CS : le pari IDMEF pour promouvoir un "SMTP remontées d'incidents" dédié aux OIV

Rencontre: Thomas Girard Directeur Département Cybersécurité CS

 

Acteur incontournable sur le marché des OIV, CS a "découvert" le rapprochement entre Thales et Cisco aux Assises 2016 mais refuse de le commenter. En revanche,  CS place beaucoup d'espoirs dans ses efforts de normalisation autour du programme IDMEF. 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 Scada :

« A notre niveau d'intégrateur, on ne contrôle pas directement les COTS, sauf les couches liées à la supervision (niveaux 2 & 3). L'ensemble des autres couches et composants doit envoyer des informations au niveau supervision d’où la nécessité de définir un format, sorte de standard d’échange pour remonter ces données. L’approche n'est pas simple puisqu'elle suppose d'intégrer les spécificités sectorielles comme celles propres au monde nucléaire par exemple.»

 

Standards :

« Notre nouveau programme d'alliance IDMEF Partner Programpermet de favoriser l’interopérabilité en matière de cyber sécurité autour de deux standards IDMEF et IODEF ; et répondre ainsi aux nouveaux enjeux des opérateurs d’importance vitale (OIV) confrontés à certaines exigences réglementaires LPM (Loi de programmation militaire) et RGPD (règlement européen). L'idée est de construire aujourd’hui une équivalence en termes d’interopérabilité en cybersécurité , à ce qu’a été SMTP à l’interopérabilité des messageries dans les années 90.»

 

Solutions :

« Une version 2 de notre standard IDMEF existe depuis août 2016 et est désormais implémentée par les 7 acteurs ayant déjà rejoint notre IDMEF Partner Program. Il s'agit en pratique d'ajouter quelques lignes de codes afin d'offrir cette compatibilité (les librairies sont disponibles) dans les échanges au niveau des formats des messages, facilitant ainsi l’intégration et l’exploitation pour l’utilisateur final. Concernant le contenu, l'ensemble est chiffré via des standards cryptographiques du marché.»

 

Remontées d'incidents :

«Un autre format propre aux remontées d'incidents via une partie de notre standard se nomme IODEF (Incident Object Description Exchange Format) Ce nouveau standard va favoriser les échanges en matière de cyber-détection et remontées d'incidents via n'importe quelle plate-forme SOC / SIEM compatible avec ce standard.»

 

 

Chiffrement :

« Aujourd'hui les méthodes de chiffrement sont basées sur des fonctions mathématiques difficilement inversibles. Avec l’avènement des méthodes basées sur les calculs quantiques, il sera possible de les résoudre facilement. Autrement dit, tous les algorithmes de chiffrement actuels (RSA, etc.) seront dépassés car leurs résultats seront compromis. Il s'agit de résister aux procédures de résolution mathématiques à l’aide de machines quantiques. L’horizon peut être relativement court, 10 ou 20 ans, pour atteindre un nombre de « qbits » suffisants. C'est sur quoi nous travaillons actuellement chez CS ».

Propos recueillis par @jpbichard Cyberisques News

 

*Depuis 2014, CS pilote le projet SECEF (Security Exchange Format), en partenariat avec TelecomSudParis et CentraleSupelec, sous la direction de la DGA Maitrise de l’Information et en collaboration avec le COSSI (Centre Opérationnel de la Sécurité des Systèmes d'Information) de l'ANSSI. Ce projet vise à promouvoir et à améliorer les 2 standards existants (IDMEF- Intrusion Detection Message Exchange Format et IODEF- Incident Object Description Exchange Format) pour favoriser les échanges en matière de cyber-détection.

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

Rappels :

2013: http://www.cyberisques.com/index.php?option=com_content&view=article&id=113&Itemid=610

 

Communication corporate: 

le 3 octobre 2016 – Suite à de la deuxième édition du SECEF DAY organisé fin septembre à Paris, CS annonce le lancement de son nouveau IDMEF Partner Programpermettant de favoriser l’interopérabilité en matière de cyber sécurité et répondre ainsi aux nouveaux enjeux des opérateurs d’importance vitale (OIV).

Depuis 2014, CS pilote le projet SECEF (Security Exchange Format), en partenariat avec TelecomSudParis et CentraleSupelec, sous la direction de la DGA Maitrise de l’Information et en collaboration avec le COSSI (Centre Opérationnel de la Sécurité des Systèmes d'Information) de l'ANSSI. Ce projet vise à promouvoir et à améliorer les 2 standards existants (IDMEF- Intrusion Detection Message Exchange Format et IODEF- Incident Object Description Exchange Format) pour favoriser les échanges en matière de cyber-détection.

CS travaille ainsi à l’adoption de ces standards dans les solutions de sécurité. Dans ce cadre, l’IDMEF Partner Program consiste à assister les éditeurs de sondes de sécurité à rendre leur produit compatible au format IDMEF en lien avec le SIEM PRELUDE pour faciliter la remontée des alertes.

Lors du SECEF DAY ’16, 4 partenaires étaient présents pour présenter leur solution et démontrer leur interopérabilité avec Prelude SIEM grâce au format IDMEF :

  • NIDS haute performance : Stamus Networks
    Stamus Networks est un éditeur de sondes de détection d'intrusion réseau haute performance offrant des capacités d'extraction de données protocolaires ainsi qu'une administration centralisée.

  • Global SSO : ILEX - Sign&Go
    La solution Sign&go est modulaire et offre des fonctionnalités d’authentification renforcée, de Web Access Management, de Mobile Access Management, de fédération d’identités et de eSSO (ou « Enterprise Single Sign-On »).  C’est le premier produit de Global SSO.

