Managed Security Services : le client doit avoir une vision à 360° de sa sécurité

La sécurité dans le domaine ICT devient chaque jour de plus en plus complexe. Entre les services de gestion des identités et des accès, le chiffrement des connexions et de la messagerie, la protection contre les attaques, la sécurisation des données, le contrôle du trafic voix sur IP et données, les entreprises n’ont souvent plus ni le temps, ni les ressources, ni les compétences nécessaires pour embrasser l’ensemble du spectre de la (cyber)sécurité.

 

Des niveaux de SLA précis

D’où une tendance à externaliser tout ou une partie de ses opérations. C’est un marché important qui devrait passer selon le Gartner de 9,2 milliards € l’année passée à plus de 18,9 Md € d’ici 2017. Le profil idéal de l’opérateur à qui on va faire appel est facile à cerner : il faut prendre en compte l’étendue de son expertise et de son portefeuille de services en la matière, l’importance de son réseau de renseignements au fait des toutes dernières stratégies d’attaques, la robustesse de ses outils de monitoring et la précision de ses niveaux de services garantis.

 

Corrélation d’évènements

Pour les directions informatiques, la transparence des services est cruciale. Il faut être en capacité de pouvoir indiquer au client où ses données des événements vont être stockées, comment elles vont être analysées et comment les données du client vont être protégées contre des attaques externes en cas de « hosting » auprès du ISP/MSSP. Dans ce cadre, la classification des données et la corrélation d’événements devient centrale dans la mise en place de nouveaux principes de protection touchant à l’accès aux données sensibles. Le service managé de sécurité doit aussi être capable de donner une visibilité et des capacités d’analyses inédites sur les menaces afin de réduire de façon tout à fait significative les temps de détection et de réponse aux attaques de sécurité. Il doit s’agir d’un service d’intelligence qui va permettre de contrer plus rapidement les attaques de type « zero-day ».

 

Services proactifs de sécurité

Les fonctions intelligentes d’auto-apprentissage du comportement des utilisateurs et les services proactifs de sécurité doivent permettre aux directions informatiques d’avoir accès à des informations décisionnelles sur la sécurité. Les outils de NBA (Network Behavior Analysis) permettent d’analyser le comportement du réseau à partir de mécanismes spécifiques développés par des équipementiers comme Cisco Systems (NetFlow) ou Juniper Neworks (cFlow). Les systèmes de NBA collectent les données et, à partir d’une modélisation relationnelle du fonctionnement du réseau, construisent une analyse de son activité afin d’en détecter les anomalies et de formuler les réactions les plus adéquates.

 

Systèmes NBA

Les outils de NBA permettent de détecter des comportements qui sont passés au travers d’autres dispositifs de défense comme les systèmes de pare-feu et de prévention des intrusions. Ils constituent des outils précieux pour la défense du réseau avant, pendant et après les attaques de types Botnet et DDoS. On les utilisera également pour détecter les tentatives de phishing. Cette analyse, pour rester proactive, se fera en connexion avec les systèmes d’informations et d’analyses des organisations mondiales dédiées à la recherche dans le domaine de la sécurité comme le CERT, ISACA, FIRST, CIRCL ou CASES.

 

Rapports de trafic intelligent

Le dernier point fondamental d’un service géré de sécurité est la clarté de ses rapports d’événements, qui doivent également inclure le trafic voix et vidéo sur IP. Ces rapports d’évaluation du comportement du réseau en matière de sécurité et des anomalies vont comporter des informations sur l’état global du réseau, des anomalies de trafic, le nombre et les catégories d’alertes (malware, saturations par déni de service, vers, botnet,…), les équipements les plus sensibles et les applications les plus « à risque ».

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *