ra2 studio - Fotolia

Protection des postes de travail : l’essentiel sur Hysolate

Cette jeune pousse, finaliste de l'Innovation Sandbox de RSA Conference, mise sur la virtualisation pour isoler différents environnements opérationnels, dans des machines virtuelles distinctes, sur le poste de travail.

On pouvait imaginer reléguée au fond des oubliettes de l’IT une certaine idée de la virtualisation sur le poste de travail, après l’abandon des projets d’hyperviseur de type 1 chez VMware, en 2010, puis chez Citrix, avec l’arrêt de la commercialisation de XenClient, en 2015. Mais c’était sans compter avec d’autres approches, à commencer par celle de Bromium, lancé en 2012 par Simon Crosby, avant cela directeur technique de Citrix. Son idée ? Isoler les processus dans des micro-machines virtuelles pour leur masquer la réalité de leur environnement d’exécution. Une couche d’abstraction, en somme, pour chaque processus, le coupant du système d’exploitation.

L’approche a fait son chemin dans les esprits et Microsoft l’a validée avec le Virtual Secure Mode de Windows 10. Mais pour l’éditeur, il ne s’agissait initialement que d’isoler un processus de confiance pour le protéger d’attaques éventuelles. Depuis, Microsoft est allé plus loin, avec Windows Defender Application Guard : là, c’est le navigateur Edge qui est isolé du système d’exploitation pour protéger ce dernier des menaces susceptibles d’arriver par le navigateur.

La virtualisation appelée à la rescousse

La démarche choisir par Hysolate renvoie à toutes ces approches, mais en ravivant l’idée d’hyperviseur "bare metal" pour le poste client : il s’agit en fait de faire cohabiter sur le poste de travail des machines virtuelles distinctes, par exemple une pour naviguer sur Internet à des fins personnelles, une autre pour l’environnement de travail, et encore une troisième pour les données et applications les plus sensibles.

Dans un entretien avec la rédaction, Dan Dinnar, co-fondateur et directeur opérationnel d’Hysolate, explique ce choix : « la protection du poste de travail échoue. Les RSSI ajoutent toujours plus et pourtant la majorité des brèches commencent à cet endroit ». De l’autre côté, « les utilisateurs sont frustrés parce qu’on les empêche d’utiliser des clés USB, de naviguer sur Internet, ou plus encore. Autant de choses qui affectent leur productivité ».

Dès lors, il s’agissait d’essayer de répondre à la question de la sécurisation du poste de travail sans ajouter de couche de protection supplémentaire « au-dessus » du système d’exploitation, mais une autre, en-dessous.

Ce positionnement permet de mettre en place de nombreux contrôles, comme par exemple forcer une clé USB à être connectée à l’environnement dédiée à la navigation en ligne, en étant invisible des autres, plus sûrs.

Toute une couche de contrôle

Il est également possible d’envisager de forcer le transit de fichiers copiés depuis un environnement peu sûr vers une machine de confiance via des filtres anti-virus. Voire n’autoriser la sortie de la VM corporate qu’à des fichiers chiffrés.

Mais ce n’est pas tout : la couche d’abstraction fournie permet également de contrôler les flux réseau et ainsi de construire des politiques de segmentation, même dans un environnement au réseau à plat, ou encore de forcer l’utilisation de VPN par machine virtuelle, sans avoir à établir de configuration spécifique au sein de chacune.

Enfin, chaque VM peut être rendue non persistante, provoquant le retour à l’image nominale en cas de besoin, notamment dans s’il y a eu une quelconque compromission, ou ne serait-ce que le soupçon d’une.

L’ensemble de la plateforme s’administre via un serveur pouvant être déployé en local ou accessible en mode Cloud. De là, tous les éléments de contrôle et de configuration des postes de travail peuvent être gérés – par poste ou par groupes de postes, de manière autonome ou intégrée avec l’annuaire. Cette console permet également de superviser les activités et l’intégrité des terminaux.

Une équipe de vétéran

Le choix de la virtualisation pour protéger le poste de travail ne surprend pas lorsque l’on découvre le profil de son autre co-fondateur, Tal Zamir. Cet ancien de Technion est passé chez VMware entre juin 2012 et décembre 2015. Il y était entré à l’occasion du rachat Wanova dont le logiciel Mirage apportait notamment aux utilisateurs de View la capacité d’administrer de manière centralisée les postes virtuels et physiques.

Dan Dinnar est quant à lui un ancien de CyberArk. C’était également le Pdg d’Hexatier, qui fut aussi nommé GreenSQL et développait une sorte de reverse-proxy pour protéger les bases de données, et notamment prévenir les injections SQL. Huawei l’a racheté en décembre 2016.

Fondée en 2016, Hysolate a reçu son financement initial de la part de Team8, un fond d’investissement spécialisé dans la cybersécurité, notamment soutenu par Accenture, Cisco, Intel, Microsoft, et Nokia. Il s’est également occupé de l’amorçage de Claroty, spécialiste de la surveillance des systèmes industriels, et d’Illusive Networks, qui mise sur les leurres pour repérer et traquer les attaquants.

Hysolate compte parmi les finalistes de l’Innovation Sandbox de cette édition 2018 de RSA Conference.

Pour approfondir sur Protection du terminal et EDR

Close