  • Anti-DDoS : 6cure Threat Protection
    La solution 6cure TP permet d'éliminer en temps réel les trafics malveillants à destination des services critiques avec une philosophie simple : préserver l'intégrité et la performance des flux légitimes.

  • Anti-virus : Teclib' - Armadito
    Armadito est un tout nouveau projet d'antivirus open source modulaire et multiplateformes (Linux et Windows), qui fournit détection par signatures et modules d'analyse heuristiques. Une solution d'administration centralisée basée sur GLPI est en développement.

Trois nouveaux partenaires ont d’ores et déjà annoncé leur volonté de rejoindre le programme :

  • Darktrace, leader mondial de la technologie “Enterprise Immune System”, basée sur l’auto-apprentissage et des mathématiques Baysiennes

  • Quarslabs et leur solution de détection et d'analyse de malware IRMA (Incident Response & Malware Analysis). »

  • Sentryo et leur sonde de détection des réseaux machine-to-machine et des systèmes industriels critiques.

"La mise en place de ce réseau de partenaires nous permet de fédérer les acteurs de l'industrie Cybersécurité français autour d'un objectif commun : favoriser l’interopérabilité pour une cyberdéfense plus efficace. Cette collaboration s’inscrit dans une relation gagnante pour tous les acteurs : Prelude SIEM élargit le panel déjà important de sondes open-source compatibles IDMEF, les partenaires éditeurs s’intègrent plus facilement avec le SIEM français de référence et enfin le client final bénéficie d’un déploiement et d’exploitation de solutions de supervision de sécurité grandement simplifié." résume Gilles Lehmann, Responsable Prelude SIEM et porteur du projet SECEF.

Pour plus d’informations sur le projet SECEF : www.c-s.fr, www.secef.net et www.prelude-siem.com

 

 

Sophos lance Intercept X un concept d'ouverture au dela d'une technologie proactive

Communication PR Corporate / Article Cyberisques News: 

  

Sophos lance Intercept X un concept d'ouverture au dela d'une technologie proactive

 

 

 

A l'occasion de sa soirée partenaires au Pré-Catelan dans le Bois de Boulogne à Paris, Sophos a précisé son offre Intercept X "pré annoncée" le 15 septembre dernier (lire CP ci dessous) et disponible dès aujourd'hui 23 septembre.

 

20160922 193857

Michel Lanaspeze Sophos 

 

Chez l'éditeur Sophos (20% de croissance en 2015) le message adressé aux partenaires est simple: Indépendamment du type d'attaques y compris persistantes (APT...) pas plus de 24 techniques sont employées. Fort de ce constat, la nouvelle offre Intercept X lancée cette nuit à Paris maitrise les process propres a ces techniques. Selon l'éditeur, elle permet d'anticiper certaines cyber-attaques via des algorithmes d'observation du comportement.

 

Sophos rappelle également qu'il demeure l'un des rares éditeurs a équilibrer son CA entre 50% de revenus en Endpoint et 50% en Réseaux d'ou l'idée de "synchroniser" les deux afin d'établir des échanges "constructifs". Jusqu'alors ces échanges ne se faisaient qu'a travers des solutions "made in Sophos Land". Désormais avec Intercept X ( https://www.sophos.com/fr-fr/products/intercept-x.aspx ) et c'est une des grandes "révolutions" entamées par l'éditeur, l'ouverture s'effectue sur d'autres mondes.

 

A retenir cette phrase prononcée discrétement: "Nos vrais adversaires ne sont pas nos concurrents mais les cyber-attaquants" expliquent les dirigeants de Sophos France. Vers une alliance Intercept X entre éditeurs ? C'est en 2016 pratiquement une obligation pour échanger entre chercheurs les informations propres aux comportements et caractéristiques d'attaques et non plus seulement sur l'écriture des codes malveillants comme dans les années 2000. Bref la page des détections par signature est définitivement tournée et Sophos entend bien écrire la prochaine. Parions qu'elle concernera autant les ransomwares d'aujourd'hui que les cyber-chantages de demain sur les systemes industriels Scada par exemple ou la prise en otage d'algorithme financiers.   

 

En "beta test" au sein d'un établissement hospitalier, le version Intercept X livrée par Sophos au RSSI du centre de santé de Saint Flour a donné entière satisfaction selon le IT Manager. Reste a convaincre via les partenaires le client final, les acteurs SMB pour Sophos. Certaines entreprises de toutes tailles se montrent de plus en plus tentées par les solutions sécurisées offertes par les services Cloud. Là encore Sophos anticipe avec un nouveau portail dédié aux partenaires (voir en fin d'article) et une future extension d'Intercept X dans les mois a venir. Celle-ci pourrait bien faire la synchronisation entre services Cloud et services propres à l'entreprise. Un cloud "intermédiaire" sorte de "gateway secure" gérée par Sophos pourrait être "poussé" par l'éditeur notament aupres des "grands comptes" pour leur offrir une meilleure synchronisation de leur administration. C'est tout l'enjeu du projet Schrödinger chez Sophos. En trois mots on peut écrire: anticiper, synchroniser et ouverture. On sait que le chat de Schrodinger est une expérience de pensée imaginée en 1935 par le physicien Erwin Schrödinger, afin de mettre en évidence des lacunes supposées d'une interprétation. De là à ce que Sophos trouve des solutions aux innombrables lacunes de la cyber-sécurité.. A commencer par une réponse automatique aux attaques par exemple. Why not ?   

 

Pour Michel Lanaspeze, en charge des opération Marketing en Europe chez Sophos: "le blocage des exploits correspondant à l'identification des codes malveillants au niveau des comportements des applications, operating systems, navigateurs... Ce comportement correspond a des informations et analyses issues de plusieurs bases de connaissances Big data organisées selon les 24 familles d'exploits représentatifs des méthodes employées depuis que les réseaux se sont développés. C'est le cas par exemple des exploits identifiés lors de dépassement de mémoire (Buffer overflow). Cette approche économise les mises a jours nécessaires avec la méthode dite "de signatures" et surtout identifie de nouvelles "variantes" d'exploits. Elle correspond a un besoin réel sur le marché SMB (entreprises de tailles moyennes). Le coeur logiciel lié aux services d'administration est hébergé sur le cloud de Sophos ce qui est tres utile pour les petites structures. Enfin, nous n'excluons pas l'idée de développer sur les mêmes bases de services une offre pour les grands comptes tournée vers une administration interne".

 

 

(Suite de l'article réservée aux abonnés de Cyberisques News)

 

 

@JPBICHARD

 

 

 

 20160922 202149

 

  

 

Paris, le 15 septembre 2016 –Sophos (LSE: SOPH), leader mondial de la sécurité des réseaux et des systèmes Endpoint, annonce aujourd’hui Sophos Intercept X, un produit next-generation pour la sécurité des systèmes Endpoint, capable de bloquer les malwares zero-day, les variantes d’exploits inconnues et les attaques furtives. Il inclut également des capacités anti-ransomware innovantes pour détecter et bloquer les attaques de ransomwares inconnus. Sophos Intercept X s’installe aux côtés des solutions de sécurité Endpoint de n’importe quel éditeur, renforçant immédiatement la protection des systèmes en bloquant les codes malveillants avant qu’ils ne s’exécutent. 

 

 

 

SOPHOS-TREND-2016

Source Sophos 2016

 

 

Sophos Intercept X comprend quatre composants de sécurité critiques, que les administrateurs sont en droit d’attendre d’une protection Endpoint next-generation :

1.    Détection sans signature des malwares et des exploits: Protection anti-malware capable de bloquer les menaces zero-day, les attaques inconnues et résidentes en mémoire, ainsi que les variantes de menaces, sans nécessiter l’examen (scan) des fichiers.

2.    CryptoGuard: Anti-ransomware innovant qui identifie et intercepte les activités de chiffrement malveillantes, pour bloquer les ransomwares avant qu’ils n’endommagent et verrouillent les systèmes, et qui permet de restaurer les fichiers chiffrés à leur état d’origine avant l’attaque.

3.    Analyse détaillée des attaques (Root Cause Analytics): Outil d’analyse visuelle à 360 degrés du cheminement des attaques permettant instantanément de remonter à la source du problème, d’identifier les composants et systèmes affectés avant le blocage de la menace et de recommander les actions pour prévenir des attaques similaires dans le futur.

4.    Sophos CleanOutil puissant de nettoyage en profondeur des attaques, capable d’identifier et d’éradiquer toute trace des spywares et des malwares les plus imbriqués et persistants dans le système. 

 

 

« Sophos est un éditeur de solutions de sécurité next-generation qui se place à la pointe de l’innovation grâce à sa compréhension de l’évolution des menaces, des besoins et des défis auxquels doivent faire face les entreprises. En se basant sur des analyses de type  Big Data ainsi que sur notre expertise étendue des caractéristiques des attaques, de leurs vecteurs de diffusion et du  comportement des cybercriminels, nous avons conçu Intercept X pour détecter les comportements malveillants et bloquer les attaques potentielles très en amont et sans signatures. » déclare Dan Schiappa, Senior Vice President du Enduser Security Group de Sophos.  « Les professionnels de la sécurité sont bien conscients qu’aucune technologie ne peut à elle seule bloquer toutes les attaques. C’est pourquoi nous avons développé Intercept X, afin de pouvoir accélérer l’identification et les réponses aux attaques en associant plusieurs techniques d’une façon coordonnée, permettant ainsi aux équipes informatiques d’être plus efficaces sans avoir besoin de recruter des experts en sécurité. »

 

 

Conçu comme un composant clé de la stratégie de sécurité synchronisée élaborée par Sophos , 
Intercept X s’appuie sur la technologie 
Security Heartbeat pour partager des informations sur les menaces avec le pare-feu Next-Gen de Sophos, XG Firewall , et SafeGuard Encryption, afin de coordonner et d’automatiser les réponses aux attaques.

La solution est déployée et administrée à distance grâce à Sophos Central, une console d’administration basée sur le Cloud qui permet de configurer et contrôler les paramètres de sécurité, distribuer les licences, ajouter de nouveaux systèmes Endpoint et superviser l’activité. Les Partenaires Channel de Sophos bénéficient en outre d’un tableau de bord leur permettant en un coup d’œil de faire le point sur les services de sécurité déployés, pour proposer un niveau de protection supérieur à leurs clients et développer leur offre de services.

