Par Jeremy Bellaiche, Regional Vice President chez Tanium
Pour les entreprises, plus particulièrement du secteur financier, la pandémie de Covid-19 a accéléré l’adoption des systèmes d’information distribués. Mais, face à la complexité croissante de gestion de ce type d’architecture réseau, de nombreux Responsables de la Sécurité des systèmes d’Informations (RSSI) ont du mal à les sécuriser efficacement. En effet, les entreprises du secteur financier s’appuient encore sur des solutions de gestion et de sécurisation des endpoints traditionnelles. Développées à l’origine pour des systèmes d’information centralisés, ces solutions sont désormais inadaptées. Les systèmes distribués ont besoin de solutions basées sur des concepts décentralisés – comme les solutions basées sur des agents et construites sur une architecture dite chaîne linéaire.
Les systèmes basés sur une architecture distribuée sont désormais la norme dans la plupart des entreprises du secteur financier. Cette tendance existait déjà avant la pandémie, mais elle s’est accélérée avec la généralisation du recours au télétravail. L’intégration et la sécurisation d’une grande diversité d’endpoints aux normes de sécurité variées représente un défi immense pour les RSSI. Souvent, ils se trouvent incapables d’identifier l’ensemble des endpoints présents sur leur réseau, et encore moins de déterminer l’état de leurs correctifs. Beaucoup craignent les efforts organisationnels et techniques que cela implique, mais surtout d’impacter le fonctionnement de leur réseau, voire de provoquer involontairement une panne !
Résultat : les failles de sécurité ne sont pas comblées à temps, voire pas du tout. Il s’agit d’un problème grave auquel il faut remédier le plus rapidement possible. En 2020, les entreprises du secteur financier restaient la cible majeure des cyberattaques et les failles de sécurité non comblées au niveau des endpoints étaient l’une des portes d’entrée principales pour les cybercriminels.
Des solutions traditionnelles inefficaces
Avec une architecture réseau distribuée, les solutions traditionnelles de gestion des endpoints atteignent rapidement leurs limites. Les données, généralement en silos et datant de quelques heures, jours, voire semaines, empêchent d’obtenir une visibilité sur l’ensemble des actifs du réseau. Ceci entrave la bonne gestion des correctifs et, in fine, le maintien d’une posture de sécurité efficace.
Le secteur financier n’est pas le seul à être confronté à ce problème. Contre les nouvelles cybermenaces qui ciblent les systèmes distribués, les systèmes d’informations équipés de solutions traditionnelles ont donc peu de chances de résister. Avec ces solutions, il faut plusieurs jours aux directions informatiques pour collecter les données de chaque endpoint connecté au réseau – avant de pouvoir les analyser et de commencer la chasse aux vulnérabilités ou aux anomalies suspectes.
Les agents, une approche intéressante mais problématique
Pourtant, il existe une technologie qui permet aux administrateurs de garder automatiquement et efficacement un œil sur les systèmes distribués : c’est ce que l’on appelle des agents – des petits logiciels qui permettent d’identifier de manière exhaustive les postes d’un réseau et de les surveiller automatiquement en temps réel.
Pour ce faire, des agents sont d’abord installés sur tous les postes connus. Ils recueillent alors des informations sur le matériel et les logiciels installés. En outre, ils recherchent dans son sous-réseau d’autres postes, jusqu’alors inconnus. A cet effet, ils dressent d’abord la liste des adresses MAC et IP dont on sait qu’elles sont déjà attribuées à une machine précise. Ils envoient ensuite des requêtes à toutes les adresses comprises entre deux adresses IP connues, donc censées être occupées. Les appareils ainsi découverts reçoivent leur propre agent et l’opération se répète ainsi tant que c’est nécessaire. De cette manière, il est non seulement possible de localiser les machines cachées, mais aussi d’obtenir des informations détaillées sur le matériel, les logiciels installés, la configuration et l’utilisation des données ainsi que les interactions possibles entre les différents postes.
Cependant, l’utilisation d’agents a souvent posé des problèmes aux RSSI car les performances du réseau étaient parfois dégradées avec cette architecture. Entre-temps, une solution à ce problème a fait son apparition : les agents qui fonctionnent via une architecture en chaîne linéaire.
L’architecture en chaîne linéaire comme solution…
Jusqu’à présent, les agents ont surtout utilisé une architecture en rayons ou en arbre. L’inconvénient lié à ces deux approches est un fonctionnement trop centralisé qui peut engendrer une baisse des performances. Avec une architecture en chaîne linéaire, tous les postes sont impliqués dans la transmission des données. Chaque agent installé sur une machine est régulièrement informé par le serveur de l’état actuel de tous les postes à proximité. Ces informations permettent à un agent de se connecter automatiquement à un autre agent pour recevoir et/ou transmettre des informations.
Les postes ainsi connectés commencent alors à former des chaînes linéaires. Pour transférer une demande ou une action à chaque machine du réseau, le serveur qui adopte cette architecture n’a qu’à envoyer l’information à un petit nombre d’agents situés au début de ces chaînes, puis à recevoir les réponses de tous les maillons de la chaîne. Cette architecture permet une utilisation beaucoup plus efficace des agents en termes de ressources comme en termes de vitesse d’exécution.
… aux applications diverses : gestion des correctifs, détection des cybermenaces et réponse aux incidents
Le système permet également aux agents de déployer automatiquement des correctifs sur tous les endpoints – sans trop solliciter les ressources du réseau, comme le serveur interne de l’entreprise ou le serveur cache.
La détection des menaces et la réponse aux incidents en bénéficient également. Grâce à une visibilité complète sur toutes les machines présentes, les indicateurs de compromission, les anomalies, peuvent être recherchés plus efficacement. En outre, la visibilité accrue facilite l’analyse forensique. En effet, les données historiques et les données obtenues en temps réel peuvent désormais être comparées rapidement et facilement à tout moment sur un poste suspect. Les équipes d’intervention peuvent ainsi sécuriser plus rapidement et de manière ciblée le réseau. La détection, l’investigation et la correction des menaces au niveau des postes clients des systèmes distribués peuvent ainsi être traitées beaucoup plus efficacement qu’auparavant.
En particulier pour le secteur financier, qui s’appuie de plus en plus sur des systèmes distribués, les solutions de gestion des endpoints basées sur des agents et reposant sur une architecture de chaîne linéaire constituent un point de départ plus qu’intéressant pour reprendre le contrôle de leur réseau. Les RSSI peuvent ainsi davantage automatiser la sécurisation de l’ensemble du réseau, sans avoir à se soucier de la surcharge de leurs ressources réseau et d’une panne potentielle au milieu de leurs activités quotidiennes.