Pouvez-vous vous présenter ?
Je suis Laurent Heslault. Je travaille chez Symantec depuis 15 ans. Je travaille dans ce que l’on appelle le « Office of the CTO », où je suis actuellement un « cybermétéorologue ». Cela signifie sentir les tendances cyber qui vont arriver, à court et moyen terme. Je dois aussi m’assurer que nos clients disposent des technologies pour les prochaines tendances cyber qui arrivent. Je dois également, entre autres, réaliser des analyses de typologie de cyberattaques. Je suis de plus, membre du CESIN, le club des RSSI Français.
Qu’est-ce que Symantec ?
Symantec est une entreprise qui a presque 40 ans, et qui vient d’être rachetée par une énorme entreprise, Broadcomm, qui fait des semi-conducteurs. Broadcomm est en train de démarrer un pôle software, et pour cela ils ont racheté Symantec et Computer Associates ; il semblerait que ça ne soit que le début.
Quelle est la proportion des virus traditionnels par rapport aux nouveaux risques cyber, à ce jour ?
Aujourd’hui, les virus en tant que tels, il n’y en a plus. C’est fini. Aujourd’hui, dans les collectes qu’on fait sur le net, 0,001% des malwares sont des virus informatiques. Maintenant, ce sont plutôt des mélanges. J’ai d’ailleurs tendance à les appeler « maliciels ». Ce terme exprime quelque chose : il y a des logiciels, et il y a des maliciels.
Quelle est la stratégie principale de Symantec ?
Notre travail, ce sont les quatre points suivants :
- Sécurité des endpoints (terminaux, au sens large)
- Sécurité web-network
- Sécurité de la messagerie
- Sécurité Cloud
Ce sont les quatre grands piliers de ce que l’on fait à Symantec. Finalement, il n’y a que les identités que l’on ne fait pas, à part ce qui est lié à l’authentification. Nous ne faisons pas tout ce qui est gestion d’identité, gestion de privilèges. Et la tendance cyber aujourd’hui, c’est d’aller vers le zero-trust.
Qu’est-ce que le « Zero-trust » ? Que pensez-vous de cette philosophie ?
On est à une époque charnière de la cybersécurité et de la protection des données. Comme les risques sont de plus en plus nombreux et importants, les services d'informatique doivent être renouvelés sans cesse. Avant, on était en mode « confiance », jusqu’à 2004-2005 où est apparue la première vague de cybercriminels motivés par l’argent. Cela correspond au mode « trust » mais « verified ».
De plus en plus de personnes se tournent vers le « zero-trust ». C’est une philosophie, plus qu’une technique. Avec « Zero-trust », on considère tout comme hostile. L’origine de cette philosophie vient de loin, c’est une référence biblique. « Un jour il n’y aura plus de périmètre. » Dans les années 2004, c’étaient des modes Châteaux-forts avec les pare-feux, la DMZ, etc…, où tout était dans l’entreprise : les applications, les données, … C’est ce qu’on appelle le JerichoForum qui a engendré ce nouveau modèle. L’esprit, c’est comme le mur de Jericho, c’est dire : « il n’y a plus de murs, il n’y a plus de périmètre ». Il n’y a plus vraiment d’intérieur et d’extérieur. En fait avec le modèle zero-trust, on va inverser le paradigme « je me connecte et je me log », et faire « je me log, et on me connecte ». Tout se passe sur la couche 7 (couche application) du modèle OSI, ce qui est très intéressant d’un point de vue sécurité.
Est-ce que le zero-trust va provoquer des changements au niveau des technologies ? Notamment concernant la technologie VPN ?
S’il y a une technologie qui doit partir, c’est le VPN – Virtual Private Network ; puisque le principe du VPN c’est de déporter le réseau de l’entreprise vers l’extérieur. Donc le zero-trust, c’est la mort du VPN. En plus, le coût du VPN est énorme, c’est extrêmement cher. C’est donc sûr, c’est la techno qui disparaît. Tout le reste (pare-feux, …) ça ne change pas ; il faudra juste probablement changer les règles. Il n’y aura aussi peut-être plus de DMZ (Zone Démilitarisée), ça n’aurait plus tellement de sens.
Et au niveau du BYOD – Bring Your Own Device -, est-ce que le zero-trust change quelque chose ?
Justement ! Le zero-trust va pouvoir renforcer le BYOD. Le CSA – Cloud Security Alliance – appelle cela le SDP – Software Defined Perimeter – c’est-à-dire de la micro-périmétrisation. Cela signifie que l’on périmétrise au niveau du device, de l’application.
