lundi 23 juillet 2018    || Inscription
 
 

Après l’organisation, la responsabilité du RSSI est de choisir les solutions technologiques qui offrent le plus large spectre d’analyse et la plus grande profondeur dans les différentes couches du SI. Passage en revue de ces grands types.

La première recommandation est de s’appuyer sur des solutions capables de s’implémenter sur les différents postes de travail de l’entreprise, indépendamment de leurs types et de leur localisation. Aujourd’hui, les solutions les plus performantes ne s’appuient pas seulement sur des approches basées uniquement sur les signatures mais disposent de capacités de détection comportementale, de scoring des plates-formes cloud ou encore d’émulation. De même, ces solutions doivent être capables de prendre en compte le maximum de protocoles distincts : IP, Host, URL ainsi que des services liés à la réputation des fichiers. Attention cependant à ne pas s’appuyer sur des solutions de filtrage d’adresses fermées (IP, URL ou sender email) car celles-ci ne sont plus opérationnelles à cause des faux positifs. A contrario, des solutions de ce type qui s’appuient sur une communauté gérée dans le cloud permet d’avoir une approche dynamique. Une solution alternative est l’approche Machine-readable Threat Intelligence (MRTI) qui permet d’adapter dynamiquement les périphériques reliés au réseau en fonction du changement des menaces en s’appuyant sur des flux intelligents fournis par des standards comme STIX ou TAXII.

Il convient également d’activer les capacités de DLP (Data Loss Prevention). La plupart des solutions modernes de gestion des politiques de sécurité disposent de ses capacités, au moins les fonctions de base, afin de détecter non seulement lorsque des données sensibles sont prises en charge mais qui permettent d’appliquer simplement des politiques à ces prises en charge. Nous reviendrons en détail sur leurs mises en place à différents niveaux du SI : réseau, serveurs, identification de données… ainsi que sur les différents mode de fonctionnement.

Un autre point clé est de s’assurer de l’intégration des solutions SIEM (Security Information & Event Management) avec les autres opérations et les solutions d’analyses des menaces. La totalité des solutions de sécurité créent des logs des activités & événements. Les solutions SIEM permettent de consolider ces données dans des plates-formes d’analyse plus vastes afin de corréler, explorer et rapporter les comportements et les événements de manière intégrée, offrant ainsi ce que l’on appelle la priorisation des ressources.

On prendra également soin d’implémenter des solutions de déchiffrement SSL pour les connexions entrantes et sortantes afin de contrer les attaques ou les malwares qui utilisent des sessions chiffrées SSL. Pour les gros volumes, on privilégiera des appliances de déchiffrement SSL pour permettre l’inspection de multiples technologies de sécurité ou pour supporter des environnements à haut débit.

Enfin, on prendra soin d’utiliser au maximum les capacités VPN -soit au niveau réseau, soit au niveau applicatif- ou encore des technologies de défense périmétrique Software Defined.

Dans la 3ème partie, nous verrons comment protéger efficacement selon le type de contenu (web, mail, applications…) ou encore le type d’attaques : DDOS, Intrusion, Phishing ainsi que les principaux moyens d’automatisation.