Check Point se donne l’objectif de simplifier la sécurité réseau
Plus performants, les nouveaux firewalls en datacenter, WAF en cloud, et logiciels de sécurité sur poste clients gagnent en interaction grâce à un chatbot de copilotage global et des scripts Playblocks transversaux.
« Pourquoi Sarah ne peut-elle plus accéder à SAP ? », « J’ai entendu parler ce matin de telle nouvelle faille de sécurité ; sommes-nous protégés contre ça ? », « Je veux un rapport complet sur l’usage de TikTok dans l’entreprise, pour mesurer son impact sur notre bande passante réseau »… Tel est le genre de questions que tous les clients de Check Point pourront désormais poser à un chatbot appelé Infinity AI Copilot. Et non seulement le chatbot y répond, mais, d’ici à cet été, il pourra même proposer de résoudre lui-même les problèmes.
Infinity AI Copilot est l’une des principales nouveautés que le spécialiste israélien de la sécurité réseau – il revendique avoir inventé le firewall il y a 30 ans – a présentées lors de son événement annuel CPX, qui se tenait cette semaine à Vienne.
« Parmi la trentaine d’annonces que nous faisons, AI Copilot est sans doute celle dont je suis le plus fier », lance, lors d’un entretien avec LeMagIT, Eyal Manor, le directeur des produits d’administration chez Check Point (en photo).
Eyal ManorDirecteur produits d'administration, Check Point
« Bien entendu, vous retrouvez déjà des chatbots de copilotage par IA chez Cisco et chez d’autres acteurs de l’administration de l’IT. Je vous prédis même que tous les fournisseurs informatiques du monde auront un chatbot de copilotage d’ici à la fin du printemps. Mais ce qu’il y a d’unique dans le nôtre, c’est qu’il est capable d’adresser toutes les situations couvertes de près ou de loin par l’ensemble de nos produits. Alors que nos concurrents font des chatbots spécialisés dans un seul domaine. »
« Or, en matière de connectivité et de sécurité réseau, vous devez nécessairement évaluer et résoudre les problèmes en considérant là, votre appareil client, là, la passerelle à laquelle il se connecte, là, les droits d’accès à une application, etc. Nos concurrents vont vous faire acheter 5, 7, voire 9 chatbots et autant de consoles pour adresser tous les points de vue individuellement. Nous, nous n’en proposons qu’un seul, transversal. Et c’est bien plus efficace », argumente-t-il.
10 nouveaux firewalls Quantum Force
Les autres grandes annonces comprennent le remplacement de ses boîtiers passerelles par une nouvelle famille de dix appareils Quantum Force, basés sur la dernière génération de puces Mellanox ConnectX de Nvidia. Grâce à celle-ci, les performances des équipements – leur nombre d’utilisateurs connectables, leur consommation de courant par Gbit/s, leur bande passante par connecteur Ethernet – sont multipliées par 2, voire par 3,5 pour des prix similaires aux modèles de la génération précédente.
Comme précédemment, ces passerelles Quantum au format 1U ou 2U sont configurables avec des options fonctionnelles. Il est ainsi possible d’étendre le firewall TCP/IP de base pour en faire un SD-WAN, un WAF (firewall applicatif), un IPS (analyse comportementale du trafic réseau pour détecter les intrusions), etc. Selon leur taille, les Quantum Force sont capables de sécuriser à la volée des débits qui vont de 5 Gbit/s (modèle 9100) à 63,5 Gbit/s (modèle 29200). Précédemment les bandes passantes sécurisées s’échelonnaient de 1,8 à 30 Gbit/s.
Les Quantum Force sont destinés aux data centers, près du cœur de réseau. Pour les bureaux, Check Point dispose de la gamme de switches et de bornes Wifi Quantum Spark. Deux nouveaux modèles, les 1900 et 2000, permettent de sécuriser à la volée une bande passante de 4 et 5 Gbit/s, contre un maximum de 2 Gbit/s précédemment.
Alléger la charge du WAF et du SASE
Dans la gamme CloudGuard, qui regroupe les modules de sécurité à ajouter aux applicatifs en ligne, arrive un nouveau service WAF as-a-Service. Prenant la forme d’une simple API interrogeable à distance, ce service abolit la nécessité d’installer le WAF de CheckPoint sous forme de container sur chaque site web. Cela devrait permettre de réduire leurs charges de calcul et de maintenance et, donc, leur coût.
