche de sujets, autant sur les aspects techniques que sur les aspects de gouvernance de la sécurité ou de  la gestion des risques. Ajoutez à ça une bonne dose de marketing des plus grandes sociétés de la planète et vous comprendrez la difficulté de l’exercice !

L’an passé le mot clef sur toutes les bouches était « APT » (Advanced Persistent Threat). Littéralement, APT se traduirait en Menaces Persistantes Avancées. L’actualité alors était les attaques déroulées avec succès sur l’entreprise RSA elle-même et qui avaient permis d’atteindre des cibles plus importantes comme Lockeed Martin.

Cette année, le buzzword reste le même, mais la maturité face à la menace s’affine :

A comme Advanced : Il devient de plus en plus évident pour toute la communauté que les solutions classiques de protection des postes de travail sont dépassées. Les antivirus fournissent un service nécessaire de nettoyage face aux attaques massives, mais ils ne sont plus efficaces lors d’une attaque ciblée. Les attaquants sont souvent très bien armés et intègrent très rapidement les dernières failles. Ils disposent de logiciels industriels pour mener leurs opérations. Ils utilisent des failles 0 Day, inconnues jusqu’alors.

Nuançons tout de même, dans de nombreux cas, la propagation des attaques est facilitée par la négligence des administrateurs et le manque d’investissement dans la formation du personnel et les mesures régulières de contrôles et de supervision.

P comme Persistent : Ne pensez plus que l’attaquant est à l’extérieur, il est déjà à l’intérieur de votre réseau. C’est le motto entendu toute la semaine à San Francisco. Les exemples fleurissent d’entreprises ayant mis plusieurs mois pour découvrir les intrus… et bien souvent par erreur lors d’une simple panne ! Ainsi, plusieurs startups s’intéressent à la détection des menaces intérieures ainsi qu’à la détection des communications vers les centres de contrôles (serveurs C&C).

Ce constat entraine un sentiment d’urgence partagé par le secteur public et privé. Ils cherchent ensemble des solutions, et les discours entendus dans les séances plénières étaient mobilisateurs : n’attendons pas, armons nous et défendez vos entreprises. Nous sommes au far-west de la cyber sécurité !

Pour se défendre, plusieurs tendances se dégagent :

Le Big Data est dans toutes les têtes. L’idée est séduisante. Il s’agit d’agréger l’ensemble des données des systèmes, de savoir les gérer avec des technologies (dont le fameux Hadoop) permettant des calculs sur un somme considérable de données, et de pouvoir ainsi mieux analyser les faits réels. A titre exemple simplifié, si l’on sait qu’un utilisateur se connecte à 8H00, qu’il utilise les serveurs de comptabilité, un évènement où il se connecterait à 4H00 du matin, depuis l’étranger pour tenter une connexion sur un serveur R&D est étrange. Ce qui me semble important c’est de pouvoir mesurer et voir des faits réels. Trop souvent il existe un écart important entre la perception et la réalité à propos de votre cyber sécurité. Bruce Schneier, l’explique sur son blog Security is both a feeling and a reality, and they’re different. You can feel secure even though you’re not, and you can be secure even though you don’t feel it. There are two different concepts mapped onto the same word — the English language isn’t working very well for us here — and it can be hard to know which one we’re talking about when we use the word. Le Big Data appliqué à la cyber sécurité nous aidera-t-il à combler ce gap ?

D’autant plus qu’une autre tendance forte s’affirme cette année : Security Intelligence. Au-delà des données techniques qui sont souvent mis en avant dans notre monde d’ingénieurs, d’administrateurs, de développeurs. Il s’agit de savoir qui est l’attaquant et pourquoi il est malveillant. Quelles données va-t-il chercher à extraire de votre entreprise ? C’est une approche à 360° qui n’est pas uniquement technique. Les produits et les services d’aujourd’hui devront évoluer pour prendre en compte cette dimension.

Un autre mouvement semble se dessiner : face aux enjeux colossaux en matière de cyber-sécurité, au « pillage » généralisé des entreprises américaines, le mot d’ordre semble être à la collaboration. Dans un pays anglo-saxon, où la culture libérale est très ancrée, il est étrange de voir autant de volonté du gouvernement et du privé de dépendre des uns et des autres en échangeant des informations, en diffusant des « Indicateur de Compromission » (IoC). Les attaquants accèdent à un marché noir des attaques, et se vendent des informations extrêmement utiles. La connaissance de ces attaques, des vecteurs d’infection, des méthodes de propagation ou d’exfiltration est essentielle.

Dernier tendance notable, le Cloud se banalise. Certes on entend encore dans les conférences toutes les problématiques concrètes qu’il peut soulever, mais il me semble que la panique première et l’aspect psychologique a été remplacé par un certain pragmatisme. Les données seront probablement plus sûres chez un fournisseur de confiance, à condition de lui imposer certains clauses clefs dans le contrat de service. Pour les européens, il faut toutefois veiller à la localisation de son data center et à l’origine des capitaux, le Patriot Act permettant à l’administration américaine de consulter les données sans démarche judiciaire poussée.

Pour conclure,

Les choses s’accélèrent sur le front de la Cyber outre Atlantique. Le dynamisme des acteurs privé qu’il s’agisse des éditeurs en place, des startup, des investisseurs et bien sur des entreprise cliente est catalysé par le pouvoir politique et l’administration qui a pris conscience de l’ampleur du « problème »  l’élevant au niveau de grande cause nationale considérant que c’est leur « leadership » et leur  position de première puissance économique du monde qui est en jeu avec à la clé les emplois et l’  « American way of live ».

Ci-après un lien You tube avec une partie des Key Notes de RSA  https://www.youtube.com/playlist?list=PLeUGLKUYzh_jQVMEoUTZWWg4ntwZW4Uh3
 

Par Arkoon Network Security   

Thierry Rouquet  –  Président  – trouquet@arkoon.net  

Laurent Hausermann – Directeur Technique  – lhausermann@arkoon.net