 

 

Tony Palmer, Senior Analyst des Labs du cabinet ESG, ajoute: « Selon ESG research, de nombreuses organisations ont déjà déployé à grande échelle des produits de protection avancée, tels que les solutions antivirus next-generation, et d’avantage encore prévoient de mettre en place des techniques de détection et réponse avancées. Malheureusement, beaucoup d’entreprises n’ont pas les compétences nécessaires pour tirer pleinement parti de de ces nouvelles capacités d’analyse de la sécurité et doivent faire face à une pénurie d’experts en cyber-sécurité. Avec Intercept X, Sophos permet à des entreprises de toutes tailles de bénéficier des nouvelles capacités offertes par les technologies de protection et de réponse avancées, sans nécessiter de consultants spécialisés en sécurité pour les administrer. ESG Lab estime que Sophos Intercept X apporte une excellente contribution au renforcement de la sécurité, en comblant bon nombre des lacunes qui persistent encore dans les protections Endoint des organisations du monde entier. » 

 

 

Les Clients et Partenaires ayant participé au programme public de Beta ont pu juger sur pièce les fonctionnalités next-generation de protection de Sophos Intercept X, et en particulier sa capacité à éliminer la pression des ransomware en détectant et bloquant presque immédiatement les activités de chiffrement malveillantes et leur diffusion sur le réseau. Une fois la menace neutralisée, les fichiers affectés sont restaurés dans leur forme initiale, économisant ainsi une quantité considérable de temps de ressources et d’argent. 

 

 

« La décision d’installer Sophos Intercept X à côté des protections Endpoint en place ne devrait pas faire l’ombre d’une hésitation. Dans le cadre du programme de Beta, nous avons déployé Intercept X sur plus de 2000 systèmes Endpoint, sur les réseaux de plus de 70 clients. A ce jour, Intercept X a bloqué plus de 18 nouvelles attaques de ransomware, et depuis le déploiement nous n’avons constaté aucune infection par ransomware sur les réseaux de nos clients. Nous préférons ne pas penser aux dégâts qu’auraient pu causer ces attaques chez nos clients si nous ne les avions pas bloquées. Sophos Intercept X est une nécessité pour toute société sous le feu des multiples variantes de ransomware et autres menaces qui apparaissent chaque jour. »  déclare Emily Adams, IT Security Analyst chez Flexible Systems, un partenaire Sophos basé à Hauppauge, dans l’état de New York aux Etats-Unis.

 

 

Bob Appleby de PA Computer Connections, un Partenaire Sophos basé aux Etats-Unis, observe: « Installer Sophos Intercept X à côté d’une solution de protection Endpoint en place est une opération simple et efficace. Nos observations sur ses performances lors de la période de Beta ont révélé qu’Intercept X bloque les menaces plus rapidement et fournit une analyse complète et claire des attaques, nous permettant de réduire le temps entre la première infection et la remédiation. Ce produit améliore significativement la protection des clients, quelle que soit la protection Endpoint en place. ».

 

 

Emile Belcourt de Globelink, un partenaire basé au Royaume-Uni, déclare: « Intercept X représente une nouvelle génération de protection complète pour les systèmes Endpoint. Son déploiement fait partie des transitions les plus simples et fluides qu’il m’a été donnée de faire ; la visibilité qu’il m’apporte sur ce que mes utilisateurs négligents ou font pour se laisser infecter est sans égal. Je suis vraiment enthousiaste à la perspective de partager mon expérience d’Intercept X avec les responsables informatique surmenés que je rencontre dans les entreprises aujourd’hui. Cela va rendre leur vie plus simple et leur libérer un temps précieux pour faire ce qui est réellement important, sans avoir à se préoccuper de garder constamment un œil sur ce qui se passe. Je suis également impatient de voir comment  Intercept X va continuer à se développer pour nous permettre de rester à l’avant-garde de la protection contre des malwares toujours plus malins, et ce à un prix acceptable pour tous. »

 

 

James Miller, directeur général de Foursys, un partenaire basé au Royaume-Uni, déclare : « Notre équipe technique a testé Intercept X dès qu’il a été disponible en Beta. Tout le monde est préoccupé par les ransomwares, et Intercept X sera une protection supplémentaire bienvenue pour tous nos clients qui utilisent Sophos Central et désirent élever encore leur niveau de protection avec une protection next-generation contre les menaces et les exploits. Avec la capacité de détecter les menaces et les exploits sans signatures, une solution anti-ransomware innovante et l’analyse détaillée des attaques dans une même solution, Sophos simplifie une fois encore une fois ce qui était jusqu’alors un processus complexe et difficile – et c’est ce qui fait d’Intercept une solution vraiment unique. »

 

Sophos Intercept X est disponible à la vente aujourd’hui et une évaluation gratuite est disponible sur la page Web d'Intercept X.

 

Les Partenaires peuvent aller sur le site Web Partenaire Sophos 

 

 

 

Naked Security News

Sophos Blog

Blog Sophos France

Visions technos et marchés: Thierry Cossavella, DG de Athena Global Services

  Cyberisques NEWS Vision techno Marché: 

 

 

ESET, Thierry Cossavella, DG de Athena Global Services : nouvelle version ou/et nouvelle techno ?

 

 

L'éditeur de solutions de filtrage anti malware ESET le dit clairement par la voix de son représentant en France Thierry Cossavella, DG de Athena Global Services: « sur les systèmes SCADA, ESET est un des rares éditeurs a être retenu notamment par des industriels tels que Renault.» (cf Section BONUS 1 ).

Sans pour autant proposer une solution dédiée aux environnements SCADA, l'éditeur fait observer que ce logiciel est le seul a être encore écrit en assembleur « d’où une réduction considérable de l'occupation de l'espace mémoire car Nod32 est seulement à 100 méga d'emprunte mémoire. » souligne t-on chez Athena.

La nouvelle version annoncée cette semaine (jeudi 26 février 2015 dispose d'une nouvelle console de gestion distante avec de fonctionnalités de type protection des mobiles et conformité aux nouvelles règles des audits exigés par les instances de réglementation. Bon nombre de fonctions ont été "automatisées" ainsi que la vitesse de traitement des "scan" toujours sans impact pour les temps de réponse de l'utilisateur.  C'est un "Plus" de la technologie ESET.

 

APT-Durée-de-présence-229-jours-Cyberisques.com-Sept-2014

 

Courant 2015, une version compatible open source est prévue. Mais l'essentiel n'est plus seulement dans la technologie « pure et dure » déjà éprouvée mais sur de nouvelles innovations face aux évolutions des malwares et des techniques d'attaques. Une nouvelle version d'anti-virus en 2015 doit aussi prendre en compte la manière dont les hommes appréhendent plus ou moins facilement des outils dans un souci de réactivité face à des attaques de plus en plus complexes. C'est ce que semble avoir compris ESET. Les équipes de l'éditeur sont situées au coeur de l'Europe à Bratislava pas très loin de la fameuse école mathématique hongroise. Elles produisent des solutions de détection particulièrement « légères » dans leur déploiement et dans leur fonctionnement.

Légère, ESET continue à l'être en fonctionnant avec à peine 1000 collaborateurs et toujours en mode start-up sans se soucier par exemple de créer des filiales (trop onéreuses en taxes) ni a réaliser de nombreuses croissances externes. C'est habilement joué au plan stratégique. Techniquement, c'est une autre affaire. Comme tous les autres éditeurs de la familles des « anti-virus » les ingénieurs d'ESET affrontent les difficultés liées à de nouveaux challenges, connus de tous les chercheurs en 2015.

Parmi ces défis posés par les attaquants, les APT (Advanced Persistent Threat) bien sûr mais aussi la sécurité des objets connectés par définition peu sécurisés donc vulnérables. Coté techniques d'attaques, le « spear phishing » existe toujours comme les infections en mode « Watering hole » une forme spécifique d'APT via l'infection de sites WEB qui « redistribuent » leurs codes malveillants. Cette dernière cybermenace est de loin la plus « populaire » actuellement parmi les groupes de cyber-attaquants. Et ESET comme beaucoup d'autres éditeurs apparait en difficulté pour contrer cette nouvelle génération de cyber-attaques très offensives. Du coup la question sur les annonces des éditeurs AV peut se résumer à la nouvelle version correspond t-elle à une nouvelle technologie ? 

TEST-AV-2015

Source: https://www.virusbtn.com/vb100/latest_comparative/index

 

Il y a moins d'un an, un groupe de cyber-attaquants a créé un faux site avec le contenu d'un vrai (GIFAS : Groupement des industries françaises aéronautiques et spatiales) (2) Tous les experts et spécialistes se rendant sur ce site étaient infectés « automatiquement ». Il s'agit d'une approche habile coté attaquant pour « polluer » toute une communauté rapidement. Les internautes ciblés par une action de type « Watering hole » sont souvent sollicités et encouragés avant de se rendre sur les sites par une action de « spear phishing ». Le lien entre Spear phishing et Watering hole est de plus en plus avéré. Ces enchaînements de « bad process » déroutent beaucoup de chercheurs chez les éditeurs d'anti-virus.

Suite à une sollicitation de type Spear phishing, l'utilisateur clique sur un lien qui le dirige sur une page web compromise ou un faux site WEB avec des pages infectées. Cette approche amène les éditeurs d'anti-virus aux limites de la détection "classique" de malwares. Aujourd'hui, la plupart des cyber-attaquants savent contourner certains anti-virus basés sur de la détection de signatures en émettant plusieurs nouvelles variantes de leurs codes malveillants chaque jour. A ce rythme, les éditeurs « trainent » pour réaliser la mise à jour de leur base aussi rapidement que les "updates" des malwares ! On voit là le basculement que nombre d'experts constatent: les cyber-attaquants mènent de plus en plus la danse. Comment reprendre l'initiative pour contrer les cyber-menaces ? Début 2015, la question demeure sans réponse.  

D'autres attaquants conçoivent des malwares furtifs qui « désactivent » les anti-virus et les pare-feu. Nous allons faire face à une situation périlleuse d'autant que d'ici fin 2015, plus de 75% des employés aux États-Unis travailleront régulièrement à distance. Les risques seront de plus en plus forts pour l'exposition des données d'entreprises sensibles qui deviendront dès lors, sorties de l'entreprise, une cible encore plus facile à atteindre pour les pirates. Des nouvelles peu rejouissantes. Les risques de compromission des serveurs pour voler des données et les revendre ne peuvent que croître. Face a ces évolution que proposent les éditeurs comme ESET ?  

 

HP-AV-Variations-Cyberisques-NEWS

 Source HP report 2015

 

ESET doit relever le défi d'enclencher un nouveau cycle d'innovation pour répondre aux « évolutions » imposées par des cyber-attaquants de plus en plus "compétents" (lire cyberisques NEWS : Panorama du CLUSIF).

Le cycle technologique des "bases de signatures" s'essouffle. Au delà de nouvelles versions basées sur des technologies connues, l'avenir est aux éditeurs disposant d'un réservoir d'intelligence hors nome, de nouvelles technologies testées en phase "beta" et d'un faible turn over des équipes. Cette stratégie forme la pierre angulaire du développement des anti-virus de demain adaptés aux cyber-attaques...d'aujourd'hui.

Selon Thierry Cossavella, cette approche correspond à celle d'ESET. On veut bien le croire. ESET pas plus que les équipes d'Athena ne nous ont habitué aux mensonges. Tant mieux pour la communauté ESET. Le représentant d'ESET Athena vise pour 2015 sur le marché français  25% de croissance et une dizaine de grands comptes (plus de 5000 postes) nouveaux à conquérir. Le reste du chiffre se fera sur les renouvellements: Conseils généraux, Mairies, Hopitaux et....quelques sites SCADA. 

Jean Philippe Bichard     

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts. 

 CP-ESET-FEV-2015

 

BONUS :

http://www.welivesecurity.com/2014/12/18/cybercrime-trends-predictions-2015/

 (1) Lire le témoignage de Jean-Claude Esteve IT Manager Renault sur le déploiement de solutions ESET en environnement industriel (à partir de 2mn50) https://www.youtube.com/watch?feature=player_detailpage&v=kTxzF2bgZGU

 https://www.virusbtn.com/blog/2014/10_13.xml

 (2) GIFAS cf « Sécurité et espionnage informatique » Cédric Pernet Eyrolles 2014

  

FIC 2016: ANNONCES SOLUTIONS et TECHNO Eset, Thales, Scalair, Dell, Sophos, Cisco...

FIC 2016: ANNONCES SOLUTIONS TECHNO

Tendances solutions Cyberisques

 

ESET étend à VMWare son offre de protection d'environnements virtuels

 

On connaissait, ESET Virtualisation Security la protection des serveurs et des machines virtuelles

d'ESET. Désormais, le millésime 2016 apporte ESET Virtualisation Security pour environnements

VMWare, une solution de protection pour les parcs de machines virtuelles VMware.

 

 

Les nouvelles solutions de sécurité adaptées pour les environnements virtuels permettent de fonctionner en mode « agentless ». C'est une des options que propose ESET avec sa dernière offre pour les environnements VMware, très présents au sein des grandes entreprises. Cette approche optimise le fonctionnement des postes et serveurs en supprimant les agents sur les machines. Le fonctionnement de ces systèmes s'en trouve simplifié. Chaque composant « virtuel » du réseau de l'entreprise fait appel à des API reconnues par les hyperviseurs. Ces modules API établissent des canaux de communication entre les serveurs virtuels et les hyperviseurs.

Pour Benoit Grunemwald directeur marketing chez Athena, distributeur exclusif d'ESET en France, « cette nouvelle offre va nous permettre de cibler des entreprises de plus grandes tailles souvent dotées d'un parc de machines VMware. Pour y parvenir, nous allons conclure des accords de partenariats avec de grands intégrateurs connus pour leur expertise en cybersécurité. Nos programmes de certification interne aux solutions ESET vont nous permettre de qualifier les hommes et leurs organisations. »

Pour les ingénieurs d'Eset cet enrichissemnt de l'offre de base permet de gérer en toute facilité les analyses antivirales et les mises à jour des fichiers de signatures à partir d'une console unique. Ce choix permet aussi de générer un « Reporting » pour un aperçu complet de la sécurité de l'ensemble des composants virtuels d'un SI. Le moteur d’analyse peut s'installer directement sur les hyperviseurs des principaux éditeurs. Ce qui rend la solution ESET compatible avec l'ensemble des principales offres du marché. Précisons que l'option « sans agent » sur les postes garantit une optimisation maximale des ressources des machines virtuelles. Les mises à jour ne s'effectuent plus serveur par serveur mais via le serveur virtuel de sécurité.

Le mode agentless permet également d’alléger la charge sur chacune des machines virtuelles. La gestion s'effectue via http://support.eset.com/kb3589/?viewlocale=fr_FR. Précisons que les offres multi-environnements d'ESET sont supervisées par un outil d'administration qui centralise la gestion de la sécurité via une appliance compatible avec VMware vShield Endpoint.

 

Virtualisation-1-Cyberisques-NEWS-2016

Source ESET 2016

 

Autre module dédié à la protection des environnements virtuels, ESET Share local cache est un utilitaire qui peut être installé dans un environnement virtuel pour stimuler de manière significative la performance des produits ESET installés sur les machines clientes virtualisées. Dans les environnements virtualisés, plusieurs serveur sont souvent basés sur la même image de base. Il en résulte un grand nombre de fichiers identiques stockés sur différentes machines virtuelles. ESET Shared Local Cache évite toute forme de redondance en surveillant les fichiers en double. L'outil enregistre les fichiers qui sont déclarés propres après avoir été analysés. Enregistrée, l'information est disponible pour tous les « postes » clients dans l'environnement virtuel qui sont en communication avec ESET Shared Local Cache. Les fichiers non modifiés qui ont déjà été déclarés propres ne seront pas analysés par d'autres clients.

Pour ESET cette annonce correspond à une nouvelle étape pour se développer auprès de s grands comptes. La qualification de sa nouvelle offre aupres de l ANSSI semble être le seul frein apparent à cette dynamique pour l'éditeur européen désormais classé 5eme acteur mondial en solutions de filtrage par le Gartner. Pour Benoit Grunemwald « notre approche des problèmes avec l ANSSI est partagée d'autant que ESET en tant qu'éditeur slovaque ne pose pas de problème de souveraineté ». Le manager d'Athena rappelle aussi en se situant a un plan purement organisationnel que la nouvelle offre d'ESET s'accompagne au plan commercial d'un système de licencing qui permet une évolution agile et économiquement intéressante.

@jpbichard

 

 

Architectures virtuelles : 3 options pour placer les agents de « sécurité »

Dans un monde physique le trafic passe par les composants des couches basses déjà sécurisés (switch, routeurs...). En environnement virtuel, un seul câble existe et des centaines de machines VM au niveau applicatif peuvent « communiquer » entre elles sans aucun filtrage sécuritaire. Il faut donc installer des couches applicatives de sécurité entre machines VM. (firewalls, intégrité de l’hyperviseur …) Ces fonctionnalités sont généralement installées sur les machines virtuelles pour protéger les communication transitant directement sur les hyperviseurs.

·       Sur la partie serveur physique, un agent est installé avec plusieurs fonctions. Sur la partie virtuelle, on dispose de trois options :

·       1- on conserve l'agent comme sur les machines physique mais peu de gains

·       2- « Thin Agent « : on place un micro programme qui s'intercale avec un autre agent light qui travaille avec des API sur le serveur hôte (qui héberge les différents VM et Superviseurs)

·       3 - Dernière solution : sans agent. Cette option n'existe que chez VMWare que rejoint aujourd'hui ESET avec son offre basée sur VMware vShield, le module sécurité de Vmwxare. D'autres éditeurs envisagent d'ouvrir leurs APIs.

 

BONUS Eset: 

http://www.eset.com/fr/business/endpoint-protection/endpoint-security/

------------------------------------------------------------------------------------------------------------------------------------

 

Cisco : rapport annuel sur la sécurité 2016, 92 % d'équipements vulnérables

 

Pour Cisco la sécurité doit se faire au niveau des infrastructures et des composants réseau. Christophe Jolly en charge de la commercialisation des solutions de sécuritéchez Cisco France le rappelle en listant certaines acquisition du constructeur « Sourcefire, Iron et récemment open DNS … est d'autres nous intéressent en raison de la valeur ajoutée qu'ils offrent comme capteurs d'informations complémentaires a nos routeurs et switch ».

 

Selon Cisco, sur un échantillon de 115 000 équipements installés chez des clients Cisco, 92 % d'entre eux ne sont pas à jour et donc vulnérables.

 

« Il faut autant observer le comportement des composants réseau que des utilisateurs » affirme le représentant de Cisco ;

 

Principaux enseignements de l étude Cisco :

 

- 34 millions de dollars « exfiltrés » via le total des campagnes dues aux ransomwares

 

- Vulnérabilités sur les navigateurs : 85 % des entreprises touchées

 

- lors d'une attaque 21 % des entreprises informent leurs partenaires, 18 % les autorités et 15 % leurs compagnies d'assurance

 

 

 

--------------------------------------------------------------------------------------------------------------------------------------

 

 

Thales au Forum International de la Cybersécurité

 

Les 25 et 26 janvier, Thales participe au Forum International de la Cybersécurité à Lille Grand Palais. Le Groupe présentera son savoir-faire en matière de protection des données et de cybersécurité pour les Opérateurs d’Importance Vitale (OIV).

 

Protection des données critiques : les clés de la sécurité
Les solutions de Thales, leader mondial des solutions de chiffrement, protègent la confidentialité, l’intégrité et la disponibilité des données. 
Le Groupe présentera au FIC deux solutions :

 

  • Cyris for Outlook
    Cette solution spécialement développée par Thales et intégrée nativement à Microsoft Office 365 est directement accessible depuis l’application de messagerie Outlook. Elle permet de chiffrer des fichiers lors du transfert et stockage par email.
  • Teopad
    Thales a développé Teopad qui permet, sur un smartphone ou une tablette, de créer une bulle distincte, cryptée et dotée d’un environnement dédiée aux applications professionnelles. Ces dernières restent accessibles en toute sécurité, sur le même appareil que les applications personnelles.

 

BONUS Thales:

Cybersécurité : stratégie globale pour opérateurs d'importance vitale
Leader européen de la cybersécurité, Thales s’inscrit dans une démarche globale, sur le long terme, pour accompagner les OIV dans la mise en place de leur stratégie de transformation numérique et de leur politique de sécurisation de leurs systèmes d’information les plus critiques. Les opérateurs d’importance vitale constituent une cible de choix pour les terroristes et activistes de tout bord pour lesquels la cyberattaque est devenue une arme privilégiée. 

Thales propose une offre modulaire et exhaustive qui intègre quatre étapes essentielles : prévention, protection et détection, réaction et opération. Ces quatre étapes représentent les piliers de l’offre de cybersécurité de Thales.

 

-----------------------------------------------------------------------------------------------------------------------------

 

 

Le Cloud souverain sécurisé doit permettre de lever les barrières sécuritaires du Cloud au sein des entreprises françaises

 

 

Scalair présente son offre de Cloud souverain, fondée sur une infrastructure et une sécurité 100% françaises, pour une protection optimale des données et ressources des entreprises.

 

 

Hem (59), le 21 janvier 2016 – Scalair, architecte de Cloud souverain, sera présent sur le FIC 2016 – Stand F6 – en tant qu’acteur de la cybersécurité en Nord-Pas de Calais, au sein du Cluster CN&CS d’Euratechnologies.

 

Lors du FIC 2016, les experts-sécurité de Scalair expliqueront comment le Cloud souverain sécurisé reposant sur une infrastructure et des technologies de sécurité 100% françaises répondent aux enjeux sécuritaires des entreprises, notamment dans un contexte d’exigences règlementaires fortes quant à la protection des données. 