Dans la famille des logiciels Harmony, qui s’installent sur le poste client pour le protéger, on trouve désormais un module SASE qui importe de nombreuses fonctions d’authentification depuis le cloud.
« Cela va changer radicalement l’expérience utilisateur. D’ordinaire, un SASE agglomère tout votre trafic Internet vers un service en cloud qui inspecte vos contenus, vos trajets DNS. Le double problème est que cela induit une forte latence dans vos usages sur Internet, et cela rend inopérant tout effort de géolocalisation pour atteindre les services physiquement les plus proches de vous. En déplaçant ces fonctions sur l’appareil client, nous éliminons ces deux problèmes », assure Eyal Manor.
Les Playblocks pour propager la réponse à incident d’un produit à l’autre
Tous ces produits sont connectés aux mêmes services en ligne de la plateforme Infinity Core. Celle-ci se pare de 50 nouveaux moteurs de détection de menaces et de 20 connecteurs supplémentaires vers des produits de sécurité tiers de type XDR (la version moderne de l’antivirus, qui traque les malwares jusque dans le comportement suspect des processus internes comme dans les flux vers les serveurs externes).
On y trouve aussi un nouveau système baptisé Playblocks qui regroupe toutes les actions à mener automatiquement en cas d’attaque.
« C’est sans doute l’une des évolutions les plus remarquables parmi les services de notre plateforme Infinity. Parce que tous nos produits sont reliés à la même plateforme, ils peuvent communiquer entre eux. Les Playblocks, à la manière de notre IA Copilot, concrétisent cette collaboration entre nos produits », explique Eyal Manor.
« Il devient ainsi possible, lorsqu’un firewall détecte une attaque par exemple, de déployer automatiquement et en temps réel des mesures préventives contre ce type d’attaque sur les outils d’Harmony, sur les services de CloudGuard ou encore sur les fonctions embarquées dans nos équipements Quantum. »
En clair, les Playblocks sont censés automatiser la pratique du SOAR (Security Orchestration, Automation and Response). « Pour faire du SOAR, il faut normalement passer des mois et des mois à connecter tous les services de sécurité entre eux, à normaliser les données. Ici, tout est opérationnel dès le départ », dit-il.
Pour l’heure, les scripts Playbocks sont prédéfinis par Check Point et les utilisateurs ne peuvent que les configurer pour adapter leurs cas d’usage. D’ici à cet été, les administrateurs pourront écrire eux-mêmes des scripts Playbocks en partant de zéro. À terme, il sera possible de partager ses propres Playblocks avec la communauté des clients de Check Point via une page dédiée sur le site de l’éditeur.
Une seule console pour toutes les spécialités
Commercialement parlant, les acquéreurs d’équipements Quantum accèdent à toutes les fonctions gratuitement pendant un an. Ensuite, ils doivent souscrire à des licences par abonnement pour conserver les modules qu’ils souhaitent. L’ensemble des produits Check Point sont pilotables depuis une seule console web Infinity qui les classe par catégorie.
Adrien MerveilleExpert cybersécurité, Check Point
Reste que mettre dans une seule console tous les domaines historiquement attribués à des équipes différentes – accès, routage, failles de sécurité, etc. – fait débat.
« Nos concurrents vont vous parler de conservatisme pour justifier le fait qu’ils proposent des consoles différentes pour chaque spécialité. Selon nous, ce n’est pas au fournisseur de décider comment organiser ses différentes équipes. Nous proposons la même console de supervision à tous les spécialistes, car notre priorité est d’augmenter l’efficacité face aux incidents. Et pour y parvenir, il faut que toutes les fonctions soient interopérables le plus simplement possible », assure Eyal Manor.
Adrien Merveille, expert cybersécurité chez Check Point, livre une analyse plus locale : « En France comme ailleurs, il y a de plus en plus de cyberattaques, de plus en plus de vecteurs d’attaque dus à la modernisation des activités et malheureusement toujours aussi peu de ressources humaines disponibles sur le marché, pour prendre tout cela en charge. Il y a donc un réel besoin de simplification, de consolidation et d’automatisation de la part des entreprises. Surtout en ce qui concerne la réactivité face à un incident », dit-il.
« Dès lors que vous avez une solution où – lorsqu’une attaque entre par un appareil portable – les informations récupérées sur le malware sont propagées au firewall, au XDR, au SD-WAN, etc., hé bien vous permettez à une mairie ou à un CHU de se protéger alors qu’ils n’ont pas les moyens d’investir dans un service de SOC », conclut-il.