Il y a quelque temps, notre ancien Lutessien Samba Koita et également ancien Systems Engineer (Ingénieur avant-vente pour les non-initiés à la langue de la reine Elizabeth) chez RSA Security est venu nous faire une présentation sur un produit de sécurité informatique.
Bon, on l’avoue c’était aussi l’occasion de se retrouver pour l’apéro #lalcoolestàconsommeravecmodération
Mais comme on n’a pas la prétention de vous apprendre des choses sur l’apéro, on préfère vous en dire un peu plus sur la sécurité des systèmes d’information.
Présentons donc le produit RSA « NetWitness Suite »
Avant de présenter quoi, présentons qui !
Au sein des clients finaux et intégrateurs, des cellules d’élite, appelée SOC (Security Operation Center) bravent contre vents et marées les attaques de pirates (non, ne pense pas à Jack Sparrow, c’est pas ce genre de pirates) et interviennent à des niveaux techniques et organisationnels.
Les systèmes de détection et d’analyse en temps réel, utilisés par le SOC fonctionnent grâce à des produits de sécurité, et notamment le NetWitness.
Non, RSA ne produit pas que des porte-clés pour t’authentifier sur ton PC
RSA (on croit savoir à quoi vous pensez, mais non… ce n’est pas ça) est le leader de la solution de Token dans le monde.
Cette société a été rachetée en 2006 par EMC (elle-même rachetée en 2015 par DELL… ON NE S’EN SORT PLUS).
RSA a été créé par les fameux et tant reconnus Ronald Rivest, Adi Shamir et Leonard Adleman, tous 3 co-inventeurs de l’algorithme de chiffrement asymétrique.
Ces petits génies ont créé un système d’authentification forte:
1. Le mot de passe (A ne pas oublier, quand bien même il s’agirait de #de45AR@alPha) 2. Ce que tu possèdes (ton empreinte digitale ou ton SecurID par exemple)
⚠️ : Pour les moins techniques, accrochez-vous un peu !
Le principe du produit NetWitness est de se baser sur un OTP (One-time Password). –SecurID va donner un code généralement à 6 chiffres qui changera toutes les minutes. Au préalable, il y aura un code PIN à connaître. Ton mot de passe sera : Ton code PIN + Le code donné par le SecurID.
Une fois que le mot de passe sera tapé, le serveur d’authentification forte SecurID, fera une comparaison avec le mot de passe écrit, en se basant sur un calcul (c’est déjà assez compliqué, on ne vous fera pas l’affront de vous donner le dit calcul)
Ce mot de passe, est par exemple, utilisé pour les applications bancaires (comme ça on est à peu près sûr que Jack ne viendra pas te voler, Moussaillon !)
Ce produit est plutôt complet donc don’t worry, be happy
Mais, trêve de bavardages !! Focus sur Netwitness !
Quelques chiffres pour commencer :
☝🏼 82% des systèmes peuvent être compromis, en moins de temps qu’il n’en faut pour dire « Jack », tout ça à l’aide de petits logiciels malveillants, phishing, etc. ☝🏼 Et jusqu’à 99% des données peuvent être récupérées par les vilains pirates.
A savoir que, plus l’attaque est longue, plus elle est peut être fatale pour votre Système d’Information, forcément, sinon c’est moins drôle hein.
Les différents équipements de sécurité réseaux donnent finalement ce qu’ils veulent bien donner au SIEM mais sans réelle corrélation. En effet, l’information peut être visible en un coup d’œil et Netwitness peut identifier les menaces grâce à l’analyse comportementale.
Si le produit est reconnu par plusieurs entreprises c’est, qu’en plus de traiter les logs, la Suite NetWitness peut capturer les paquets réseaux et la combinaison des deux peut faire quelque chose de magique. (oui, quand on commence à s’émerveiller de ce genre de chose , c’est qu’on a atteint le level Pro du Geek)
OOOHHH mais on vous voit venir, vous, OUI vous #pointagededoigt.
Vous vous demandez combien de temps on peut garder tout ça ? (bon si vous vous demandiez autre chose, faites semblant et mettez votre question en commentaire)
Donc bien évidemment n’importe quelle attaque, demande une réactivité à la The Flash, mais comme nous n’avons pas tous été touché par la foudre (révisez vos DC Comics) le mieux est de garder les informations 7 jours.
Le réseau n’est pas seulement en écoute, votre ordinateur aussi
Les postes des utilisateurs sont surveillés avec le EndPoint.
En effet, comme dit précédemment le produit fait de l’analyse comportementale en fonction de vos activités (Oui bah personne n’aime être observé mais c’est l’jeu ma pov Lucette).
Pour citer un exemple :
M. Raymond a l’habitude de commencer sa journée de travail à 9h. Mais un beau jour, un pirate prend la place de M. Raymond et commence la journée à 3h du mat. Ce comportement anormal (déjà qui est debout à 3h du mat ??) va être détecté, une alerte va être donné aux analystes qui vont se charger de bloquer la menace.
Voili voilou, c’est tout pour nous, pour les infos complémentaires, il faudra s’adresser au super cool Samba Koita 🤗