Si on regarde ce que le CSA préconise, on va identifier qui vous êtes, identifier le device, identifier votre localisation, identifier éventuellement d’autres éléments, et en fonction de cela, on va tomber sur ce que l’on appelle le droit de reconnaître. On est alors dans un schéma qui plaît beaucoup aux militaires : « tu es là, tu as ce job-là, tu as ce profil-là, donc tu as le droit de savoir ça et rien d’autre. » Contrairement aux entreprises, où l’on voit bien trop souvent : tous les postes sont admin ou il y a des serveurs de fichiers un peu partout, etc.
Quels sont les principes nécessaires pour mettre en place le modèle zero-trust ?
Ce qu’il faut, c’est conserver visibilité (avec le chiffrement, c’est problématique) et analytique (toute la problématique big data), et la deuxième couche, c’est l’automatisation et l’orchestration.
À Symantec, nous ne faisons pas de solution d’automatisation et d’orchestration, mais Splunk si, avec Phantom, ou encore Resilient d’IBM. Ce sont des outils qui vont permettre de créer des roadbooks en disant : « s’il se passe ça, on détecte quelque chose de malveillant. Alors, ce code malveillant est envoyé dans la sandbox 1, ensuite le proxy est notifié de ne pas laisser passer ce code malveillant, on attend la réponse de la sandbox, et en fonction de cette réponse ce code est envoyé à quelqu’un d’autre, etc »
Ces outils font finalement ce que nous faisions à la main auparavant.
Quelle a été votre position concernant la mise en place du RGPD ?
Le RGPD a été pour nous quelque chose de très important. Nous savions déjà que ça allait arriver depuis 6 ou 7 ans, via les juristes avec qui nous collaborons. En même temps, le RGPD s’appuie beaucoup sur des lois déjà existantes comme La Loi Informatique et Liberté ; on ne peut pas dire que ça vient d’arriver. La protection des données, c'est un sujet qui est abordé depuis un moment déjà.
Le RGPD fait partie des éléments où l’on a le « droit » d’analyser les mails dans la mesure où c’est pour l’intérêt commun, l’intérêt de nos clients.
A Symantec, on collecte et on filtre les données informatiques. La procédure est très claire, tout est publié – ce que l’on fait, comment, … ? – ce qui n’est pas comme certains qui restent volontairement opaques sur le sujet. Nous ne gardons pas les mails. Ils passent à travers des passerelles, ils sont nettoyés, puis on clique sur les liens, on regarde ce qu’il se passe, et on ouvre les pièces-jointes dans des sandbox quand il y en a.
Quelle est la volumétrie de données que vous collectez par jour ?
On collecte énormément de volumétrie à travers ce qu’on appelle le GIN – Global Intelligence Network ; c’est un datalake. On collecte 100 To de logs par jour ! Il faut donc que ce soit un minimum automatisé. Tout est compilé, analysé, … Il y a beaucoup de Splunk aussi, beaucoup d’outils automatiques, parce qu’avec l’EDR, on a multiplié le nombre de logs par 3, voire 10 dans certains cas.
Nous avons également des boîtes mails qui imitent le comportement humain : les mails sont reçus puis ouverts avec suivi des liens, donc ce n’est pas juste « on scanne les mails ». Dedans, il y a une tonne d’Intelligence Artificielle.
Comment gérez-vous cette quantité de données ? Avez-vous développé des solutions permettant de répondre à vos besoins d’automatisation ?
Quand on récupère autant d'informations dans un SOC, les analystes sont noyés dans les logs. En deux ans, nous avons développé un analyste SOC premier niveau virtuel. On n’a plus d’analyste SOC premier niveau, c’est dorénavant du Machine Learning. Cet outil ne génère quasiment aucun faux-positif ; et quand un doute subsiste, un analyste prend la main. On a multiplié par 10 le nombre d’incidents qu’un analyste peut traiter, avec ce procédé. C’est essentiellement du Machine Learning assez classique. On commence à rentrer un peu dans le deep neural, qui permet de détecter des attaques, comme typiquement DragonFly 2, détecté sur cinq machines. Plus il a de données, plus il s’enrichit et plus il est « fort » ; cet outil, Smoke Detector, est extrêmement performant, car il détecte des attaques extrêmement ciblées. Pour Stuxnet, il y avait eu 100 000 détections. Avec ces outils-là, nous sommes capables de détecter des choses de plus en plus fines.
Avec le modèle Zero-trust, on met tout en sandbox dans la dernière version de ce produit, Smoke Detector.
Comment gérez-vous le sandboxing ?
Nous savons que certains virus se comportent différemment s’ils sont dans un environnement particulier.
C’est pour cela que nous avons des fermes de vraies machines, de vrais téléphones, lorsqu’il y a un doute sur la sandbox. Là encore, la machine est pilotée par du Machine Learning, puisqu’elle va cliquer et effectuer des actions pour imiter le comportement humain. Après, il y a eu un moment où cette mode du virus qui détecte qu’il est dans une machine virtuelle et qui ne fait rien était importante. Là comme on est sur une explosion de PowerShell, c’est beaucoup plus difficile à détecter.
Pouvoir tout sandboxer en même temps, c’est une technologie que l’on met au point depuis longtemps – 17 ans – qui est à la base une sorte de host IDS, que l’on a réduit. Chaque processus voire programme va tourner de manière isolée, sur la machine. Nous avons deux catégories de sandbox :
- Jail : c’est facile de rentrer mais pas de sortir
- Castle : c’est difficile de rentrer, mais c’est facile de sortir
Nous possédons une base de tous les exécutables de l’Internet, que ce soit l’exécutable en lui-même ou un simple hash. Alors, lorsque l’on voit arriver quelque chose, on a une idée de sa réputation. Si c’est la première fois qu’on le voit, il va en jail. Quand c’est un exécutable qu’on connaît, il va dans castle. Dans le cas où c’est un malware, il est supprimé directement. Donc plus un seul exécutable ne s’exécute tout seul. Et ça, on est absolument les seuls à faire ça aujourd’hui.
L’angoisse est le faux-positif, mais avec cette base de réputation, on va mettre l’exécutable en quarantaine.
Quelle est la tendance actuelle d’un point de vue de type d’attaque ?
Aujourd’hui, les attaques se font de plus en plus avec PowerShell ; ce sont plus des comportements qu’autre chose. Nous n’utilisons quasiment plus notre base de signatures antivirales. Aujourd’hui, dans les produits de protection, c’est essentiellement du Machine Learning qui va capter environ 60-70% des malwares. Beaucoup sont aussi captés au niveau du réseau, car il utilise aussi une partie d’Intelligence Artificielle sur les signatures (comme IPS).
Aussi, on voit de plus en plus de codes malveillants qui discutent avec la maison mère en mode chiffré. Le problème est qu’en entreprise, entre 50 et 90% des flux sont chiffrés. D’où la mise en place de passerelles de rupture de protocole, pour casser le chiffrement et voir ce qu’il se passe. Si on ne peut pas le casser, c’est que ce n’est pas un flux de l’entreprise et qu’il est potentiellement malveillant.
Au niveau des antivirus ou des EDR, le traitement/l’analyse se fait de quel côté : plutôt serveur ou plutôt client ?
Tout se fait côté client. C’est d’ailleurs cela qui est bien avec le Machine Learning, il détecte des patterns, et la tendance qu’on a aujourd’hui dans les labs c’est de faire du Machine Learning distribué, c’est-à-dire de faire profiter tout le monde de ce qui peut être détecté à un instant T.
C’est la sandbox qui va être dans le cloud plutôt, pour la sandbox de détonation, parce que la sandbox pour la partie hardening, elle est sur la machine. S’il y a un souci – par exemple que ce soit trop lent - avec la sandbox de détonation, on la détonne dans une vraie machine.
Y a-t-il beaucoup d’entreprises qui sont, en France, dans une démarche de « Hack Back » ?
Moi, je n’en connais pas. J’étais au séminaire de l’OCDE sur le sujet. Tout le monde est très réservé sur le « Hack Back ». Quand on fait une analyse de risques sur ce sujet, elle est très mauvaise. De l’avis général, le « Hack Back » au niveau des entreprises, c’est super risqué, puisque le retour de bâton peut être bien pire que ce que ça a donné à la base.
L’idéal serait quand même de pouvoir prévoir le déroulement d’un programme pour l’arrêter avant. Y aurait-il ce genre de technologie à Symantec ?
Aujourd’hui, grâce au Machine Learning, nous avons analysé le comportement de près d’1 milliard de malwares, et nous sommes capables de détecter aujourd’hui à hauteur de 93% de réussite, le coup d’après. Cela nous permet d’arriver avant qu’il arrive à sa partie malveillante. Ça marche très bien, et on l’a étendu aux utilisateurs, pour les prévenir de ne pas cliquer sur un lien…