 

La Règlementation Européenne sur la protection des données, une opportunité pour les acteurs français du Cloud

 

A l’heure où les cyberattaques se multiplient, et alors que l’Europe incite à renforcer la sécurité des données et à conserver les données personnelles de leurs clients sur le sol européen (cf. invalidation du Safe Harbor, nouvelle réglementation sur la protection des données, etc.), l’enjeu de la sécurité pour les entreprises estplus important que jamais.

 

En matière de déploiement de projets Cloud, la sécurité demeure un frein majeur, si ce n’est LE frein majeur pour les entreprises françaises. Celles-ci ont encore clairement du mal à franchir le cap de perdre physiquement le contrôle de leurs données et de leurs ressources informatiques.

 

Le cabinet PAC souligne d’ailleurs que les entreprises hésitant à passer au Cloud sont indécisà 48% pour des questions de sécurité.

 

Georges Lotigier, Président de Scalair déclare : « La règlementation Européenne sur la protection des données ou encore l’invalidation du Safe Harbor, sont des incitations positives pour que les entreprises sécurisent mieux leurs données. Cela doit être une formidable opportunité pour les acteurs français du Cloud computing et inversement, cela peut inciter les entreprises à faire appel de manière plus automatique à des solutions 100% françaises, clairement compétitives face aux acteurs internationaux du Cloud qui n’offrent pas les mêmes garanties. Scalair propose aux entreprises une offre de sécurité 100% française, des Datacenter et des équipes de sécurité de proximité pour une protection optimale de leurs données et ressources, etc. A titre d’exemple, Microsoft ne dispose pas de Datacenter en France ».

 

Des offres de Cloud souverain 100% sécurisé, avec consommation des ressources à la demande

 

L’offre de Scalair répond aux deux problématiques majeures du Cloud : le coût et la sécurité.

 

Les entreprises souhaitent de plus en plus se diriger vers des environnements mutualisés avec un paiement à l’usage car elles ne veulent plus payer de la ressource informatique nonutilisée. Les entreprises ont besoin d’être réactives, d’aller vite, et de bénéficier de ressources informatiques disponibles immédiatement pour déployer de nouveaux projets. C’est généralement dans le cadre de ces nouveaux projets que les entreprises s’orientent vers le Cloud avec un paiement à l'usage pour être réactives et agiles, tout en conservant la possibilité de tout arrêter si le nouveau projet ne prend pas. 

 

En réponse à ces besoins, Scalair propose des offres de Cloud scalables avec une consommation à la demande permettant aux entreprises d’estimer leur consommation de ressources.

 

> La sécurité fait partie intégrante de l’ADN de Scalair :

 

Lors du FIC 2016, Scalair présentera notamment un nouvel outil de management de machines virtuelles dont l’objectif est de permettre le pilotage des ressources dans le Cloud et d’intégrer une brique de sécurité permettant d’avoir en temps réel, un audit de vulnérabilités des VM.

 

BONUS Scalair: 

Scalair s’appuie sur plusieurs partenariats avec des acteurs français de la sécurité informatique : Vade Retro Technology, Denyall, Wallix, 6cure, Stormshield.

------------------------------------------------------------------------------------------------------------------------------------------------

 

 

 

Dell fait la démonstration en avant-première mondiale de sa nouvelle solution anti-malware sans signature basée sur l’intelligence artificielle

 

 

Les experts Dell de la sécurité du poste de travail et de la protection des données seront présents les 25 et 26 janvier, stand G5, sur le FIC à Lille

 

 

Unifier les politiques de sécurité, répondre aux exigences de conformité internes et externes dans le respect des objectifs fixés en matière de gouvernance, tout en gagnant durablement en agilité, s’avère souvent un casse-tête pour les entreprises et organisations.

 

Pour satisfaire les besoins des différents services, les équipes IT procèdent souvent par silos au moyen d’outils spécialisés avec des politiques de sécurité dédiées. Problème : la multiplication des silos d’information élargit la surface d’attaque de l’entreprise en même temps qu’elle nuit à la productivité des utilisateurs.

 

L’approche modulaire  de bout en bout préconisée par Dell apporte une réponse concrète à ces préoccupations des DSI et des RSSI.

 

A l’occasion du FIC 2016, Dell fera la démonstration en avant-première mondiale de sa nouvelle solutionDell Data Protection | Endpoint Security Suite Enterprise qui se présente comme une révolution dans la manière d’aborder la sécurité du poste de travail.

 

Conçue à partir du constat que les systèmes anti-malware actuels atteignent leurs limites et que les attaques avancées et ciblées obligent les organisations à revoir leur stratégie en termes de sécurité du poste de travail, Dell a développé une protection de nouvelle génération contre les menaces  et propose désormais une solution révolutionnaire de protection sans signature basée sur l’intelligence artificielle et utilisant une approche mathématique.

 

Au programme du salon:

 

Dell organise une démonstration technique de cette solution révolutionnaire en direct le mardi 26 janvier à 16H30 au salon FIC.

 

  •          Sécurité des données et du poste de travail

 

Démonstrations et renseignements des solutions de chiffrement, d’authentification et d’anti-malware sur le stand G5. Christophe Escudier, Responsable des Ventes et Francois Baraër, Ingénieur avant-ventes se rendront disponibles pour un entretien.

 

  •          Sécurité Réseaux

 

Retour sur les nouveautés en matière de protection périphérique avec Florian Malecki, Directeur Marketing Produits International, Dell Network Security 

 

 

 ----------------------------------------------------------------------------------------------------

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 BONUS: 


FIC2016: SOLUTIONS TECHNOS http://bit.ly/1NmBRsv

FIC2016: MARCHES – PARTENARIATS http://bit.ly/23gT56i

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires