Alors que Guillaume Poupard, DG de l’ANSSI, a appelé les entreprises à recloisonner leurs systèmes d’information pour mieux protéger les ressources les plus essentielles, VMware propose une autre approche avec la virtualisation comme pivot de la cybersécurité de demain.
A l’heure de la transformation numérique, l’heure est au décloisonnement des systèmes d’information, à leur ouverture via des API, notamment. Ce mouvement est loin d’être anodin en termes de cybersécurité, car même à l’heure de la protection en profondeur des infrastructures réseaux et informatiques les attaques ciblées utilisent toutes les failles pour s’introduire dans le SI. Fort de sa culture « ministère de la Défense », Guillaume Poupard milite aujourd’hui en faveur d’un recloisonnement des SI – un discours qui à du mal à passer auprès des startups pour qui l’agilité et la réactivité est la priorité numéro 1.
L’hyperviseur, un composant d’architecture impossible à contourner
VMware propose une solution bien évidement basée sur sa plateforme de virtualisation ESX, plateforme qui s’est récemment enrichie d’une nouvelle solution dédiée à la cybersécurité : VMware AppDefense. « Avec la virtualisation, pour la première fois on a une couche d’abstraction entre l’infrastructure et les applications qu’il faut protéger » a expliqué Tom Corn, vice-président senior en charge des produits de sécurité chez VMware lors de la dernière journée des Assises de la Sécurité. « A la différence des agents qui viennent s’installer sur les serveurs et qui peuvent, potentiellement, être désactivés par les attaquants, l’hyperviseur va permettre de créer des zones protégées dans lesquelles chaque VM aura son manifeste (signature), de manière à ce que si jamais cette VM vient à être modifiée, si son comportement change, cela va déclencher une alerte. C’est un monitoring de l’état des VM et de leur comportement réalisé en temps réel. »
« Le modèle actuel de cybersécurité doit changer. L’infrastructure elle-même doit jouer un rôle significatif », Tom Corn Vice-président senior VMware
Le responsable a notamment évoqué la mise en œuvre du Machine Learning afin de repérer une VM dont le comportement commencerait à dévier par rapport au comportement des VM équivalentes dans le système d’information. « C’est une approche très puissante car si un attaquant souhaite leurrer le système, il sera contraint d’attaquer toutes les VM identiques au même moment. » Tom Corn a ainsi souligné que cette approche s’inscrit pleinement dans la mouvance Software-Based et que, outre son rôle d’alerte, celui-ci va pouvoir déclencher des actions de remédiation de manière automatique. « Il s’agit d’une infrastructure de type Software-Based qui est totalement automatisable et nous en tirons les avantages. Nous pouvons ainsi avertir les équipes de réponse à incident mais aussi répondre en suspendant l’activité de la VM, réaliser un snapshot, la placer en quarantaine.»
Si VMware se défend de vouloir devenir un acteur de la cybersécurité, l’éditeur veut se placer au centre d’un écosystème Software-Defined fédérant de multiples acteurs au-dessus de sa plateforme.
Auteur : Alain Clapaud