Sophos : « faire fonctionner l’ensemble des défenses comme un système »

LeMagIT : En mai 2014, Sophos a annoncé le projet Galileo. De quoi s’agit-il ?

Michel Lanaspèze : Le but est d’aller un cran plus loin dans la manière d’adresser les menaces avancées persistantes, ces menaces à faible bruit, qui sont le fait d’attaquants cherchant à rester aussi furtifs que possible.

Pour cela, l’idée consiste à faire fonctionner l’ensemble de nos mécanismes de défense comme un système : protection réseau et poste de travail, chiffrement des données, etc.

Par exemple, les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail, mais ce qui s’y passe. Et ils ne connaissent rien de l’utilisateur. A l’inverse, les systèmes de protection du poste de travail n’ont pas de visibilité sur le réseau, et ne disposent donc pas forcément d’informations sur les signes émanant d’autres appareils connectés au réseau.

Le projet Galileo doit permettre de corréler ces signaux en temps réel, entre ces différents composants. Les systèmes de gestion des informations et des événements de sécurité (SIEM) n’interviennent pas en temps réel.

Il s’agit de faire dialoguer entre eux les différents composants de sécurité que nous proposons. Et si le réseau observe ainsi quelque chose de préoccupant, il pourra demander des compléments d’information aux postes de travail. Il pourra même leur demander d’arrêter l’application à l’origine du trafic réseau suspect, et de rendre les données chiffrées localement indisponibles.

Il ne s’agit donc pas là d’adresser les attaques de masse, mais bien de répondre aux attaques avancées et furtives.

Tel que vous le décrivez, un tel système réalise tout son potentiel dans un environnement homogène. Que se passe-t-il dans un environnement hétérogène ?

Effectivement, Galileo n’est appelé à donner son maximum que dans des environnements homogènes. Dans des environnements hétérogènes, on en revient à dépendre des SIEM.

Cela dit, même si ce n’est pas la majorité, certains de nos clients présentent un environnement homogène Sophos. Surtout, beaucoup d’entreprises de taille intermédiaire n’ont pas, en interne, les compétences nécessaires pour se doter d’un SIEM. Une solution intégrée comme le projet Galileo peut être une réponse pour elles.

Le dialogue entre réseau, poste de travail, et système chiffrement, est prévu pour la fin 2015. Il est envisageable d’ouvrir le projet à des tiers, par le biais d’API, mais ce n’est pas une priorité pour le moment.

Vous avez commencé à rapprocher l’administration de la sécurité des postes de travail et des terminaux mobiles. Jusqu’où la convergence est-elle appelée à aller ?

Nous proposons des solutions d’administration qui sont dédiées au poste traditionnel, et d’autres purement liées à la mobilité.

Mais nous sommes allés un cran plus loin, vers une gestion intégrée, centralisée, qui commence par supporter le poste de travail et le mobile. Et ça, on le fait à travers notre offre Cloud avec donc, pour l’heure, une console unique pour poste de travail et mobilité.

Mais demain, nous irons plus loin.

Déjà, dans ce sens, la technologie de Mojave Networks [racheté en octobre dernier, NDLR] a d’ailleurs été intégrée comme produit Sophos en avril, offrant un filtrage réseau via le Cloud, transparent pour tous les types de postes.

En outre d’un point de vue logique, et donc des licences, nous proposons une licence par utilisateur. Et cela couvre n’importe quel nombre d’appareils.

Mais le chiffrement (venu par Utimaco, racheté en 2008) n’est pas encore intégré dans l’administration Cloud : pour le moment, il n’est disponible qu’avec un déploiement en local, les clés restant sous le contrôle complet du client.

Et la console Cloud d’administration n’est pas encore disponible pour des déploiements internes : le priorité est de finir d’atteindre le même niveau de fonctionnalités qu’avec les solutions en local. La demande est là pour une offre à déploiement en interne, mais pour l’heure la priorité est à l’extension du périmètre fonctionnel.

Comment défendez-vous votre légitimité sur le terrain de la mobilité face à des spécialistes du secteur comme AirWatch, Good, ou MobileIron ?

Il y a effectivement beaucoup d’acteurs sur la mobilité. Historiquement, nous sommes venus directement sur le domaine de l’anti-malware pour Android. Mais pour le MDM, nous avons fait l’acquisition de Dialogs [en avril 2012, NDLR]. Cet éditeur allemand avait dix ans d’expérience sur la mobilité et nous a permis de proposer une offre assez complète.

Certes, elle n’est pas encore à la pointe – nous ne proposons pas encore d’encapsulation d’applications dans le domaine de la gestion des applications mobiles (MAM), par exemple. Mais nous abordons la gestion de la mobilité d’entreprise (EMM) par la sécurité, en apportant notre expertise sur la lutte contre les applications malveillantes. Ceux qui ne viennent pas du monde de la sécurité ne savent pas apporter cela en propre.

Mais surtout, nous visons la simplicité. Et c’est aujourd’hui un point aussi important que les capacités fonctionnelles.

N’y a-t-il pas ensuite, comme certains l’évoquent, et je pense là à AirWatch notamment, qu’un pas pour toucher à l’Internet des objets ?

Le principal effort que nous produisons consiste à s’assurer que tous les créateurs d’objets connectés n’oublient pas les bases. Et cela passe, par exemple, par des délais qui s’allongent à chaque tentative erronée de saisie de mot de passe.

Ce n’est que lorsque que les objets seront plus évolués que l’on aura une valeur ajoutée à propose. Aujourd’hui, on en est encore au B-A-BA de la sécurité dans ce domaine.

Après, pour des grands comptes, comme des constructeurs d’automobiles connectées, oui, il a des besoins d’authentification du véhicule ou du server, et de garantie de l’intégrité des communications. Mais pour cela, ils ne s’appuient pas sur des produits sur étagère, mais plutôt sur des développements internes, parfois en utilisant des composants de tiers mis à disposition en OEM.

Il y a clairement des besoins. Cela concerne surtout les gros acteurs. Mais je n’ai pas d’élément précis que je puisse communiquer publiquement.