Lundi 23 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Des neurones contre les intrusions

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 10/03/2004 - indexel.net
 

Pour se protéger des attaques applicatives, la Cegedim a choisi de confier sa protection à un réseau de neurones formé à la détection des intrusions, même inconnues.

 

"Cela faisait près de trois ans que nous observions les attaques s´orienter vers des cibles applicatives, et non plus seulement réseau. Nous voyions clairement la tendance en nous penchant sur nos logs et en observant les alertes de nos IDS (Intrusion Detection Systems, systèmes de détection d´intrusion, ndlr). Nous savions bien qu´il faudrait que l´on s´occupe de ce problème tôt ou tard", se souvient Charles Delorme (photo), responsable de la cellule Architecture réseau Internet et Sécurité chez Cegedim, une société de services spécialisée dans le domaine de l´information médicale.

Un vrai problème de sécurité

"Le pare-feu ne joue finalement plus vraiment son rôle face à de telles attaques : il garde son rôle de séparateur de zones, c´est en fait un simple routeur filtrant. En dehors de ça, il laisse passer les flux. C´est un vrai problème de sécurité", poursuit le responsable. Face à ce constat d´incapacité, la Cegedim se met à la recherche d´une solution de filtrage applicatif capable de venir épauler le pare-feu. Une quête d´autant moins aisée qu´elle a débuté il y a deux ans, alors que le marché n´était pas vraiment mûr. "Nous avons même imaginé ne rien faire, et continuer à suivre notre routine de veille et d´application des correctifs, en comptant sur nos IDS entre les deux. Nous avons aussi pensé utiliser ces derniers en les laissant piloter les pare-feu afin de fermer les ports à la volée lors des attaques. Mais nous nous sommes finalement tournés vers le filtrage applicatif", explique Charles Delorme.La quête va cependant s´avérer plus difficile que prévu. "Les solutions du marché ne nous paraissaient pas adaptées. Nous avons testé par exemple les solutions de type Deny All, mais à l´époque elles étaient très chères, difficiles à configurer et ne fonctionnaient qu´à l´aide de signatures ou d´expressions régulières, ce qui amène une exploitation très contraignante. Et nous n´avons rien trouvé de bien du côté de l´Open Source, non plus", regrette le responsable.

La détection des comportements anormaux

C´est alors que Cegedim entend parler d´un boîtier en cours de développement qui permettrait de s´affranchir de la configuration spécifique et de l´écriture de règles. "L´idée de la détection des comportement anormaux nous a séduits ! Surtout parce que nous éditons aussi nos propres applications et il nous semblait pratique d´avoir un produit qui permette de ne pas devoir entrer des exceptions pour chaque développement. Et l´apprentissage était un plus à nos yeux par rapport aux faux positifs, nombreux avec les autres solutions et les IDS ! ".La société accepte de prendre un boîtier en bêta test et le place immédiatement en production. "Le nombre de faux positifs a immédiatement été extrêmement réduit, voire nul. Et nous avons pu nous rendre compte rapidement de l´efficacité du boîtier : nous avons subi une attaque de type CSS (cross-site scripting, ndlr) qui a attiré notre attention car nous n´avions pas l´habitude de la voir. En nous renseignant nous avons découvert qu´il s´agissait d´une attaque qui venait à peine d´être publiée. Le boîtier ne l´avait jamais vue auparavant lui non plus, mais il l´a bloquée parce que pour lui un tel comportement avait 99% de chances d´être une attaque", se félicite Charles Delorme.

Depuis, la société a adopté définitivement l´Intelliwall de Bee Ware et elle ne le regrette pas : "le boîtier remplit parfaitement son rôle de pont entre le moment où la faille est découverte et celui où nous appliquons le correctif. Il ne demande aucune maintenance : tous les faux positifs ont disparu après un unique entraînement, à l´exception d´un seul, spécifique à nos applicatifs, parce que nous utilisons une redirection dans un contexte qui peut laisser croire à une attaque. Mais pour le reste, le boîtier est efficace et autonome", conclut le responsable.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages